magazyn-firma

Oszuści chcą naciągać przedsiębiorców. Przestępcy podszywają się pod znany rządowy portal Biznes.gov.pl. Przed nowym procederem ostrzega CERT Polska. Jak rozpoznać fałszywe powiadomienia?

Biznes.gov.pl na celowniku oszustów

Adres Biznes.gov.pl zna każdy przedsiębiorca. To za jego pośrednictwem możemy założyć firmę, zmienić kluczowe dane, a także sprawdzić najważniejsze informacje dotyczące spraw urzędowych. Faktycznie, akurat to rozwiązanie wprowadzone przez władze, cieszy się dobrymi recenzjami wśród prowadzących działalność gospodarczą.

Biorąc pod uwagę powyższe to idealny cel dla oszustów. Nie pierwszy raz podszywają się pod znane witryny, a także takie, które cieszą się zaufaniem wśród użytkowników. Jak ostrzega CERT Polska, jeśli dostałeś informację o powiadomieniu, oczekującym w serwisie Biznes.gov.pl, powinna w Twojej głowie zapalić się lampka ostrzegawcza. Tym razem bowiem cyberprzestępcy obrali za cel prowadzących jednoosobową działalność gospodarczą, którzy korzystają z państwowych e-usług. Trzeba przyznać, że zrobili to niezwykle sprytnie. Gdzie tkwi pułapka?

CZYTAJ TAKŻE: Jak bezpiecznie sprzedawać online? 5 rad dla sprzedawców

Powiadomienie z Biznes.gov.pl

Ostrzeżenie CERT Polska dotyczy kampanii e-mailowej, w której rzekomym nadawcą jest portal Biznes.gov.pl. Komunikat rozsyłany przez przestępców informuje o „powiadomieniu”, które ma być dostępne w serwisie. Dla ułatwienia jego kopia ma znajdować się w załączniku. I właśnie tutaj tkwi podstęp.

Ostrzegamy przed nową kampanią e-mailową podszywającą się pod portal https://t.co/36BAsY8mjJ
Rozsyłane wiadomości informują o rzekomym powiadomieniu oczekującym w serwisie, którego kopia ma znajdować się w załączniku. (1/n) pic.twitter.com/bOHDYgjD1h

— CERT Polska (@CERT_Polska) September 9, 2022

Niebezpieczny załącznik na firmowej skrzynce

Oszuści próbują rozpracować ofiary psychologicznie. Zakładają, że nikomu nie będzie chciało się logować na serwis i dla zaoszczędzenia czasu klikną załącznik. Niestety, plik jest tak naprawdę rodzajem „archiwum”, w którym zapisany jest złośliwy skrypt. Odbiorca, który w niego wejdzie, może mieć problem. System jego komputera zostanie zainfekowany.

CERT Polska nie pisze szczegółowo o konsekwencjach otwarcia załącznika. Lepiej nie przekonywać się o tym na własnej skórze. Eksperci od bezpieczeństwa radzą, aby wszystkie podejrzane wiadomości, jakie otrzymaliśmy poprzez pocztę elektroniczną zgłaszać na stronie https://incydent.cert.pl. Istnieje także możliwość przekazania informacji przez SMS pod numerem 799-448-084.

 

Rząd wprowadził pracę zdalną w administracji publicznej. Zaapelował także o wprowadzenie tego modelu na szeroką skalę w przedsiębiorstwach. Cyberprzestępcy, którzy od momentu pojawienia się pandemii brali na celownik popularne platformy do wideokonferencji, z pewnością nie przegapili tej informacji. 

Internetowi oszuści i przestępcy zawsze próbują działać zgodnie z popularnymi trendami. Tak było podczas sezonu zakupowego oraz okresu zwiększonego ruchu w e-commerce, tak było i będzie także w związku z rosnącą liczbą odbywających się każdego dnia telekonferencji prowadzonych na popularnych platformach. Można więc spodziewać się, że cyberprzestępcy w najbliższym czasie nasilą intensywność kampanii phishingowych, które wykorzystują platformy wideo.

CZYTAJ: Pomysł na biznes 2022 - TOP 10

Tego rodzaju próby wyłudzenia informacji polegają np. na wysyłaniu wiadomości e-mail, które zawierają fałszywe linki, zachęcające użytkowników do pobrania nowej wersji oprogramowania. Łącze kieruje ofiarę na stronę internetową, z której można pobrać rzekomy plik instalacyjny – mówi Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.

W niektórych przypadkach program rzeczywiście instaluje oprogramowanie do wideokonferencji, ale, niezależnie od tego, instaluje także złośliwe oprogramowanie, jak np. trojana zdalnego dostępu. – Taki program daje oszustom dostęp do poufnych danych i informacji o użytkowniku, które następnie mogą zostać wykradzione i sprzedane na czarnym rynku lub wykorzystane do kradzieży tożsamości – dodaje ekspert.

