Ministerstwo Cyfryzacji przestrzega przed atakami hakerskimi typu BEC (Business Email Compromise). Zmierzają one do wyłudzenia pieniędzy od różnego rodzaju firm. Niestety ich skuteczność jest bardzo wysoka.
W atakach typu BEC przestępcy wykorzystują pocztę e-mail, aby nakłonić przedstawicieli firm do wysłania pieniędzy lub ujawnienia poufnych informacji firmowych. Charakterystyczne dla takiego ataku jest podszycie się pod właściciela firmy lub osobę zarządzającą. Przestępca wysyła wówczas e-mail, w którym najczęściej prosi o zmianę numeru rachunku do przelewu, pilne uregulowanie płatności lub pilną realizację określonego przelewu. Atak jest trudny do wykrycia, ponieważ haker zwykle zna swoją potencjalną ofiarę i pod tym kątem przygotowuje cyberatak.
Podejrzenie pracownika firmy powinny wzbudzić wiadomości z apelem o pilne działania np. uaktualnienie stanu konta lub kliknięcie w link czy pobranie załącznika. W ten sposób przestępcy, wykorzystując presję czasu, utrudniają trzeźwą ocenę sytuacji. Często też wiadomości zawierają prośbę o zachowanie poufności i anonimowość. Przestępca potrafi nawet upodobnić styl i język pisania wiadomości do wykorzystywanego na co dzień przez przedstawiciela firmy. Do tego dochodzi znajomość struktury firmy.
Wiadomości takie wysyłane są z adresu e-mail, który do złudzenia przypomina prawdziwy adres przedstawiciela firmy. Bywa też, że dochodzić do przejęć poczty e-mail, a wtedy wiadomość może pochodzić z prawdziwego adresu.
W efekcie fałszywa wiadomość jest niezwykle trudna do wykrycia, ponieważ do złudzenia przypomina prawdziwy e-mail od przełożonego.
Ministerstwo Cyfryzacji radzi, jak uchronić się przed cyberatakiem typu BEC. Wskazówki resortu prezentujemy poniżej.
Nie należy ulegać presji czasu i autorytetu. W ten sposób oszust próbuje nakłonić ofiarę do nieprzemyślanego działania.
Należy zawsze sprawdzać nadawcę wiadomości. Przede wszystkim powinno się zweryfikować adres e-mail, z którego wpłynęło wiadomość. Poza tym warto bezpośrednio skontaktować się z osobą, która zleca zadania (np. telefonicznie) i upewni
się, że jest tą, za którą się podaje.
Konieczne jest zadbanie o bezpieczeństwo poczty e-mail m.in. poprzez zaawansowane filtry spamu, skanery złośliwego oprogramowania i rozwiązania antyphishingowe.
Należy regularnie przeprowadzać szkolenia, ćwiczenia i warsztaty podnoszące kompetycje pracowników firmy.
Należy ustalić jednolite reguły dokonywania płatności za przelewy w firmie
Zasadna jest każdorazowa weryfikacja zmiany numeru konta i potwierdzanie transakcji finansowyc, a w szczególności tych, które obejmują znaczne sumy, za pomocą innych środków komunikacji niż otrzymana wiadomość .
Ważnym rozwiązaniem są silne hasła do usług, z których korzystają pracownicy. Zalecana jest także. weryfikacja dwuetapowa.
Należy unikać otwierania załączników lub klikania w linki w wiadomościach e-mail pochodzących z nieznanych źródeł.
Ważna jest dbałość bezpieczeństwo sprzętu, z którego korzystają pracownicy w firmie- zwłaszcza regularna aktualizacja programów i systemów.
Wszystkie incydenty związane z Twoim bezpieczeństwem online należy zgłaszać do zespołu CERT Polska.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
