Самое слабое звено корпоративной безопасности находится между стулом и столом

Несмотря на то, что компании постоянно совершенствуют свои решения в области безопасности, они нередко забывают, что самым уязвимым звеном по-прежнему остается человек. Марко Кийза, руководитель отдела LHV по финансированию малых и средних предприятий, делится практическими рекомендациями о том, как обеспечить безопасность бизнеса и в те времена, когда количество всякого рода мошенничеств постоянно растет.

Сегодня преступники эксплуатируют не только технические, но и связанные прежде всего с человеком слабости компаний. В своем недавнем пресс-релизе Банк Эстонии констатировал, что мошенничества все чаще направлены на тех частных лиц, которые имеют связь с бизнесом. Таким образом они получают, например через бухгалтерию или самого предпринимателя, доступ одновременно и к частным, и к бизнес-счетам.

Поэтому лакомой целью для мошенников становятся предприимчивые люди, чьим спокойным повседневным ритмом – или, наоборот, бурным и рассеянным образом жизни – легко злоупотребить. В орбите интересов киберпреступников давно уже находятся не только крупные фирмы с многомиллионными оборотами, жертвой может стать кто угодно – независимо от сферы деятельности и размера организации.

Недавние инциденты ясно свидетельствуют о новой тактике мошенников: вместо так называемых холодных звонков все чаще используется целенаправленный подход. Перед тем как связаться с жертвой, они проводят тщательную подготовительную работу, собирая из открытых источников и социальных сетей как можно больше информации о ее работе, привычках и круге общения. Эту информацию мошенники используют для построения убедительной фальшивой истории и добавления в нее вызывающих доверие деталей.

Приведенные ниже примеры мошенничеств наглядно свидетельствуют о том, насколько разнообразно и умело действуют преступники.

Пример 1

Накануне одна компания стала жертвой BEC-мошенничества (от англ. business e-mail compromise, то есть компрометации по деловой электронной почте). Шла активная электронная переписка о покупке дорогостоящих товаров у давнего партнера. И вот компания получила счет, номер расчетного счета продавца на котором отличался от прежнего. Из-за отсутствия четких внутренних правил бухгалтер счет оплатил так, как привык. Позже выяснилось, что счет был фальшивым, и 15 000 евро ушли мошенникам.

Этот случай показывает, насколько важно проверять по нескольким каналам, действительно ли у партнера изменился расчетный счет.

Пример 2

Один из членов правления компании стал жертвой мошеннического звонка от якобы Кассы здоровья. Сначала под предлогом подтверждения визита к врачу у него во время телефонного разговора выманили PIN1. Поскольку мошенники в ходе подготовительной работы установили, что это человек пожилой, и получили из открытых источников его личный код, им не составило труда сделать вывод, что он недавно был у врача. Это сделало их историю убедительной для жертвы. Вскоре с жертвой связался якобы сотрудник банка, который сообщил, что предыдущий телефонный звонок был мошенническим и теперь для обеспечения безопасности счета нужно подтвердить несколько операций с помощью PIN2. Так преступники получили доступ к банковскому счету потерпевшего и несколько раз сняли с этого счета деньги.

Подобные атаки направлены именно на людей, связанных с бизнесом: у них в банке обычно более высокие лимиты платежей, и имеется доступ к нескольким счетам.

Пример 3

Члену правления компании позвонили якобы из Elektrilevi с предложением заменить электросчетчик. Поскольку мошенники знали и имя, и фамилию, и адрес человека, ситуация казалась правдоподобной. Затем последовал телефонный звонок уже «из банка», где выразили беспокойство по поводу подозрительных операций на счете будущей жертвы. Третьим звонком стал звонок из как бы полиции с утверждением, что неблагонадежный сотрудник банка слил данные клиента и полиция начала секретную операцию, поэтому жертва не должна никому рассказывать о случившемся – ни близким, ни банку. В этом звонке жертву также убедили подтвердить новый код Smart-ID на устройстве мошенников, заявив, что это необходимо для обеспечения безопасности банковского счета и чтобы сотрудник полиции мог оказать потерпевшему наилучшую помощь.

В многоступенчатой схеме преступники используют нехватку времени, стресс и чувство собственной значимости жертвы. В такой ситуации могут ошибиться даже обычно осторожные люди.

Основываясь на этих примерах, я дам теперь четыре совета, которыми не должен пренебрегать ни один бизнесмен.

1. Обучите своих сотрудников распознавать распространенные схемы мошенничества.
   Лучшая защита – это осведомленность. Ознакомьте сотрудников с тремя основными способами атак преступников: фишингом (англ. phishing – цифровая мошенническая схема, чаще всего через электронное письмо и URL), SMS-фишингом (англ. smishing – через SMS жертву направляют на мошенническую ссылку или требуют ввода данных) и вишингом (англ. vishing – телефонное мошенничество, при котором злоумышленник выдает себя за представителя официального учреждения). Подчеркните, насколько важно не подтверждать по телефону запрашиваемые действия с помощью Smart-ID, особенно если звонящий торопит человека или тешит его чувство собственного величия. Даже если аутентификация проводится от имени частного лица, это может иметь неприятные последствия для компании.
2. Установите четкие процессы подтверждения платежей.
   Продумайте, с какой суммы в компании при подтверждении платежей действует принцип четырех глаз. Кроме того, введите двойное подтверждение платежей и порядок передачи платежных поручений (не принимать платежную информацию по телефону, проверять информацию по нескольким каналам, не передавать товар на основании PDF и т. д.). Четкие инструкции не оставляют места для ошибочных решений.
3. Защитите себя.
   Самый большой риск безопасности сидит за вашим собственным столом – это вы сами. Используйте многофакторную аутентификацию, создавайте сложные пароли и регулярно их обновляйте. Избегайте совершения конфиденциальных операций в общественных интернет-сетях – так никто не получит доступа к почтовому ящику вашей компании или не сможет выманить деньги от вашего имени.
4. Избегайте утечек личной информации.
   Спросите себя, сколько информации о вас может найти мошенник в интернете. Не указан ли в Коммерческом регистре в качестве адреса компании ваш домашний адрес, которого там на самом деле быть не должно? Насколько легко мошенникам узнать, кто связан с вашим бизнесом? Чем меньше у мошенника личной информации о вас, тем сложнее ему придумать убедительную историю мошенничества и тем меньше вероятность, что он выберет целью вас или сотрудников вашей компании.

Безопасный бизнес – это результат осознанных действий. Даже при быстром темпе жизни всегда стоит брать паузу – если что-то кажется подозрительным, то, скорее всего, что-то действительно не так.

В наше время, когда избежать мошенничеств кажется почти невозможным, каждый предприниматель все же может предпринять экономически эффективные шаги, чтобы значительно осложнить их работу. Если вы будете поддерживать собственную информированность и информированность своих сотрудников, а ваши процессы будут хорошо продуманы, это значительно снизит риск мошенничества.