Coraz częściej ofiarami są średnie i małe przedsiębiorstwa, a sam atak nie wymaga zaawansowanej wiedzy technicznej. W wielu przypadkach wystarczy jedno kliknięcie w wiadomość e-mail, otwarcie załącznika lub wykonanie przelewu na podstawie pozornie niewinnej wiadomości od kontrahenta.
Najbardziej niepokojące jest jednak to, że współczesne cyberoszustwa coraz rzadziej polegają na przełamywaniu zabezpieczeń technologicznych. Zamiast tego atakują ludzi. Ich narzędziem nie jest już wyłącznie złośliwe oprogramowanie, ale psychologia, manipulacja i umiejętne wykorzystanie zaufania.
Statystyki pokazują, że oszustwa typu Business Email Compromise (BEC), czyli przejęcie lub podszywanie się pod firmową komunikację e-mailową, należą obecnie do najbardziej kosztownych cyberprzestępstw na świecie. Firmy tracą miliony dolarów nie dlatego, że ktoś złamał skomplikowane szyfrowanie, lecz dlatego, że pracownik uwierzył w autentyczność wiadomości.
Historie opisane poniżej pokazują, że cyberprzestępcy nie muszą być geniuszami programowania. Wystarczy, że są dobrymi psychologami.
Najdroższe kliknięcie w historii Facebooka i Google
Gdy słyszymy o cyberoszustwach, często zakładamy, że dotyczą one organizacji o słabych zabezpieczeniach. Tymczasem jedną z najbardziej spektakularnych historii są straty poniesione przez firmy Google i Facebook.
Pomiędzy 2013 a 2015 rokiem cyberprzestępcy stworzyli fałszywą firmę podszywającą się pod rzeczywistego dostawcę sprzętu komputerowego. Następnie przez wiele miesięcy wysyłali do działów finansowych autentycznie wyglądające faktury, umowy i dokumenty księgowe. Dokumenty były przygotowane profesjonalnie, zawierały pieczęcie, podpisy i wszystkie elementy charakterystyczne dla legalnej korespondencji biznesowej.
Efekt? Pracownicy zatwierdzili płatności na ponad 120 milionów dolarów. Dopiero po czasie odkryto, że pieniądze trafiały na konta kontrolowane przez oszustów.
Warto zwrócić uwagę na jeden szczegół. W tym przypadku nie doszło do włamania do systemów informatycznych. Nie złamano zabezpieczeń sieciowych. Nie wykorzystano zaawansowanego malware. Cyberprzestępcy wykorzystali wyłącznie zaufanie oraz rutynę procesów finansowych.
To pokazuje fundamentalną prawdę współczesnego cyberbezpieczeństwa: najsłabszym elementem systemu nie jest komputer, lecz człowiek.
46 milionów dolarów straty przez fałszywe przelewy
Jeszcze bardziej spektakularny był przypadek firmy Ubiquiti Networks.
Atakujący podszyli się pod pracowników oraz dostawców i przesłali serię pozornie standardowych poleceń płatniczych do działu finansowego. Przelewy były wykonywane stopniowo, przez ponad dwa tygodnie. Nikt nie zauważył niczego podejrzanego.
Łączna wartość środków, które opuściły firmę, wyniosła 46,7 miliona dolarów. Dopiero późniejsza analiza wykazała, że pieniądze trafiały na zagraniczne rachunki kontrolowane przez grupę przestępczą.
Ta historia jest szczególnie ważna dla przedsiębiorców, ponieważ pokazuje, że największe straty nie zawsze wynikają z pojedynczego błędu. Często są efektem serii drobnych zaniedbań.
Brak dodatkowej autoryzacji.
Brak telefonicznego potwierdzenia.
Brak procedury weryfikacji zmiany rachunku bankowego.
Każdy z tych elementów osobno wydaje się mało istotny. Razem tworzą jednak idealne warunki dla cyberoszustów.
E-mail od prezesa kosztował 42 miliony euro
Jednym z najbardziej znanych przykładów oszustwa typu „na prezesa” jest przypadek austriackiej firmy z branży lotniczej FACC.
