Wraz z rozwojem technologii i cyfryzacji coraz więcej obszarów naszego życia przenosi się do przestrzeni online. Niestety, idzie za tym także ewolucja cyberataków i cyberprzestępczości. Jednym z coraz bardziej rozpowszechnionych i niebezpiecznych typów oszustw jest oszustwo CEO, czyli phishing polegający na podszywaniu się pod wysokich rangą dyrektorów firm.
Czym jest oszustwo CEO?
Oszustwo CEO, znane również jako phishing na prezesa lub BEC (Business Email Compromise), to podstępna praktyka, w której cyberprzestępcy podszywają się pod prezesów, dyrektorów generalnych lub innych wyższych rangą menedżerów w celu nakłonienia pracowników do ujawnienia poufnych informacji lub dokonania nielegalnych przelewów pieniężnych.
Atakujący wykorzystują zaufanie, jakim pracownicy darzą przełożonych, aby wysyłać wiarygodnie wyglądające wiadomości e-mail, które wymagają natychmiastowego działania. Mogą to być na przykład polecenia dokonania pilnego przelewu na konto przestępców lub prośby o udostępnienie wrażliwych danych finansowych lub personalnych.
Według danych FBI, oszustwa BEC, w tym phishing CEO, są obecnie warte 26 miliardów dolarów i stanowią poważne zagrożenie dla firm na całym świecie. Od 2018 do 2019 roku liczba tego typu ataków podwoiła się, a cyberprzestępcy stale doskonalą swoje metody, by uniknąć wykrycia.
Eksperci wskazują, że oszustwa CEO są wyjątkowo niebezpieczne, ponieważ ofiary są często zmuszone do natychmiastowego działania, nie mając czasu na weryfikację żądań. Ponadto, ze względu na autorytet i zaufanie, jakim cieszą się wyżsi rangą menedżerowie, pracownicy rzadko kwestionują polecenia płynące rzekomo z góry.
Jak przebiegają ataki typu CEO phishing?
Schemat działania cyberprzestępców w przypadku oszustwa CEO wygląda następująco:
-
Gromadzenie informacji: Atakujący prowadzą dokładny research na temat struktury organizacji, kluczowych pracowników i sposobu komunikacji w firmie, aby móc wiarygodnie podszywać się pod kadrę zarządzającą.
-
Podrabianie tożsamości: Cyberprzestępcy tworzą fałszywe adresy e-mail, na które podszywają się, naśladując styl i zwroty używane przez prawdziwych dyrektorów. Może to obejmować nawet drobne błędy czy niuanse, które wydają się autentyczne.
-
Wysyłanie oszukańczych wiadomości: Atakujący rozsyłają wiadomości e-mail, które wyglądają, jakby pochodziły bezpośrednio od przełożonego. Zazwyczaj zawierają one pilne polecenia, np. dokonania niezwłocznego przelewu lub udostępnienia poufnych danych.
-
Wywieranie presji: Cyberprzestępcy świadomie wywierają presję na ofiarach, aby nie mieli czasu na weryfikację żądań. Mogą grozić negatywnymi konsekwencjami w razie odmowy lub podkreślać, że sprawa jest pilna i poufna.
-
Wyłudzanie korzyści: Jeśli ofiara ulega presji i wykonuje polecenia, cyberprzestępcy uzyskują dostęp do wrażliwych informacji lub przejmują kontrolę nad funduszami finansowymi firmy.
Według danych Policji, oprócz typowych oszustw CEO, cyberprzestępcy stosują również inne podstępne metody, takie jak:
- Oszustwa z wykorzystaniem faktur – podszywanie się pod dotychczasowych klientów i wysyłanie zmodyfikowanych faktur z innym numerem konta bankowego
- Kradzież danych osobowych – zbieranie danych z nieuważnie prowadzonych stron internetowych
- Oszustwa związane z inwestycjami i zakupami online – tworzenie podrabianych stron banków lub fałszywych sklepów internetowych
Wszystkie te techniki opierają się na wykorzystaniu zaufania i autorytetu, aby nakłonić ofiary do wykonania niekorzystnych dla siebie działań.
Jakie są skutki oszustw CEO?
Skutki udanych ataków typu CEO phishing mogą być dla firm katastrofalne. Najpoważniejsze konsekwencje to:
- Straty finansowe – cyberprzestępcy mogą przejąć całe zasoby finansowe firmy, co może doprowadzić do bankructwa
- Wyciek poufnych danych – udostępnienie wrażliwych informacji o pracownikach, klientach lub partnerach biznesowych
- Poważne szkody wizerunkowe – firma może być postrzegana jako niebezpieczny partner, co może wpłynąć na zaufanie klientów i kontrahentów
- Koszty naprawy szkód – firmy muszą ponieść wydatki na dochodzenie, odzyskiwanie straconych środków i wzmocnienie zabezpieczeń
Specjaliści podkreślają, że nawet pojedyncze udane oszustwo CEO może mieć katastrofalne skutki dla małych i średnich przedsiębiorstw, które często nie są wystarczająco przygotowane na takie ataki.
Jak rozpoznać i zapobiegać oszustwom CEO?
Aby chronić swoją firmę przed tego typu zagrożeniami, kluczowe jest wdrożenie kompleksowych środków bezpieczeństwa oraz podniesienie świadomości pracowników. Oto najważniejsze zalecenia:
1. Uwierzytelnianie poczty elektronicznej
Wdrożenie protokołów uwierzytelniania poczty, takich jak DMARC, SPF i DKIM, pomaga zidentyfikować i zablokować fałszywe wiadomości e-mail, zanim dotrą one do skrzynek pracowników.
2. Wieloetapowa weryfikacja
Wprowadzenie wymogu weryfikacji wszelkich nietypowych próśb o przelewy lub udostępnienie danych, np. przez telefon lub inny zaufany kanał komunikacji.
3. Szkolenia z cyberbezpieczeństwa
Regularne szkolenia uświadamiające pracowników, jak rozpoznawać próby phishingu i reagować na podejrzane żądania, znacząco zmniejszają ryzyko powodzenia ataków.
4. Solidne procedury finansowe
Opracowanie ścisłych protokołów dotyczących transakcji finansowych, wymagających zatwierdzenia przez co najmniej dwie osoby, ogranicza możliwości wyłudzenia pieniędzy.
5. Plany reagowania na incydenty
Przygotowanie szczegółowego planu działania na wypadek skutecznego ataku pozwala zminimalizować szkody i szybko powrócić do normalnego funkcjonowania.
Kombinacja tych środków bezpieczeństwa, wsparta nieustanną czujnością i świadomością zagrożeń, stanowi kluczową ochronę przed coraz bardziej wyrafinowanymi atakami typu CEO phishing.
Sprawdź, jak kompleksowo zabezpieczyć swoją firmę przed oszustwami w internecie.
