Când am deschis recent discuția despre phishing, scriam despre modul cum atacatorii mizează pe vulnerabilitățile noastre, pe lipsa de atenție pe care o acordăm uneori unor chestiuni care par să facă parte în fluxul cotidian de activitate la muncă, pe superficialitate și lipsa de precauție. Cum reacționăm, de pildă, când vedem un e-mail care pare să vină de la Fisc ori de la o altă autoritate de control? Tuturor le e frică de Fisc, nu? Toți tindem să dăm curs unor solicitări care par că vin de la banca la care avem conturi deschise sau cu care lucrăm (am prezentat aici subiectul site-urilor bancare false și cum le depistăm). Atacatorii știu asta și o exploatează din plin.
Acum doi ani, în epoca GDPR, în căsuțele de e-mail ale multor companii au venit atenționări de încălcare a regulamentului european: Compania dumneavoastră a încălcat normele GDPR prin cutare și cutare aspect. Nu vom sesiza autoritatea de protecția datelor, dacă semnăm un acord și ne despăgubiți cu X sumă. La vremea respectivă, tuturor le era frică de GDPR, mai exact, de acele amenzi care se raportau la un procent semnificativ din cifra de afaceri. Atacatorii din online și escrocii de ocazie au profitat din plin de această teamă a companiilor de regulamentul european care le amenința bugetele.
Foarte întâlnite în departamentele de contabilitate și salarizare sunt fraudele cu facturi. Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) explică cum funcționează: "O firmă este contactată de cineva care pretinde că este reprezentantul unui furnizor. Poate fi o abordare încrucișată - prin telefon, scrisoare, e-mail etc. Interlocutorul solicită modificarea datelor bancare (numărul de cont, banca la care e deschis etc.) pentru plățile viitoare. Noul cont este deținut/controlat de acesta.
Ce puteți face, ca organizație:
- Asigurați-vă că angajații sunt informați, recunosc acest tip de fraudă și cum să o evite.
- Instruiți-vă personalul ca întotdeauna să verifice orice neregulă posibilă la plățile facturilor.
- Implementați proceduri clare de verificare a legitimității plăților.
- Reanalizați informațiile postate pe site-ul companiei, în special referitor la contracte și furnizori. Limitați datele despre companie pe care angajații le pot posta pe rețele sociale
Ce puteți face ca angajat:
- Verificaţi orice solicitare pretinsă a fi din partea creditorilor, în special dacă cer modificarea detaliilor bancare pentru viitoare plăți.
- Folosiţi datele de contact din corespondența anterioarăpentru a verifica și nu pe cele din mesajul prin care se solicită modificările.
- Pentru plăți peste o anumită sumă, instituiți o procedură suplimentară de verificare cu beneficiarul.
- Stabiliți puncte de contact unice cu companiile partenere către care efectuați plăți regulate.
- Când efectuați o plată, trimiteți un e-mail de confirmare destinatarului. Pentru siguranță, includeți denumirea băncii și ultimele 4 cifre ale numărului de cont.
- Fiți precaut cu datele despre locul de muncă pe care le postați pe rețelele sociale".
De asemenea, destul de răspândită este frauda tip "mesaj de la șef". Angajații sunt îndemnați să plătească o factură falsă ori să facă un transfer către cineva care pretinde că este manager și care pare să aibă ceva informații despre companie (pentru credibilitate). Cum depistăm, spun cei de la CERT-RO: se folosește de un limbaj persuasiv, rugămintea să păstreze confidențialitatea, angajatului i se cere să nu respecte procedura obișnuită de autorizare a plăților, e invocată o circumstanță excepțională, o urgență absolută sau situație sensibilă (de exemplu, control de la autorități), alteori se fac amenințări sau promisiuni neobișnuite, alterori flatarea.
Siguranța financiară online - recomandări CERT-RO:
- Nu efectua plăți cu cardul printr-un WI-FI public. Când folosești o conexiune publică nu ai control direct asupra securității acesteia. Așteaptă până când te poți conecta la o rețea sigură înainte să furnizezi informații precum numărul contului bancar. În cazul în care nu poți aștepta, utilizează un VPN sau oprește WI-FI-ul și folosește datele mobile.
- Alege parole puternice. Asigură-te că nu folosești aceleași credențiale pentru conturi diferite. Software-urile tip manager de parole te pot ajuta să gestionezi mai bine parole complexe multiple.
