Kiberbűnözők milliókat csalhatnak ki a cégektől a munkavállalókon keresztül

2024. 02. 15., 10:10

Az elmúlt években az online banki csalások egyre kifinomultabbá váltak. A digitalizáció számos területen egyszerűbbé és gyorsabbá tette az ügyintézést, aminek előnyei mellett sajnos a hátrányait is gyakran megtapasztalhatják a gyanútlan felhasználók. A magánszemélyeket ért internetes banki átverésekről sokat lehet hallani és a pénzintézetek is igyekeznek edukálni a fogyasztókat. Nagyon fontos, hogy a vállalkozások is részt vegyenek ebben a felzárkózásban – mondta Juhász Viktor informatikai szakértő.

A legtöbb csaló hamis e-maileken keresztül próbálkozik

A home office és távoli munkavégzés elterjedésével a vállalkozások munkatársai hozzászoktak ahhoz, hogy a legtöbb utasítást írásban, a levelezésen keresztül kapják. Így az e-mail rendszer egy remek felület arra, hogy a kiberbűnözők újabbnál újabb módszerekkel banki adatokat csaljanak ki, vagy akár nagyobb összegek átutalására vegyék rá a gyanútlan munkatársakat.

„Hiába a vírusirtó szoftver, hiába a kétfaktoros hitelesítés, az online banki visszaélések ma sűrűbbek, mint valaha. A cégeknek nem szabad megfeledkezniük arról, hogy a digitalizált rendszerek végén óvatlan felhasználók állnak, akikből könnyedén kicsalhatók az érzékeny céges adatok. Ez ellen nem lehet másként védekezni, csak azzal, ha felhívjuk a munkatársak figyelmét a csalók módszereire és megmutatjuk nekik, hogyan védhetik ki őket” – mondta Juhász Viktor, az üzleti informatikai megoldásokat szállító iSolutions ügyvezetője.

Az egyik legelterjedtebb gyakorlat, amikor a csaló egy üzleti partnernek, beszállítónak vagy akár közműszolgáltatónak adja ki magát és annak nevében értesíti a céget a számlaszámának megváltozásáról. Ilyenkor a csaló a saját számláját adja meg, így a cég neki utalja át a partnernek fizetendő összeget. A csel lényege itt az, hogy a csalók a partner vagy szolgáltató email címéhez nagyon hasonló, csak 1-2 karakterben eltérő hamis címet használnak, ami fokozottabb odafigyeléssel kiszűrhető. Ezért nagyon fontos, hogy ilyen esetben a munkatársak körültekintően ellenőrizzék a feladó címét.

Egyetlen átutalás sem lehet olyan sürgős, hogy az ne érjen meg plusz ellenőrző kört

Olyan eset is létezik, hogy a kiberbűnöző egy védelmi résen, vagy programon keresztül bejut a cég levelezőrendszerébe és a vezetők, vagy más illetékes munkatársak nevében ad utasításokat a kollégáknak nagyobb pénzösszegek átutalására. Ezeket az eseteket a szakértő szerint úgy a legegyszerűbb kivédeni, ha a pénzügyi tranzakciókra a vállalkozásnak van egy szigorú többlépcsős protokollja, amit az e-mailek mellett valamilyen más platformon is jóvá kell hagynia a vezetésnek. Egy a levelezéstől független projektmenedzsment rendszer például erre is ideális platform lehet.

„Egy cég esetében egyetlen átutalás sem lehet olyan sürgős, hogy az ne érne meg plusz egy ellenőrző kört. A kiberbűnözők a technológia mellett sokszor használnak pszichológiai trükköket, aminek egyik jellemző eleme a sürgetésből, kapkodásból eredő figyelmetlenség kihasználása. Ha egy cég egy jól átgondolt protokollal rendelkezik és megvannak a kijelölt biztonságos platformjai, ahol kiadja és jóváhagyja a banki tranzakciókat, akkor máris nagy mértékben csökkentette a pénzügyi visszaélések kockázatát” – tanácsolta Juhász Viktor.

Aranyszabály: nem engedünk fel senkit ellenőrzés nélkül a munkahelyi számítógépre!

A kiberbűnözők egyik legújabb módszere, hogy magukat szoftvergyártónak, vagy informatikai szolgáltatónak kiadva, távkapcsolati szoftveren keresztül kerülnek fel a cégek munkatársainak gépére, ahonnan ezután könnyedén juthatnak hozzá szenzitív adatokhoz, vagy indíthatnak banki tranzakciókat. Az ilyen eseteknél a csalók jellemzően telefonon keresik fel a felhasználót azzal az ürüggyel, hogy valamilyen frissítést kell elvégezniük a számítógépén.

Az ilyen támadásokat úgy lehet a legegyszerűbben kivédeni, hogy a felhasználó még mielőtt eleget tenne a hívó fél utasításainak, felhívja az adott gyártó vagy informatikai szolgáltató ügyfélszolgálati számát és utánajár annak, hogy valóban attól a szervezettől keresték.

„Egyre többet hallani olyan csalókról, akik a Microsoft vagy a Google nevében hívják fel az áldozataikat és ráveszik őket arra, hogy valamilyen távkapcsolati programon keresztül hozzáférést biztosítsanak a számítógépükhöz. Nos, nem árt tisztában lenni azzal, hogy ezek az óriás szoftvergyártók biztosan nem hívogatják a cégeket egyenként telefonon, legyen szó akármilyen frissítésről. Az már eggyel veszélyesebb, ha a csaló a cég IT szolgáltatójának adja ki magát, azonban egy komoly szolgáltatónak biztosan van egy központi ügyfélszolgálati, vagy helpdesk telefonszáma, amin a felhasználó ellenőrizheti a hívót, mielőtt felengedné a számítógépére” – magyarázta a szakértő.

