Методи корпоративного кібершахрайства стають дедалі складнішими, їх ретельно розробляють, детально вивчаючи потенційних жертв. Як наслідок, такі цілеспрямовані атаки складніше виявити. Лише у 2023 році компанія Tet ідентифікувала та заблокувала 65,5 млн підозрілих електронних листів, з яких 247 000 містили віруси або шкідливе програмне забезпечення. Отримуючи доступ до електронної пошти компанії, шахраї підробляють рахунки-фактури, перенаправляють заплановані платежі на свої карти, переконливо видають себе за інших осіб.
Дані фінансової галузі свідчать, що у 2023 році 108 латвійських компаній стали жертвами кібершахрайства, і лише кожна п’ята спроба була зірвана. Як наслідок, загальні фінансові втрати компаній сягнули майже 1,37 млн євро. Також слід пам’ятати, що успішне кібершахрайство може зашкодити репутації компанії, а отримані збитки — вплинути на її здатність виконувати фінансові зобов’язання. Тому вкрай важливо інформувати співробітників, особливо тих, хто має доступ до банківських рахунків, щодо можливих злочинних схем.
Умовно можемо поділити найбільш розповсюджені схеми проти компаній на три основні типи.
Перший тип обману — фальшивий бізнес-партнер
Цей спосіб стає усе більш поширеним. Шахраї збирають інформацію з відкритих джерел або використовують інші методи, щоб отримати доступ до електронної пошти компанії. Вони дізнаються про справжніх бізнес-партнерів компанії, а потім надсилають інформацію, стверджуючи, що рахунок або платіжні реквізити змінилися. Метою цього вид злочину є переспрямування платежів на рахунки шахраїв.
Другий тип поширених схем — фальшиве розпорядження керівництва
Шахраї намагаються ідентифікувати працівника, який займається фінансовими операціями. Вони надсилають йому електронного листа нібито від імені керівництва з вимогою терміново оплатити рахунок. За допомогою цього методу одну компанію було ошукано на 25 млн доларів. Шахраї навіть використовували штучний інтелект для імітації онлайн-зустрічі за участю всіх відповідних співробітників, створюючи переконливі дипфейки.
Третій серед тип найбільш розповсюджених кібершахрайств — фальшива зміна рахунку для виплати зарплати
За цією схемою шахрай від імені працівника надсилає компанії електронного листа з проханням перерахувати його заробітну плату на інший рахунок.
Окрім того, компанії можуть стати жертвами інших типів шахрайства, пов’язаних із купівлею товарів (наприклад, неотримання товару після оплати), а також оманливих електронних листів, дзвінків або текстових повідомлень, спрямованих на отримання доступу до даних інтернет-банкінгу. Тому пильність і навчання співробітників, особливо тих, хто має доступ до банківських рахунків компанії, мають вирішальне значення для захисту від цих ризиків.
Превентивні кроки
Існує чимало способів попередження кіберзагроз. Зокрема, ми в Тет ще з 2019 року навчаємо персонал розпізнавати кібершахрайство на практиці. Так, кожен працівник отримує щонайменше один створений нами фішинговий лист на місяць. Це дозволяє оцінити, чи діє навчання: хто натиснув на повідомлення, хто ввів дані, хто змінив паролі. Найкращий і найочікуваніший нами результат — це велика кількість звітів співробітників про те, що вони отримали оманливі електронні листи. Такі тестування, з-поміж іншого, допомагають виявити слабкі місця та прогалини у знаннях працівників та вирішити, які питання потребують подальших роз’яснень.
Також важливо дотримуватися фундаментальних принципів безпечної комунікації. Щоб переконатися в автентичності та терміновості певного завдання, бажано зв’язуватися з колегами через альтернативний канал. Таким чином можна уникнути ненавмисного сприяння діяльності шахраїв.
Співпраця з колегами для встановлення прихованих методів автентифікації, наприклад, голосових паролів або жестів, може допомогти перевірити легітимність спілкування. Використання технології дипфейк для підробки особистих даних за останні роки збільшилося на 3000%: із розвитком технологій зростають і ресурси, доступні кіберзлочинцям.
Ми рекомендуємо постійно контролювати безпеку використовуваних технологій, а також розробляти й дотримуватися спеціальних протоколів для обробки платежів. Бездротові технології відкрили нові можливості для атак, оскільки будь-хто може спробувати перехопити дані, що передаються між пристроями. Тому важливо використовувати сучасні технології, приділяючи особливу увагу шифруванню даних.
Компаніям не слід надавати стороннім особам доступ до корпоративних Wi-Fi-роутерів, краще придбати окремий роутер для відвідувачів. Бо навіть якщо ваш гість не є шахраєм, немає жодних гарантій, що хтось інший не заразив його пристрій шкідливим програмним забезпеченням, яке може скомпрометувати корпоративні дані.
Як свідчить статистика, 90% усіх кіберінцидентів стається через людський чинник. Адже через неуважних працівників легше завдати шкоди компанії, ніж намагатися зламати або оминути системи IT-безпеки. Саме тому бізнесам вкрай важливо впроваджувати корпоративні програми розвитку навичок IT-безпеки. Ці програми мають виходити за межі одноразових тренінгів. Зважаючи на нову директиву Європейського Союзу щодо кібербезпеки NIS2, яка зараз стосується латвійських компаній, але в скорому майбутньому стосуватиметься й українського бізнесу, компанії повинні зосередитися на тому, щоб постійно підвищувати стійкість співробітників до кібератак.
Щоб програма розвитку навичок була ефективною, дуже важливою є щоденна підтримка з боку керівництва. Постійне вдосконалення і доповнення навчання новими відповідними ресурсами, регулярне вимірювання ефективності програми завдяки симульованим фішинговим листам, бонуси для співробітників за досягнуті цілі — все це дає змогу значно посилити стійкість компанії та працівників до майбутніх кібератак, які стають все складнішими, а відтак і їх все важче ідентифікувати.