2022-ben 125 felhasználó adatait szerezték meg online csalók az amerikai felhőalapú kommunikációs vállalattól, a Twiliotól. A támadást intézők olyan SMS-eket küldek az alkalmazottaknak, mintha azok a Twilio informatikai részlegéről jöttek volna, és azt állították bennük, hogy a címzettek jelszava lejárt, vagy beosztásuk megváltozott, ezért be kell jelentkezniük a cég felületén. Ez utóbbi persze egy hamisított oldal volt: a támadó így fért hozzá a vállalat belső rendszereihez, azon keresztül pedig az ügyféladatokhoz.
Mint nem sokkal a támadás után kiderült, a hackerek nemcsak a Twiliot, hanem az amerikai Okta szoftver felhasználói hitelesítési rendszerét használó más cégeket is lépre csaltak, és így több mint 130 vállalat közel 10 ezer alkalmazottjának belépési adatait szerezték meg.
Ehhez nagyon hasonló támadás érte tavaly a Redditet, amely során a hackerek egy valóságosnak tűnő szöveg alapján a Reddit belső felületét replikáló oldalra irányították az áldozatot, hogy az adja meg a bejelentkezési adatait. Ezt egy alkalmazott meg is tette, így a támadó vállalati dokumentumokhoz, forráskódokhoz, valamint néhány belső műszerfalhoz és üzleti rendszerhez is hozzáférhetett.
Ez csak néhány kiragadott példa arra, hogy hogyan is működnek az online csalások: a hackerek általában e-mailben vagy SMS-ben adják ki magukat az áldozat számára ismerős személynek, például a munkatársának, főnökének vagy üzleti partnerének. A cél: hozzáférni belső vállalati rendszerekhez, kritikus információkhoz és végsősoron pénzhez. Az FBI jelentése szerint
csak tavaly az Egyesült Államokban közel 3 milliárd dollár kár származott ilyen, üzleti szervezeteket célzó bűnesetekből – és amíg egy nagyvállalatnak ezt könnyebb kezelnie, addig a kisebb cégek, mint a startupok fokozott veszélynek vannak kitéve.
Carly Page, a TechCrunch kiberbiztonsággal foglalkozó senior újságírója szedte össze, hogy a startupok hogyan védekezhetnek hatékonyan az online csalások ellen.
Figyelj a red flagekre!
Noha a fenti példák során is szofisztikált üzeneteket kaptak az áldozatok, azért sokszor előfordul az is, hogy a csalás könnyen kiszűrhető. Ilyen intő jel, ha:
- a megkeresés szokatlan időben érkezik,
- rosszul írják az ember nevét vagy egyes szavakat,
- az üzenetben szokatlan linkek vagy mellékletek szerepelnek,
- eltér a feladó kontaktja, címe attól, ahova a választ küldeni kéne,
- ha a szöveg indokolatlan sürget minket a válaszadásra,
- ismeretlen, furának tűnő telefonszámról érkező hívások.
Kérj közvetlen megerősítést az üzenet küldőjétől!
Ha bármi gyanú felmerül benned az üzenet megbízhatóságát és valódiságát illetően, érdemes előbb validálni, hogy tényleg a munkatársad, főnököd, külső partnered küldte-e. Keresd meg más, megbízható csatornán azt, akitől – potenciálisan látszólag – az üzenetet kaptad, és kérj tőle megerősítést erre vonatkozóan. Amíg nem validálta megbízható forrás a kérés valódiságát, semmiképpen se válaszolj az üzenetben szereplő válaszcímekre, és ne kattints odarakott linkekre.
Ignoráld a gyanús üzenetet, amíg ellenőrizteted azt az az IT-val!
Kétség esetén a legbiztonságosabb, ha figyelmen kívül hagyod az üzenetet, akármennyire is fontosnak tűnik. Helyette támaszkodj azokra a szakemberekre, akik nálad könnyebben meg tudják állapítani, hogy az adott üzenet valódi-e, vagy fake: kérj álláspontot a céged informatikusaitól!
Használj többfaktoros hitelesítést!
Ugyan nem garancia a csalások megelőzésére, mindenesetre nehezebbé teszi a hackerek dolgát, ha két- vagy többfaktoros biztonsági lépcsőt alkalmazunk a munkahelyi eszközeinkhez és platformjainkhoz.
Vezess be protokollt a kifizetésekre, átutalásokra!
Sok üzleti átverés arra megy ki, hogy a munkavállaló valamelyik beszállító számára engedélyezzen egy átutalást, vagy egy szolgáltatásért cserébe utaljon a „szolgáltatónak”. Ezek megelőzése érdekében érdemes vállalati szinten szigorú fizetési folyamatot bevezetni: például egy-egy kifizetés jóváhagyására előírni egy másik kommunikációs eszközön keresztüli hitelesítést, vagy blokkolni a kifizetést akkor, ha ismeretlen bankszámlaadatokra történne az átutalás.
NYITÓKÉP: ChatGPT / Startup Online