- Fii atent la înșelătoriile de pe rețelele de socializare. Infractorii cibernetici pot fi în spatele încercărilor gratis de aplicații, a cererilor de prietenie sau a chestionarelor aparent inocente. Și, în cazul în care un link neobișnuit apare pe pagina ta de social media sau pe wall-ul tău, nu da click! Te poate duce la un website de phishing.
Munca de acasă, riscuri suplimentare
Din primăvară, de când am intrat sub "zodia" lui COVID-19, specialiștii în securitate cibernetică ne-au tot atras atenția că trebuie să ne luăm măsuri de precauție suplimentare când muncim de acasă - deloc surprinzător, previziunile acestora s-au adeverit și numărul atacurilor cibernetice a crescut destul de mult.
CERT-RO recomandă conectarea la și folosirea doar a dispozitivelor de la muncă - în niciun caz nu ar trebui să amestecăm activitatea de job cu cea recreativă pe același laptop, tabletă, telefon de serviciu.
"Creați parole puternice (folosiți un manager de parole, dacă aveți la dispoziție), nu le scrieți și protejați-le atunci când le tastați. Evitați opțiunile de lucru alternative, chiar dacă par să ofere exact ceea ce aveți nevoie.
Nu permiteți membrilor familiei sau altor persoane să vă acceseze dispozitivele de lucru. Blocați-le sau închideți-le când sunt nesupravegheate și păstrați-le întotdeauna într-o locație sigură, pentru a preveni pierderea, deteriorarea sau furtul. Împiedicați scurgerea de date accidentală, folosind ecrane de confidențialitate și evitați orientarea ecranelor spre ferestre sau camere foto.
Nu răspundeți niciodată cu informații personale la mesaje, chiar dacă pretind că provin dintr-o sursă legitimă. În schimb, contactați direct compania pentru a confirma solicitarea acestora.
Aplicați autentificarea multi-factorială pentru a accesa conturile de e-mail ale companiei. Oferiți acces la canale sigure de comunicare între angajați, precum și unele similare pentru comunicarea cu exteriorul.
Educați angajații cu privire la politica companiei în domeniul telemuncii. Alocați timp pentru a informa referitor la amenințările cibernetice, în special phishing și inginerie socială.
Implementați măsuri de securitate precum criptarea hard disk-ului, timpul de inactivitate, ecranele de protecție, autentificarea complexă, precum și controlul/criptarea mediilor de stocare (ex. stick USB). Implementați proceduri pentru dezactivarea de la distanță a accesului la un dispozitiv pierdut sau furat.
Permiteți doar angajaților dvs. să se conecteze la rețeaua companiei printr-o soluție de tip VPN cu autentificare multi-factor. Asigurați-vă că sesiunile la distanță se pot deconecta automat și necesită reautentificare după o anumită perioadă de inactivitate", potrivit CERT-RO.
Cum putem preveni fraudarea companiei?
CERT-RO recomandă:
- Fiți calmi când primiți o cerere urgentă de plată de la un supervisor din firmă. Escrocii se pot preface că sunt manageri, adesea chiar CEO, pentru a convinge un membru al echipei să facă o plată confidențială. Verificați dacă adresa de e-mail e corectă și detaliile tranzacției prin telefon - nu folosiți un număr de telefon care apare în e-mailuri suspicioase.
- Verificați mereu cererea unui furnizor de a schimba detalii de plată. Dacă primiți un e-mail sau apel de la un furnizor în care se menționează că s-a schimbat metoda de plată pe viitor, ar putea fi o înșelătorie. Contactați personal furnizorul pentru a confirma cererea.
- Fiți atenție la alertele de securitate false. Sunt adesea folosite de atacatori pentru a păcăli angajații să creadă că a fost o breșă de securitate în sistemul companiei sau în aplicația de internet banking.
- Nu vă repeziți să dați click. Sunt metode nenumărate pe care escrocii le folosesc pentru a convinge angajații să descarce fișiere malițioase. Dacă aveți îndoieli legate de un e-mail, nu deschideți atașamentul, nu dați click pe vreun link și nu descărcați vreun fișier.
- Gândiți-vă înainte să distribuiți ceva pe internet. Nu distribuiți informații sensibile legate de afacere pe social media, pentru că asta crește riscul de a deveni o țintă. Verificați politica internă a companiei cu privire la social media pentru a ști ce este permis, iar dacă aveți îndoieli, nu postați.