Kiedyś internetowe oszustwo miało w sobie pewien urok amatorszczyzny.
Mail zaczynał się od „Szanowny Klijęcie”, potem pojawiał się książę z Nigerii, tajemniczy spadek, dramatyczna prośba o pomoc albo informacja, że nasza paczka czeka w magazynie, mimo że niczego nie zamawialiśmy. Człowiek patrzył na to, uśmiechał się pod nosem i myślał: „No dobrze, próbowaliście”.
Dziś niestety jest trudniej.
Fałszywa wiadomość coraz częściej nie wygląda fałszywie. Nie krzyczy. Nie robi błędów w co drugim słowie. Nie przypomina tłumaczenia z siedmiu języków przez kalkulator. Potrafi być grzeczna, konkretna, poprawna językowo i bardzo profesjonalna.
A to właśnie powinno zapalić nam lampkę ostrzegawczą.
Bo cyberprzestępcy też się uczą. Korzystają z nowych narzędzi, automatyzacji, sztucznej inteligencji i coraz lepszych metod podszywania się pod firmy, instytucje, kontrahentów czy działy księgowości. Dzisiejszy phishing nie musi wyglądać jak phishing. Może wyglądać jak zwykły dzień w pracy.
„Dzień dobry, w załączniku przesyłamy fakturę.”
Krótko. Konkretnie. Profesjonalnie.
I właśnie dlatego niebezpiecznie.
W firmach tego typu wiadomości uderzają dokładnie tam, gdzie najłatwiej wywołać pośpiech: w faktury, płatności, salda, decyzje finansowe i relacje służbowe. Oszuści często nie działają zupełnie na ślepo. Dzięki ogólnodostępnym informacjom z CEIDG, eKRS, stron internetowych, mediów społecznościowych czy firmowych zakładek „kontakt” potrafią ustalić, kto jest kim w organizacji.
Kto jest prezesem.
Kto pracuje w księgowości.
Kto odpowiada za płatności.
Kto może mieć wpływ na decyzje finansowe.
A potem próbują tę wiedzę wykorzystać.
Wyobraźmy sobie sytuację. Księgowa otrzymuje wiadomość od osoby podpisującej się imieniem i nazwiskiem prezesa. Nadawca pyta o salda kont spółek z grupy. Imię się zgadza. Nazwisko się zgadza. Stanowisko też. Wszystko wygląda wiarygodnie.
Jest tylko jeden szczegół: wiadomość przyszła z prywatnego konta, na przykład z Gmaila, a nie ze służbowej skrzynki.
Łatwo to przeoczyć, szczególnie gdy człowiek jest zajęty, ma kilka pilnych spraw na biurku i widzi nazwisko osoby, która faktycznie istnieje i faktycznie pełni ważną funkcję w firmie.
Księgowa odpowiada i podaje salda.
W kolejnym mailu „prezes” zwraca się już do niej po imieniu. Jest uprzejmy, konkretny i coraz bardziej przekonujący. Prosi o pilny przelew. Kwota jest „niewielka” w stosunku do podanych wcześniej sald, ale w praktyce nadal opiewa na kilkaset tysięcy złotych. Do tego dochodzi presja czasu: ważny deal, pilna finalizacja, sprawa poufna, trzeba działać natychmiast.
I właśnie tutaj widać, jak działa manipulacja.
Najpierw oszust zdobywa zaufanie.
Potem buduje kontekst.
Potem wykorzystuje pośpiech.
Na końcu prosi o działanie, które omija zdrowy rozsądek.
W takich sytuacjach firmę często ratują nie tylko ludzie, ale też procedury. Na przykład zasada, że przelewy powyżej określonej kwoty wymagają dodatkowej autoryzacji dyrektora finansowego albo drugiej osoby decyzyjnej. I bardzo dobrze, bo procedura nie obraża się, nie spieszy, nie ulega presji i nie daje się złapać na „to bardzo pilne”.