Cyberprzestępcy przez długi czas analizowali sposób komunikacji prezesa przedsiębiorstwa. Poznali jego styl pisania, słownictwo oraz schematy wydawania poleceń. Następnie wysłali do działu finansowego wiadomość, która wyglądała jak autentyczny e-mail od prezesa.
Treść była prosta.
Firma rzekomo prowadziła ważną akwizycję i konieczne było pilne wykonanie przelewu.
Pracownik nie miał powodów do podejrzeń. Wiadomość wyglądała wiarygodnie, była napisana odpowiednim językiem i zawierała logiczne uzasadnienie biznesowe.
Przelew został wykonany.
Kwota wyniosła około 42 milionów euro.
To wydarzenie stało się jednym z najbardziej znanych przykładów tzw. CEO Fraud, czyli oszustwa polegającego na podszywaniu się pod najwyższe kierownictwo firmy.
Najciekawsze jest jednak to, że atakujący nie wykorzystali skomplikowanych narzędzi technicznych. Najpierw obserwowali ludzi, a dopiero później zaatakowali.
Historia, która mogła wydarzyć się w każdej polskiej firmie
Wielu przedsiębiorców uważa, że milionowe oszustwa dotyczą wyłącznie międzynarodowych korporacji. Tymczasem mechanizm jest identyczny niezależnie od wielkości organizacji.
Dobrym przykładem jest opisana przez administratorów IT sytuacja, w której firma straciła około 500 tysięcy dolarów po przejęciu jednego konta użytkownika. Atakujący uzyskali dostęp do skrzynki e-mail pracownika, a następnie rozpoczęli korespondencję dotyczącą płatności. W wiadomościach kopiowali prawdziwych pracowników księgowości, używając adresów różniących się jedną literą od oryginału. Dla osoby zajmującej się przelewami wszystko wyglądało prawidłowo.
W efekcie wykonano przelew na rachunek wskazany przez przestępców. Firma zorientowała się dopiero wtedy, gdy pieniądze zniknęły.
To właśnie dlatego współczesne cyberoszustwa są tak niebezpieczne.
Nie wykorzystują błędów technologii.
Wykorzystują ludzką nieuwagę.
Psychologia jest ważniejsza niż technologia
Badania nad cyberpsychologią pokazują, że większość skutecznych oszustw opiera się na kilku podstawowych mechanizmach wpływu społecznego.
Pierwszym jest autorytet.
Jeżeli wiadomość pochodzi od prezesa, dyrektora finansowego lub ważnego klienta, pracownicy są bardziej skłonni wykonywać polecenia bez zadawania pytań.
Drugim elementem jest presja czasu.
Cyberprzestępcy niemal zawsze podkreślają pilność sprawy.
„Przelew musi wyjść dziś.”
„Klient czeka.”
„Transakcja jest poufna.”
„Nie mam teraz czasu na rozmowę.”
Presja powoduje, że człowiek przestaje analizować sytuację i zaczyna działać automatycznie.
Trzecim czynnikiem jest zaufanie.
Jeżeli rozmowa wygląda jak kontynuacja wcześniejszej korespondencji, odbiorca zakłada, że wszystko jest w porządku.
To właśnie dlatego wiele ataków rozpoczyna się od przejęcia skrzynki e-mail. Przestępcy obserwują komunikację przez tygodnie, a następnie włączają się do istniejących rozmów.
Deepfake – nowa generacja oszustw
Jeszcze kilka lat temu wystarczało zadzwonić do prezesa i potwierdzić przelew.
Dziś nawet to może nie wystarczyć.
Rozwój sztucznej inteligencji umożliwił tworzenie realistycznych kopii głosu oraz wizerunku konkretnych osób. Cyberprzestępcy coraz częściej wykorzystują deepfake do podszywania się pod członków zarządu.
Jednym z najbardziej znanych przypadków ostatnich lat była sytuacja w firmie inżynieryjnej Arup. Pracownik działu finansowego uczestniczył w wideokonferencji, podczas której obecni byli rzekomo członkowie kierownictwa.
W rzeczywistości część uczestników była wygenerowana przez sztuczną inteligencję.
Po spotkaniu wykonano serię przelewów o łącznej wartości około 25 milionów dolarów.
