REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Cyberataki wymierzone w dyrektorów finansowych - jak się chronić?

Michał Jarski
Dyrektor Regionalny ds. Sprzedaży w Trend Micro
Cyberataki wymierzone w dyrektorów finansowych - jak się chronić?
Cyberataki wymierzone w dyrektorów finansowych - jak się chronić?
ShutterStock

REKLAMA

REKLAMA

Obecnie pracownicy odpowiedzialni za firmowe finanse są szczególnie narażeni na działania cyberprzestępców. Dyrektorzy finansowi (CFO) czy księgowi z uprawnieniami do wykonywania przelewów wysokich kwot stają się ofiarami ataków polegających na rozsyłaniu przez internetowych oszustów fałszywych biznesowych wiadomości e-mail (ang. Business Email Compromise, BEC). Mechanizm jest prosty - opiera się na wykorzystaniu zaufania i szacunku, jakim cieszą się osoby zajmujące najwyższe stanowiska w organizacji.

Kampanie BEC bez wątpienia są jednym z największych cyberzagrożeń wymierzonych w przedsiębiorstwa, niezależnie od ich wielkości czy rodzaju prowadzonej działalności. Przeprowadzenie takich ataków nie zależy od komponentów złośliwego oprogramowania – opiera się na zwykłym oszustwie i socjotechnice, co czyni je tak trudnymi do wykrycia. Działania ukierunkowane są bezpośrednio na pracowników odpowiedzialnych za finanse oraz osoby podatne na podstępne taktyki (m.in. przedstawicieli kadry zarządzającej, pracowników działu kadr czy asystentów). Wykorzystanie tych mechanizmów powoduje, że ataki BEC mogą doprowadzić firmę do ruiny w bardzo krótkim czasie.

Autopromocja

Jak wynika z badań przeprowadzonych przez Trend Micro, tylko w latach 2013–2015 kampanie BEC spowodowały łączne straty w wysokości 3,1 mld USD i zostały odnotowane w 79 krajach świata*. Ich ofiarą padło ponad 22 000 firm. Prowadzone od kliku lat badania i analizy zagrożeń BEC pozwoliły ustalić pewne prawidłowości, które mogą pomóc przedsiębiorcom w zwalczaniu tego typu ataków i obraniu odpowiedniej strategii obrony. Okazało się, że w ciągu ostatnich dwóch lat aż 40% ataków BEC najczęściej było wymierzonych w dyrektorów finansowych, a w 31% przypadków przestępcy podszyli się pod dyrektora generalnego, aby skutecznie przeprowadzić atak. Najpopularniejsze tematy wiadomości BEC zawierały słowa „Transfer” (transfer), „Request” (prośba) i „Urgent” (pilne). Do tego rodzaju ataków dochodziło najczęściej w krajach takich jak Kanada, USA, UK, Belgia czy Australia, co oznacza, że polskie firmy współpracujące z kontrahentami z tych państw powinny zwracać szczególną uwagę na wszelkie kwestie dotyczące finansów, przelewów oraz poprawności danych widniejących w przesyłanych za pomocą poczty internetowej dokumentach. Tym bardziej, że są już znane przypadki skutecznych ataków BEC wymierzonych w firmy i organizacje publiczne w Polsce.

Polecamy: Ustawa o rachunkowości z komentarzem do zmian (książka)
Autorzy: prof. dr hab. Irena Olchowicz, dr Agnieszka Tłaczała, dr Wanda Wojas, Ewa Sobińska, Katarzyna Kędziora, Justyna Beata Zakrzewska, dr Gyöngyvér Takáts

Różnorodne metody wyłudzania pieniędzy

Oprócz popularnego ostatnio podszywania się pod przedstawicieli kadry zarządzającej, oszustwa związane z przelewami mogą być przeprowadzane na wiele innych sposobów. Nierzadko dochodzi do włamań na konto pocztowe, a następnie wykonania przelewu na rachunek oszusta. Stosując phishing lub oprogramowanie keylogger, cyberprzestępcy mogą również wykraść dane uwierzytelniania, które następnie umożliwią im wysyłanie poleceń przelewu.

Niektórzy z nich tworzą jeszcze większe pozory legalności, wykonując krótkie telefony w celu zatwierdzenia transakcji. Przykładem może być jedna z wielkich polskich firm, która w marcu bieżącego roku finalizowała przejęcie spółki z branży. Cyberprzestępcy wykorzystali tę sytuację do przeprowadzenia ataku. Spreparowany mail, którego nadawcą miał być prezes organizacji, wpłynął do skrzynki odbiorczej głównej księgowej. Ta – postępując zgodnie z instrukcją – skontaktowała się z prawnikiem przejmowanej firmy, który miał zdradzić szczegóły transakcji: wysokość pierwszej transzy oraz numer konta bankowego. Szczęśliwie, osoba odpowiedzialna za realizację przelewów zauważyła błąd w adresie prezesa, co uchroniło firmę przed stratą 2 mln USD.