A tört szoftverek is kritikus adatvédelmi kockázatnak teszik ki a vállalkozásokat

A szakértő szerint a feltört szoftverekkel az a legnagyobb probléma, hogy a telepítésükkel nem lehet tudni, hogy kiket engedünk fel a céges számítógépekre. Ez egy jelentős adatvédelmi kockázat, és bár a tört program használata rövid távon, olcsóbb megoldásnak tűnik, azonban az ezzel járó adatvesztések óriási károkat okozhatnak a cégeknek. Ma már a legtöbb szoftvergyártó előfizetéses konstrukcióban kínálja a termékeit, amihez már havi pár ezer forintért is hozzájuthatnak a cégek. Ezek az előfizetések ráadásul a szoftverek legfrissebb verzióit is garantálják a vállalkozásoknak.

„A tört szoftver ma már nem divat. Nyolc-tíz éve még tömegével futottam bele olyan cégekbe, ahol tört Office programot használtak, ilyennel napjainkban már ritkán találkozom. Az Adobe, Archicad vagy más tervező programokat talán még mindig gyakrabban használják kalóz verzióban, mert az él a köztudatban, hogy ezek drágább szoftverek. Ha egy cég kiadásait nézzük, havi 10-15 ezer forint egyáltalán nem nagy költség ezekért a programokét. Egy jó IT szolgáltatónak szerintem fontos erre is felhívnia az ügyfelek figyelmét, mert sok cégnél csak azért nem veszik igénybe ezeket a havidíjas lehetőségeket, mert nem tudnak róla” – mondta Juhász Viktor.

A csalók számára a pénznél sokszor értékesebbek a vállalati adatok

Bár hazánkban még mindig az a cégek legnagyobb félelme, hogy pénzt lopnak el tőlük a kiberbűnözők, a vállalati rendszereken tárolt adatok sokszor a pénznél is értékesebbek lehetnek a csalók számára. Ha a cégnek olyan adatbázisa van, ahol az ügyfelek és partnerek szenzitív információit tárolja, nem árt, ha fokozott óvatossággal kezeli az ahhoz tartozó hozzáféréseket.

„Nagyon fontos, hogy a céges rendszerekhez csak céges e-mail címen keresztül adunk hozzá felhasználókat, amiről minden esetben nyilvántartást kell vezetni. Emellett az is kritikus fontosságú, hogy mindenképpen legyen a cégnek biztonsági mentése arra az esetre, ha támadás érné a rendszerét. Erre a felhőbe történő mentés egyébként egy nagyon jó megoldás. Másként könnyen megeshet az, hogy a cég elveszíti az adatait, amit aztán nem tud visszaállítani. Ezzel pedig nemcsak a pénzét, de az ügyfeleit és az integritását is elveszítheti” – magyarázta Juhász Viktor.

Ha tetszett a cikk, kövesse az ÜZLETEMET
a Facebookon!

Még több friss hír

  BIZNISZPLUSZ PODCAST

Bár a magyarok európai összehasonlításban is tudatosan kötnek lakásbiztosítást, akadnak fontos apróságok a szerződésekben, amelyeket kifelejtenek. A kisebb, de baj esetén drága hibákra a hazai árvizek során keletkezett károk még jobban ráirányították a figyelmet. Árvízre továbbra sem, vagy csak szigorú kikötések mentén lehet biztosítást találni, viszont más természeti katasztrófák kapcsán nagyot menthet egy jó szerződés – hívta fel a figyelmet a PBA Insura Zrt. vezérigazgatója. Dr. Kozma Gábor ebben az epizódban tisztázza a természeti katasztrófákból eredő károk közötti fontos különbségeket és elmondja, mit nem kellene kifelejteni a szerződésekből, hogy nagyobb biztonságban tudjuk ingó és ingatlan vagyonunkat.
Bár a neobankok és a nemzetközi trendek azt erősítik, hogy a mikro-, kis- és középvállalkozások vezetői ne pénzügyi operatív teendőkbe öljék a drága idejüket ahelyett, amihez igazán értenek, az ehhez szükség digitális megoldások hazánkban még nem vagy csak ritkán hozzáférhetőek. Lemák Gábor, a FinTechShow-t szervező FinTech Group társalapítója ezért tartja fontosnak, hogy a rendezvényükön megvizsgálhatják: ki, hogyan és mit tehet azért, hogy a mikrovállalkozások és kkv-k pénzügyei sokkal egyszerűbben intézhetőek legyenek. Rá is mutatott néhány olyan digitális gyakorlatra, ami kellően jövőbe mutató ahhoz, hogy a hazai vállalkozások is alkalmazzák végre.
A vendéglátóipari vezetők részéről a feladatok delegálásának hiánya az egyik legsúlyosabb probléma, ami miatt nehezen áll talpra az ágazat a COVID utáni években. Továbbra is érezteti hatását, hogy a pandémia szétverte a jól kialakult szakmai közösségeket, a vendéglátósok már nem vagy alig járnak össze eszmecserére és a tudás átadására, amiből pedig kölcsönösen, mindenki profitálhatna. Persze erre a helyzetre is van megoldás: hozzá kell látni a céges mikroközösségek, aztán a nagyobb együttműködések felépítéséhez – osztotta meg a BizniszPlusz csatornával Gréczi Szilárd, a Skill Trade operatív és projektmenedzsere.

  Rovathírek: GUSTO

  Rovathírek: ATOMBUSINESS