REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Księgowość » Wiadomości » Cyberataki wymierzone w dyrektorów finansowych - jak się chronić?

Cyberataki wymierzone w dyrektorów finansowych - jak się chronić?

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
02 sierpnia 2016, 09:37
Michał Jarski
Michał Jarski
Dyrektor Regionalny ds. Sprzedaży w Trend Micro
Cyberataki wymierzone w dyrektorów finansowych - jak się chronić?
Cyberataki wymierzone w dyrektorów finansowych - jak się chronić?
ShutterStock

REKLAMA

REKLAMA

Obecnie pracownicy odpowiedzialni za firmowe finanse są szczególnie narażeni na działania cyberprzestępców. Dyrektorzy finansowi (CFO) czy księgowi z uprawnieniami do wykonywania przelewów wysokich kwot stają się ofiarami ataków polegających na rozsyłaniu przez internetowych oszustów fałszywych biznesowych wiadomości e-mail (ang. Business Email Compromise, BEC). Mechanizm jest prosty - opiera się na wykorzystaniu zaufania i szacunku, jakim cieszą się osoby zajmujące najwyższe stanowiska w organizacji.

Kampanie BEC bez wątpienia są jednym z największych cyberzagrożeń wymierzonych w przedsiębiorstwa, niezależnie od ich wielkości czy rodzaju prowadzonej działalności. Przeprowadzenie takich ataków nie zależy od komponentów złośliwego oprogramowania – opiera się na zwykłym oszustwie i socjotechnice, co czyni je tak trudnymi do wykrycia. Działania ukierunkowane są bezpośrednio na pracowników odpowiedzialnych za finanse oraz osoby podatne na podstępne taktyki (m.in. przedstawicieli kadry zarządzającej, pracowników działu kadr czy asystentów). Wykorzystanie tych mechanizmów powoduje, że ataki BEC mogą doprowadzić firmę do ruiny w bardzo krótkim czasie.

REKLAMA

Autopromocja
Komplet Podatki 2025 - wiedza dla księgowych i biur rachunkowych
PIT, CIT, Ryczałt 2025. Podatki część 1. Ponad 100 zmian
VAT 2025

Jak wynika z badań przeprowadzonych przez Trend Micro, tylko w latach 2013–2015 kampanie BEC spowodowały łączne straty w wysokości 3,1 mld USD i zostały odnotowane w 79 krajach świata*. Ich ofiarą padło ponad 22 000 firm. Prowadzone od kliku lat badania i analizy zagrożeń BEC pozwoliły ustalić pewne prawidłowości, które mogą pomóc przedsiębiorcom w zwalczaniu tego typu ataków i obraniu odpowiedniej strategii obrony. Okazało się, że w ciągu ostatnich dwóch lat aż 40% ataków BEC najczęściej było wymierzonych w dyrektorów finansowych, a w 31% przypadków przestępcy podszyli się pod dyrektora generalnego, aby skutecznie przeprowadzić atak. Najpopularniejsze tematy wiadomości BEC zawierały słowa „Transfer” (transfer), „Request” (prośba) i „Urgent” (pilne). Do tego rodzaju ataków dochodziło najczęściej w krajach takich jak Kanada, USA, UK, Belgia czy Australia, co oznacza, że polskie firmy współpracujące z kontrahentami z tych państw powinny zwracać szczególną uwagę na wszelkie kwestie dotyczące finansów, przelewów oraz poprawności danych widniejących w przesyłanych za pomocą poczty internetowej dokumentach. Tym bardziej, że są już znane przypadki skutecznych ataków BEC wymierzonych w firmy i organizacje publiczne w Polsce.

Polecamy: Ustawa o rachunkowości z komentarzem do zmian (książka)
Autorzy: prof. dr hab. Irena Olchowicz, dr Agnieszka Tłaczała, dr Wanda Wojas, Ewa Sobińska, Katarzyna Kędziora, Justyna Beata Zakrzewska, dr Gyöngyvér Takáts

Różnorodne metody wyłudzania pieniędzy

Oprócz popularnego ostatnio podszywania się pod przedstawicieli kadry zarządzającej, oszustwa związane z przelewami mogą być przeprowadzane na wiele innych sposobów. Nierzadko dochodzi do włamań na konto pocztowe, a następnie wykonania przelewu na rachunek oszusta. Stosując phishing lub oprogramowanie keylogger, cyberprzestępcy mogą również wykraść dane uwierzytelniania, które następnie umożliwią im wysyłanie poleceń przelewu.