Dalszy ciąg materiału pod wideo

Przedsiębiorstwa prowadzące interesy z zagranicznymi dostawcami mogą stanowić dobry cel ataków polegających na modyfikacji płatności, w tym np. jej odbiorcy. Kilka lat temu ofiarą tej metody padło warszawskie metro, a w zeszłym roku także Podlaski Zarząd Dróg Wojewódzkich. Mechanizm był podobny: do księgowości wpłynęło pismo z informacją o zmianie numeru konta bankowego podwykonawcy – w ten sposób stracono 560 tys. zł w przypadku metra oraz 3,7 mln zł w przypadku PZDW. Nikt nie czuł potrzeby weryfikacji prawdziwości dokumentów.

Zagrożenie stało się tak popularne, że 4 marca 2016 roku Związek Banków Polskich opublikował w swoim serwisie internetowym komunikat o treści: „Zagrożenie dla przedsiębiorców. Oszukańcze zlecenia wykonania wysokokwotowych poleceń przelewu”.

Polecamy: Jednolity Plik Kontrolny – praktyczny poradnik (książka)

Jak skutecznie walczyć z atakami BEC?

Aby chronić swoją firmę przed tymi cyberzagrożeniami przedsiębiorcy powinni przede wszystkim edukować pracowników na temat mechanizmów działania oszustów BEC. Minęły czasy, kiedy wiadomości e-mail rozsyłane przez cyberprzestępców można było łatwo rozpoznać po rażących błędach gramatycznych lub niewiarygodnych historiach o wygranej na loterii czy wysokich tantiemach. Ataki te nie wymagają zaawansowanych umiejętności technicznych, narzędzi czy usług powszechnie dostępnych w cyberprzestępczym podziemiu – wystarczy nieostrożność jednego pracownika, którego zarażone konto pozwoli okradać biznes oraz poszerzać skalę ataku. Jak więc skutecznie walczyć z tego rodzaju atakami? Kierownictwo firmy powinno przede wszystkim rozważyć wprowadzenie dwustopniowego procesu weryfikacji podczas rozporządzania finansami czy zasobami, obejmującego na przykład alternatywny kanał komunikacyjny czy cyfrowy podpis. Niezbędne jest także bieżące informowanie pracowników o pojawiających się mechanizmach ataku odkrytych przez specjalistów ds. bezpieczeństwa IT czy rządowe agencje.

Co więcej, wszyscy pracownicy (nie tylko managerowie IT) powinni być zaznajomieni z technikami rozsyłania fałszywych wiadomości wśród osób związanych z finansami w firmie. Powinni również dbać o higienę korzystania z cyfrowych zasobów – dzięki zachowaniu podstawowych zasad bezpiecznego i poprawnego korzystania ze skrzynki pocztowej (uważne przeglądanie wiadomości e-mail, kilkukrotne sprawdzanie danych odbiorcy przed dokonaniem opłat za fakturę czy natychmiastowe usuwanie wiadomości spam). FBI, które wystosowało specjalny komunikat poświęcony tym zagrożeniom, zaleca również używanie przycisku „przekaż” zamiast „odpowiedz”, dzięki czemu nadawca będzie miał pewność, że w polu odbiorcy został wpisany poprawny adres.

Menedżerom IT zaleca się korzystanie z rozwiązań zabezpieczających wiadomości email. Na rynku istnieje wiele narzędzi, które oferują zwiększoną ochronę przed atakiem posługującym się metodami inżynierii społecznej, pomagają wykrywać zaawansowane złośliwe oprogramowanie i inne zagrożenia.


Ze względu na podstępny charakter ataków BEC bazujących głównie na socjotechnice, nawet najlepsze procedury lub zabezpieczenia nie stanowią wystarczającej ochrony. W ostatecznym rozrachunku wszystko zależy od pracowników – to oni stanowią pierwszą i ostatnią linię obrony w zabezpieczeniu cennych zasobów cyfrowych organizacji. To głównie od ich świadomości na temat istniejących zagrożeń oraz niezbędnych form ostrożności zależy, czy firma uchroni się przed coraz zuchwalszymi działaniami cyberprzestępców.

* http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/billion-dollar-scams-the-numbers-behind-business-email-compromise

Michał Jarski, dyrektor regionalny ds. sprzedaży, Trend Micro

Autopromocja

REKLAMA

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
QR Code
Podatek PIT - część 2
certificate
Jak zdobyć Certyfikat:
  • Czytaj artykuły
  • Rozwiązuj testy
  • Zdobądź certyfikat
1/10
Zeznanie PIT-37 za 2022 r. można złożyć w terminie do:
30 kwietnia 2023 r. (niedziela)
2 maja 2023 r. (wtorek)
4 maja 2023 r. (czwartek)
29 kwietnia 2023 r. (sobota)
Następne
Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Co się dzieje z „Rodzinnym PIT”? - "Nie znajduje się na liście. Obecnie priorytetem są inne zobowiązania, które znalazły się w umowie koalicyjnej"

Okazuje się, że „Rodzinny PIT” nie znajduje się na liście w umowie koalicyjnej, ale nie jest do końca przesądzone, że w ogóle nie wejdzie w życie. "Pytanie o datę wdrożenia tzw. "Rodzinnego PIT" należy uznać za przedwczesne" - pisze Jarosław Neneman, Podsekretarz Stanu w Ministerstwie Finansów.