Jeszcze bardziej niepokojące jest to, że podobne próby odnotowano w wielu dużych organizacjach, gdzie oszuści wykorzystywali klonowanie głosu prezesów oraz dyrektorów.
To oznacza, że klasyczna zasada „potwierdź telefonicznie” przestaje być wystarczająca.
Dlaczego firmy nadal dają się oszukiwać?
To pytanie pojawia się po każdym głośnym incydencie.
Jak można przelać miliony złotych na obce konto?
Dlaczego nikt tego nie sprawdził?
Odpowiedź jest prostsza, niż mogłoby się wydawać.
Większość organizacji działa pod ogromną presją czasu. Działy finansowe realizują setki płatności miesięcznie. Pracownicy są rozliczani z efektywności i terminowości. W takich warunkach łatwo przeoczyć jeden szczegół.
Cyberprzestępcy doskonale o tym wiedzą.
Dlatego ich wiadomości nie wyglądają podejrzanie.
Przeciwnie.
Wyglądają dokładnie tak, jak powinny.
Eksperci podkreślają, że nowoczesne oszustwa BEC należą do najbardziej skutecznych form cyberprzestępczości właśnie dlatego, że wykorzystują naturalne zachowania ludzi zamiast luk technicznych.
Ile naprawdę kosztuje jedno kliknięcie?
Kiedy mówi się o cyberatakach, większość przedsiębiorców myśli o kosztach technologicznych.
Nowy serwer.
Nowy firewall.
Nowe oprogramowanie.
Tymczasem największe koszty pojawiają się gdzie indziej.
Utracone środki finansowe.
Przestoje operacyjne.
Utrata reputacji.
Spadek zaufania klientów.
Koszty prawne.
Koszty odzyskiwania danych.
W wielu przypadkach szkody są znacznie większe niż sama wartość przejętych pieniędzy.
Firma może odzyskać część środków.
Znacznie trudniej odzyskać reputację.
Jak chronić firmę przed podobnym scenariuszem?
Nie istnieje rozwiązanie gwarantujące stuprocentowe bezpieczeństwo. Istnieją jednak działania, które radykalnie zmniejszają ryzyko.
Po pierwsze, każda zmiana rachunku bankowego kontrahenta powinna być potwierdzana telefonicznie z wykorzystaniem wcześniej znanego numeru telefonu.
Po drugie, przelewy o wysokiej wartości powinny wymagać wielostopniowej autoryzacji.
Po trzecie, pracownicy muszą być regularnie szkoleni z rozpoznawania oszustw.
Po czwarte, warto wdrożyć uwierzytelnianie wieloskładnikowe (MFA), które znacząco utrudnia przejęcie firmowych kont.
Po piąte, przedsiębiorstwa powinny posiadać jasno określone procedury reagowania na incydenty.
Najważniejsze jest jednak budowanie kultury bezpieczeństwa.
Pracownik nie powinien bać się zadawać pytań.
Jeżeli księgowa ma wątpliwości dotyczące przelewu na 500 tysięcy złotych, powinna mieć pełne prawo zadzwonić do prezesa i poprosić o potwierdzenie.
Cyberprzestępcy nie atakują komputerów. Atakują ludzi.
Największą lekcją płynącą z historii Google, Facebooka, Ubiquiti, FACC czy Arup jest fakt, że współczesne cyberoszustwa rzadko zaczynają się od technologii.
Zaczynają się od człowieka.
Od wiadomości e-mail.
Od telefonu.
Od linku.
Od fałszywej faktury.
Od jednego kliknięcia.
W świecie, w którym sztuczna inteligencja potrafi generować głos prezesa, tworzyć realistyczne dokumenty i prowadzić wiarygodne rozmowy, granica pomiędzy prawdą a oszustwem staje się coraz bardziej rozmyta.
Dlatego najskuteczniejszą ochroną przedsiębiorstwa nie jest już wyłącznie technologia.
Jest nią połączenie procedur, świadomości pracowników i zdrowego sceptycyzmu.
Bo w dzisiejszych realiach jedno niepozorne kliknięcie może kosztować nie tylko 500 tysięcy złotych.
Może kosztować przyszłość całej firmy.