VAT w 2025 r. – szkolenie INFOR
Autopromocja

VAT w 2025 roku.
Szkolenie INFOR

Sprawdź

REKLAMA

Niektórzy z nich tworzą jeszcze większe pozory legalności, wykonując krótkie telefony w celu zatwierdzenia transakcji. Przykładem może być jedna z wielkich polskich firm, która w marcu bieżącego roku finalizowała przejęcie spółki z branży. Cyberprzestępcy wykorzystali tę sytuację do przeprowadzenia ataku. Spreparowany mail, którego nadawcą miał być prezes organizacji, wpłynął do skrzynki odbiorczej głównej księgowej. Ta – postępując zgodnie z instrukcją – skontaktowała się z prawnikiem przejmowanej firmy, który miał zdradzić szczegóły transakcji: wysokość pierwszej transzy oraz numer konta bankowego. Szczęśliwie, osoba odpowiedzialna za realizację przelewów zauważyła błąd w adresie prezesa, co uchroniło firmę przed stratą 2 mln USD.

Dalszy ciąg materiału pod wideo

Przedsiębiorstwa prowadzące interesy z zagranicznymi dostawcami mogą stanowić dobry cel ataków polegających na modyfikacji płatności, w tym np. jej odbiorcy. Kilka lat temu ofiarą tej metody padło warszawskie metro, a w zeszłym roku także Podlaski Zarząd Dróg Wojewódzkich. Mechanizm był podobny: do księgowości wpłynęło pismo z informacją o zmianie numeru konta bankowego podwykonawcy – w ten sposób stracono 560 tys. zł w przypadku metra oraz 3,7 mln zł w przypadku PZDW. Nikt nie czuł potrzeby weryfikacji prawdziwości dokumentów.

Zagrożenie stało się tak popularne, że 4 marca 2016 roku Związek Banków Polskich opublikował w swoim serwisie internetowym komunikat o treści: „Zagrożenie dla przedsiębiorców. Oszukańcze zlecenia wykonania wysokokwotowych poleceń przelewu”.

Sprawozdanie finansowe 2024. Przykłady, schematy, tabele, wzory
Autopromocja

Sprawozdanie finansowe 2024
Przykłady, schematy, tabele, wzory

Sprawdź

Polecamy: Jednolity Plik Kontrolny – praktyczny poradnik (książka)

Jak skutecznie walczyć z atakami BEC?

Aby chronić swoją firmę przed tymi cyberzagrożeniami przedsiębiorcy powinni przede wszystkim edukować pracowników na temat mechanizmów działania oszustów BEC. Minęły czasy, kiedy wiadomości e-mail rozsyłane przez cyberprzestępców można było łatwo rozpoznać po rażących błędach gramatycznych lub niewiarygodnych historiach o wygranej na loterii czy wysokich tantiemach. Ataki te nie wymagają zaawansowanych umiejętności technicznych, narzędzi czy usług powszechnie dostępnych w cyberprzestępczym podziemiu – wystarczy nieostrożność jednego pracownika, którego zarażone konto pozwoli okradać biznes oraz poszerzać skalę ataku. Jak więc skutecznie walczyć z tego rodzaju atakami? Kierownictwo firmy powinno przede wszystkim rozważyć wprowadzenie dwustopniowego procesu weryfikacji podczas rozporządzania finansami czy zasobami, obejmującego na przykład alternatywny kanał komunikacyjny czy cyfrowy podpis. Niezbędne jest także bieżące informowanie pracowników o pojawiających się mechanizmach ataku odkrytych przez specjalistów ds. bezpieczeństwa IT czy rządowe agencje.