Automatyczny zwrot podatku PIT w 2024 roku. Dla nadpłat do 10 tys. zł krócej niż w ciągu 45 dni

Z przepisów wynika zasada, że urzędy skarbowe mają obowiązek zwrócić nadpłatę podatku PIT w ciągu 45 dni od dnia złożenia zeznania podatkowego za pomocą środków komunikacji elektronicznej (np. w usłudze Twój e-PIT) oraz 3 miesięcy od dnia złożenia zeznania podatkowego w tradycyjnej, papierowej formie. Ale w Krajowej Administracji Skarbowej funkcjonuje od 2 lat system AUTOZWROT, który pozwala na szybszy zwrot podatku.

Fiskus kontroluje mniej, ale za to skuteczniej. Kto może spodziewać się kontroli?

Ministerstwo Finansów podało, że w 2023 roku wszczęto prawie 29 proc. mniej kontroli podatkowych niż rok wcześniej. Jednak wciąż są one bardzo skuteczne, w 97,6 proc. stwierdzono nieprawidłowości. Czy w tym roku będzie podobnie? Na pewno w związku z tzw. dyrektywą DAC7, fiskus będzie sprawdzać, czy firmy korzystające z internetowych platform sprzedażowych nie uchylają się od płacenia podatków.

Ulga na złe długi w VAT w 2024 r. Czy może z niej skorzystać podatnik stosujący metodę kasową?

Podatnik prowadzi przedsiębiorstwo rzemieślnicze, ma status małego podatnika i rozlicza VAT według metody kasowej. Czy w takiej sytuacji mały podatnik rozliczający VAT metodą kasową może skorzystać z ulgi na złe długi, gdy ma nieopłacone faktury?

11,532 mln uncji złota w skarbcu NBP. Ich wartość rośnie

W marcu 2024 r. wartość złota w posiadaniu Narodowego Banku Polskiego wzrosła o ponad 8,5 mld zł, choć same zasoby złota pozostały niezmienione w stosunku do lutego. Tak wynika z opublikowanych 19 kwietnia 2024 r. danych NBP o płynnych aktywach i pasywach w walutach obcych.

MF: awaria na e-Urząd Skarbowy. Twój e-PIT działa poprawnie ale trzeba się logować przez epit.podatki.gov.pl

W dniu 19 kwietnia 2024 r. w godzinach przedpołudniowych nastąpiła przerwa w działaniu witryny urzadskarbowy.gov.pl, spowodowana najprawdopodobniej jakąś awarią. Ministerstwo Finansów poinformowało, że usługa Twój e-PIT działa poprawnie tylko, że trzeba się logować wchodząc z linka epit.podatki.gov.pl.

MF przygotowało ustawę o obowiązkowym raportowaniu ESG, implementującą dyrektywę UE

Ministerstwo Finansów przygotowało projekt ustawy implementujący dyrektywę UE o obowiązkowym raportowaniu ESG. MF szacuje, że koszty dla przedsiębiorstw objętych obowiązkiem raportowania w ciągu 10 lat wyniosą 8,7 mld zł.

Twój e-PIT – przedsiębiorca musi uważać! Może pozbawić korzyści finansowych, a nawet narazić na straty

Twój e-PIT, czyli oferowana przez MF usługa jest dla podatnika bardzo wygodna, bo deklarację rozliczeniową wypełnia za niego skarbówka. Ale z racji tego, że żaden system czy urzędnik nie ma pełnej wiedzy na temat zmian jakie zachodzą w życiu podatnika, może pozbawić go wymiernych korzyści finansowych, czyli mówiąc wprost – narazić na straty.

System kaucyjny a VAT. MKiŚ ma opinię MF

Ministerstwo Klimatu i Środowiska uzyskało od Ministerstwa Finansów opinię, że VAT nie będzie naliczany dla opakowań jednorazowych, a w przypadku opakowań wielokrotnego użytku, pojawi się tylko dla tych, które nie wrócą do systemu.

Ulga na dziecko po rozwodzie - były mąż rozliczał ulgę według schematu 50/50%, z czym nie godziła się była małżonka

Po rozwodzie matka dzieci próbowała zawrzeć z byłym mężem porozumienie dotyczące ulgi na dzieci. Proponowała byłemu mężowi proporcjonalne korzystanie z ulgi według proporcji - 30% dla niego i 70% dla niej. Mąż jednak nie godził się na takie rozwiązanie. Co postanowił w tej sprawie organ skarbowy?

REKLAMA