Ale nawet procedury nie działają same.
Trzeba je wdrożyć. Trzeba ich przestrzegać. Trzeba mieć odwagę zatrzymać temat, nawet jeśli wiadomość wygląda, jakby przyszła od kogoś bardzo ważnego. Zwłaszcza wtedy.
Warto pamiętać, że dobra procedura czasem wygląda śmiesznie dopiero po fakcie.
Znamy sytuację, w której prezes firmy przyjechał w weekend na teren zakładu po zostawioną wcześniej przyczepę z łódką. Był po cywilnemu, z kolegami, w samochodzie, którego dozorca nie kojarzył. Podjechał pod zamkniętą bramę i oczekiwał, że zostanie wpuszczony od razu.
Dozorca go nie rozpoznał.
Zobaczył po prostu dwóch obcych ludzi pod bramą, którzy chcą wjechać na teren firmy poza normalnym trybem. Gdy usłyszał ponaglenia, zamiast ulec presji, odmówił i zażądał potwierdzenia. Ostatecznie sprawę wyjaśniono telefonicznie przez kierownika.
Efekt?
Prezes nie miał pretensji. Przeciwnie - docenił, że pracownik nie otwiera bramy tylko dlatego, że ktoś mówi pewnym głosem i się spieszy.
I dokładnie o to chodzi w bezpieczeństwie.
Procedura ma działać także wtedy, gdy ktoś jest zniecierpliwiony. Także wtedy, gdy ktoś brzmi ważnie. Także wtedy, gdy „przecież wiadomo, kto to”. Bo jeśli zrobimy wyjątek dla znajomego głosu, stanowiska albo presji czasu, to oszust właśnie dostał instrukcję obsługi naszej firmy.
Bo oszustwo często nie polega na tym, że ktoś łamie nasze systemy. Czasem polega na tym, że ktoś łamie naszą czujność.
Nie trzeba być naiwnym, żeby dać się zmanipulować. Wystarczy chwila pośpiechu, presja autorytetu i wiadomość, która wygląda wiarygodnie. Dlatego w bezpieczeństwie IT tak ważne są proste zasady:
sprawdź adres nadawcy,
sprawdź kontekst,
nie ufaj prywatnym skrzynkom w sprawach służbowych,
potwierdzaj nietypowe polecenia innym kanałem,
nie wykonuj przelewów tylko dlatego, że ktoś napisał „pilne”.
W przypadku faktur może pomóc KSeF, ale i tu warto zachować rozsądek. Sama obecność dokumentu w systemie nie oznacza automatycznie, że faktura dotyczy naszej działalności albo że roszczenie jest zasadne. System może pomóc sprawdzić dokument. Nie zastąpi jednak myślenia, procedury i zdrowego dystansu.
Największy problem z bezpieczeństwem IT polega na tym, że ono rzadko kończy się na sprzęcie i programach.
Możemy mieć antywirusa, firewall, kopie zapasowe, filtry poczty i wszystkie możliwe aktualizacje. To wszystko jest ważne. Bardzo ważne. Ale na końcu i tak często zostaje człowiek, ekran i decyzja: kliknąć czy nie kliknąć, odpisać czy nie odpisać, przelać czy najpierw zadzwonić.
I tu właśnie zaczyna się prawdziwe bezpieczeństwo.
Nie w panice. Nie w paranoi. Nie w podejrzewaniu każdego maila o próbę zamachu na firmę. Tylko w spokojnym nawyku sprawdzania.
Bo profesjonalny mail może być prawdziwy.
Ale może też być profesjonalnie przygotowaną pułapką.
Dlatego zanim klikniesz, pobierzesz, zapłacisz albo przekażesz dalej - zatrzymaj się na chwilę.
Nie dlatego, że technologia jest zła.
Tylko dlatego, że naiwności nadal nie patchują.
NET PLANET
Bez paniki - ogarniemy to razem.
Najnowsze komentarze