Jak przygotować się do zmian 2025. Podatki. Rachunkowość. ZUS
Autopromocja

Jak przygotować się do zmian 2025.
Podatki. Rachunkowość. ZUS

Sprawdź

Co więcej, wszyscy pracownicy (nie tylko managerowie IT) powinni być zaznajomieni z technikami rozsyłania fałszywych wiadomości wśród osób związanych z finansami w firmie. Powinni również dbać o higienę korzystania z cyfrowych zasobów – dzięki zachowaniu podstawowych zasad bezpiecznego i poprawnego korzystania ze skrzynki pocztowej (uważne przeglądanie wiadomości e-mail, kilkukrotne sprawdzanie danych odbiorcy przed dokonaniem opłat za fakturę czy natychmiastowe usuwanie wiadomości spam). FBI, które wystosowało specjalny komunikat poświęcony tym zagrożeniom, zaleca również używanie przycisku „przekaż” zamiast „odpowiedz”, dzięki czemu nadawca będzie miał pewność, że w polu odbiorcy został wpisany poprawny adres.

Menedżerom IT zaleca się korzystanie z rozwiązań zabezpieczających wiadomości email. Na rynku istnieje wiele narzędzi, które oferują zwiększoną ochronę przed atakiem posługującym się metodami inżynierii społecznej, pomagają wykrywać zaawansowane złośliwe oprogramowanie i inne zagrożenia.

Ze względu na podstępny charakter ataków BEC bazujących głównie na socjotechnice, nawet najlepsze procedury lub zabezpieczenia nie stanowią wystarczającej ochrony. W ostatecznym rozrachunku wszystko zależy od pracowników – to oni stanowią pierwszą i ostatnią linię obrony w zabezpieczeniu cennych zasobów cyfrowych organizacji. To głównie od ich świadomości na temat istniejących zagrożeń oraz niezbędnych form ostrożności zależy, czy firma uchroni się przed coraz zuchwalszymi działaniami cyberprzestępców.

* http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/billion-dollar-scams-the-numbers-behind-business-email-compromise

Michał Jarski, dyrektor regionalny ds. sprzedaży, Trend Micro

Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Podatki 2025 - przegląd najważniejszych zmian
21 lut 2025

Rok 2025 przyniósł ze sobą dość znaczące zmiany w polskim systemie podatkowym. Aktualizacje te mają na celu dostosowanie polityki podatkowej do dynamicznie zmieniającego się otoczenia gospodarczego, zwiększenie przejrzystości procesów oraz zapewnienie większej sprawiedliwości finansowej. Poniżej przedstawiam najważniejsze zmiany, które weszły w życie od 1 stycznia 2025r.
Zakupy z Chin mocno zdrożeją po likwidacji zasady de minimis. Nadchodzi ofensywa celna UE i USA wymierzona w chiński e-commerce
21 lut 2025

Granice Unii Europejskiej przekracza dziennie 12,6 mln tanich przesyłek zwolnionych z cła, z czego 91% pochodzi z Chin. W USA to ponad 3,7 mln paczek, w tym prawie 61% to produkty z Państwa Środka. W obu przypadkach to import w reżimie de minimis, który umożliwił chińskim serwisom podbój bogatych rynków e-commerce po obu stronach Atlantyku i stanowił istotny czynnik wzrostu w logistyce, zwłaszcza międzynarodowym w lotnictwie towarowym. Zbliża się jednak koniec zasady de minimis, co przemebluje nie tylko międzynarodowe dostawy, ale także transgraniczny e-handel i prowadzi do znaczącego wzrostu cen.

Ceny energii elektrycznej dla firm w 2025 roku. Aktualna sytuacja i prognozy
20 lut 2025

W 2025 roku polski rynek energii elektrycznej dla firm stoi przed szeregiem wyzwań i możliwości. Zrozumienie obecnej sytuacji cenowej oraz dostępnych form dofinansowania, zwłaszcza w kontekście inwestycji w fotowoltaikę, jest kluczowe dla przedsiębiorstw planujących optymalizację kosztów energetycznych.
Program do rozliczeń rocznych PIT
19 lut 2025

Rozlicz deklaracje roczne z programem polecanym przez tysiące firm i księgowych. Zawiera wszystkie typy deklaracji PIT, komplet załączników oraz formularzy NIP.

