Nors verslai vis daugiau investuoja į patikimas kibernetinio saugumo sistemas, ekspertas atskleidė, kokie būdai sukčiams pasiteisina labiausiai, siekiant įsilaužti į įmonių saugomus duomenis.
Netikri kolegų laiškai
Kibernetiniai nusikaltėliai supranta, jog apgavę įmonės darbuotojus gali padaryti didesnę finansinę žalą, nei taikydamiesi į pavienius gyventojus, ir pastaruoju metu vis labiau nukreipia savo dėmesį būtent į verslus.
Siekdami manipuliuoti darbuotojais, apsimeta aukšto rango vadovais, kolegomis, laiškuose nurodydami jų realų vardą ir pavardę ir taip tikisi apeiti standartines saugos procedūras. Puikiai suprasdami žmogaus psichologiją, sukčiai savo laiškuose įprastai ragina veikti skubiai, kaip ir minėtame pavyzdyje – sukelia kaltės jausmą, kad neva darbuotojas ištrynė kokį nors dokumentą ar laiku jo neatsiuntė.
Anot „Citadele“ banko Baltijos šalių lėšų valdymo ir prekybos finansavimo tarnybos vadovo Romo Čereškos, pamatęs tokį laišką darbuotojas, žmogiška, kad išsigąsta iš tiesų kažką pridirbęs ir gali norėti skubiai išspręsti iškilusią problemą.
„Dažniausiai laiške būna prašoma paspausti ant nuorodos ir neva įkelti kažkokį dokumentą. Tačiau labai svarbu prieš spaudžiant bet kokią nuorodą, atidžiai apžiūrėti laišką. Jei matosi nors ir mažytė klaida elektroninio pašto adrese ar kitos neįprastos klaidos tekste, jokiu būdu nespausti ant nuorodos, kitaip pasekmės gali būti skaudžios“, – teigia R.Čereška.
Saugumo sistemos neapsaugo nuo neatidumo
Pasak eksperto, lengviausiai pažeidžiama bet kurios saugumo grandinės dalis išlieka žmogiškosios klaidos. Sukčiams įvykdyti nusikaltimą dažniausiai pavyksta ne dėl įmonės kompiuterinių sistemų trūkumų, o dėl emociškai paveikto žmogaus sprendimų.
„Pavyzdžiui, nusikaltėlis gali išsiųsti elektroninį laišką, kuris atrodo kaip siųstas įmonės direktoriaus, turi net įmonės logotipą, ir paprašyti atlikti skubų mokėjimą. Darbuotojas, manydamas, kad el. laiškas yra tikras, apdoroja mokėjimą ir tik vėliau sužino, kad pinigai buvo išsiųsti į apgaulingą sąskaitą“, – komentuoja banko atstovas.
Sumaniai sukurtas elektroninis laiškas gali lengvai priversti nieko neįtariantį darbuotoją spustelėti kenkėjišką nuorodą ir taip atsisiųsti kenkėjišką programinę įrangą. To pasekmės gali būti įvairios – sukčiai gali gauti prieigą prie įmonės sistemų, darbuotojų ir klientų duomenų, kuriuos gali grasinti paviešinti, jei negaus išpirkos. Tokie nusikaltimai įmonėms gali kainuoti ne tik pinigus, bet ir reputaciją.
Rizikos mažinimui – vienintelė išeitis
R.Čereškos teigimu, esminis būdas sumažinti tokių nusikaltimų riziką – nuolat tikrinti darbuotojų budrumą: diegti įvairias kibernetinio saugumo programas, mokančias kolegas atpažinti galimas grėsmes, pavyzdžiui, sukčių siunčiamus el. laiškus ar kitas socialinės inžinerijos formas, ir į jas reaguoti. Tokie pratimai padės geriau suprasti žinių spragas ir leis organizuoti tikslingesnius seminarus.
„Be simuliacijų, darbuotojai turėtų būti informuojami apie naujausias sukčiavimo schemas, kibernetinių nusikaltėlių taikomas taktikas ir saugumo protokolų laikymosi svarbą net ir iš pažiūros įprastose situacijose. Darbuotojai turi būti apmokyti patikrinti prašymus atlikti mokėjimą arba pasidalinti neskelbtina informacija antriniu kanalu, pavyzdžiui, paskambinus užklausą pateikusiam asmeniui, kad įsitikintų, jog prašymas tikras“, – pataria pašnekovas.
Anot jo, darbuotojų mokymas atpažinti sukčiavimo schemas ir į jas reaguoti yra ne tik gera praktika – tai būtina. Sukčiai ir jų apgaulės schemos tobulėja itin sparčiai, tad net ir geriausią kritinį mąstymą turintys darbuotojai gali tapti sukčių aukomis be tinkamo mokymo. Įmonės, teikiančios pirmenybę darbuotojų mokymui, sukuria budrumo kultūrą, kai darbuotojai dažniau suabejoja įtartina veikla ir praneša apie galimas grėsmes.
„Šis požiūris yra veiksmingiausias būdas sumažinti riziką nukentėti nuo sukčių, todėl kitą kartą, gavę prašymą atlikti dar vieną mokymams skirtą testą – atsidūskite, bet jo neignoruokite“, – rekomenduoja R.Čereška.