REKLAMA

ETS 2: Na czym polega nowy system handlu emisjami w UE. Założenia, harmonogram i skutki wdrożenia. Czy jest szansa na rezygnację z ETS 2?
18 lut 2025

Unijny system handlu uprawnieniami do emisji (EU ETS) odgrywa kluczową rolę w polityce klimatycznej UE, jednak jego rozszerzenie na nowe sektory gospodarki w ramach ETS 2 budzi kontrowersje. W artykule przedstawione zostały założenia systemu ETS 2, jego harmonogram wdrożenia oraz potencjalne skutki ekonomiczne i społeczne. Przeanalizowano również możliwości opóźnienia lub rezygnacji z wdrożenia ETS 2 w kontekście polityki klimatycznej oraz nacisków gospodarczych i społecznych.
Samotny rodzic, ulga podatkowa i 800+. Komu skarbówka pozwoli skorzystać, a kto zostanie z niczym?
19 lut 2025

Ulga prorodzinna to temat, który każdego roku podczas rozliczeń PIT budzi wiele emocji, zwłaszcza wśród rozwiedzionych lub żyjących w separacji rodziców. Czy opieka naprzemienna oznacza równe prawa do ulgi? Czy ten rodzaj opieki daje możliwość rozliczenia PIT jako samotny rodzic? Ministerstwo Finansów rozwiewa wątpliwości.
Rozliczenie podatkowe 2025: Logowanie do Twój e-PIT. Dane autoryzujące, bankowość elektroniczna, Profil Zaufany, mObywatel, e-Dowód
20 lut 2025

W ramach usługi Twój e-PIT przygotowanej przez Ministerstwo Finansów i Krajową Administrację Skarbową w 2025 roku, można złożyć elektronicznie zeznania podatkowe: PIT-28, PIT-36, PIT-36L, PIT-37 i PIT-38 a także oświadczenie PIT-OP i informację PIT-DZ. Czas na to rozliczenie jest do 30 kwietnia 2025 r. Najpierw jednak trzeba się zalogować do e-US (e-Urząd Skarbowy - urzadskarbowy.gov.pl). Jak to zrobić?
Księgowy, biuro rachunkowe czy samodzielna księgowość? Jeden błąd może kosztować Cię fortunę!
17 lut 2025

Prowadzenie księgowości to obowiązek każdego przedsiębiorcy, ale sposób jego realizacji zależy od wielu czynników. Zatrudnienie księgowego, współpraca z biurem rachunkowym czy samodzielne rozliczenia – każda opcja ma swoje plusy i minusy. Źle dobrane rozwiązanie może prowadzić do kosztownych błędów, kar i niepotrzebnego stresu. Sprawdź, komu najlepiej powierzyć finanse swojej firmy i uniknij pułapek, które mogą Cię słono kosztować!

REKLAMA

Czym są przychody pasywne, wykluczające z Estońskiego CIT? Sądy odpowiadają niejednoznacznie
17 lut 2025

Przychody pasywne w Estońskim CIT. Czy w przypadku gdy firma informatyczna sprzedaje prawa do gier jako licencje, są to przychody pasywne, wykluczające z Estońskiego CIT? Na pytanie, czy limit do 50% przychodów z wierzytelności dla podatników na Estońskim CIT powinien być liczony z uwzględnieniem zbywania własnych wierzytelności w ramach faktoringu, sądy odpowiadają niejednoznacznie.
Dość biurokratycznych absurdów! 14 kluczowych zmian, które uwolnią firmy od zbędnych ograniczeń
17 lut 2025

Mikro, małe i średnie firmy od lat duszą się pod ciężarem skomplikowanych przepisów i biurokratycznych wymagań. Rzecznik MŚP, Agnieszka Majewska, przekazała premierowi Donaldowi Tuskowi listę 14 postulatów, które mogą zrewolucjonizować prowadzenie działalności gospodarczej w Polsce. Uproszczenia podatkowe, ograniczenie kontroli, mniej biurokracji i szybsze procedury inwestycyjne – te zmiany mogą zdecydować o przyszłości setek tysięcy przedsiębiorstw. Czy rząd odpowie na ten apel?

REKLAMA