Ofiarami innego rodzaju phishingu stają się zdalni pracownicy, którzy czekają na wysłane e-mailem zaproszenia z linkami do rozmów wideo. W takich przypadkach oszuści wysyłają linki, które przenoszą użytkownika na fałszywą stronę logowania, wyglądającą tak samo jak prawdziwa, aby wykraść dane dostępowe do konta. – Jeśli się to uda, oszuści będą próbowali wykorzystać te poświadczenia do uzyskania dostępu do innych kont firmowych – wyjaśnia przedstawiciel Fortinet.

CZYTAJ TAKŻE: Czym jest Cyber Monday? Po co komu kolejne święto konsumpcji?

Aby uniknąć oszustw związanych z wideokonferencjami, zawsze należy stosować najlepsze praktyki związane z cyberhigieną: sprawdzać adres e-mail nadawcy przed kliknięciem w przesłane pocztą elektroniczną linki lub pobraniem załączników – nawet jeśli wydają się pochodzić z zaufanego źródła. W większości przypadków wiadomości phishingowe są wysyłane z adresów, które nie zawierają prawdziwej nazwy domeny firmy lub instytucji rzekomego nadawcy. Należy też poinformować pracowników, członków rodziny o potencjalnych zagrożeniach oraz aktualizować urządzenia za pomocą najnowszego oprogramowania zabezpieczającego.

 

Zagrożenia bezpieczeństwa cyfrowego to jedno z największych wyzwań, przed jakimi stoją firmy. Tak dzieje się od kilku lat. Jakie trendy będą dominowały w 2022 roku? Na co należy uważać w pierwszej kolejności?

Zagrożenia bezpieczeństwa cyfrowego dla małych firm

Duże organizacje i korporacje mają tę przewagę, że za bezpieczeństwem IT stoją często całe działy informatyczne. Faktem jest, ze są one bardziej narażone na ataki ze strony hackerów. Nie oznacza to jednak, że mała firma o niewielkim wpływie na PKB jest całkowicie bezpieczna. Zagrożenia są wszędzie. Najgorsze jest to, że importowanie złośliwego oprogramowania może nastąpić przypadkowo. Jedno kliknięcie linku wystarczy, by sparaliżować niejedną małą firmę.

Strategia bezpieczeństwa cyfrowego w małej firmie

Eksperci zalecają, by każda mała firma opracowała swoją strategię zabezpieczenia przed atakiem. Budowa cyfrowego muru obronnego może być banalna. Należy zacząć od sprawdzenia ważności licencji programów antywirusowych. Warto odnowić je wcześniej lub zastanowić się nad zmianą dostawcy. Nawet w najmniejszym zespole, można wyznaczyć jedną osobę, która będzie zajmowała się „pilnowaniem” terminów aktualnych licencji.

CZYTAJ TAKŻE: Ubezpieczenie od cyberataku

Kolejnym etapem bezpieczeństwa cyfrowego jest tzw. „kultura raportowania”. Chodzi o to, by pracownicy zgłaszali wszelkie niebezpieczeństwa, w tym podejrzane maile i ostrzegali się wzajemnie np. na firmowej grupie mailowej.

Nie tylko SMS pod fałszywego kuriera

Cyberprzestępcy często zmieniają strategię. To, że teraz wysyłają fałszywe wiadomości z groźnymi linkami jako „kurierzy” lub „dostawca energii”, nie znaczy, że tak działają zawsze. Wiele szkoleń szeregowych pracowników w wielu firmach na temat zagrożenia bezpieczeństwa cyfrowego zaczyna się od… wymyślenia potencjalnie niebezpiecznych scenariuszy ataków. Co ciekawe, często sprawdzają się one w rzeczywistości! Pomysłowość przestępców nie zna granic. Czym zaskoczą nas w 2022 roku? Też chcielibyśmy wiedzieć.

Deep fake i sztuczna inteligencja

Z nowości, których możemy obawiać się w 2022 roku, jest wykorzystanie przez hackerów mechanizmów sztucznej inteligencji. Technologia „deep fake” polegająca na perfekcyjnym modyfikowaniu filmów, zdjęć, ludzkiego głosu może być najpoważniejszym z zagrożeń. Zdaniem ekspertów, to tylko kwestia czasu, kiedy przestępcy będą w stanie podszywać się pod szefa, urzędnika czy klienta np. w rozmowie telefonicznej lub… telekonferencji. I choć brzmi to jak science fiction, rok 2022 może być tutaj przełomowy.

Zrezygnuj z polityki strachu

Wiele zagrożeń można zlikwidować, lub ograniczyć ich skutki w zespołach, w których szczerze rozmawiamy o problemach.

Jeśli pracownik kliknie przez przypadek w podejrzany link, lub zauważy dziwną aktywność w swojej skrzynce mailowej lub w katalogu w chmurze, powinien jak najszybciej zgłosić ten fakt do przełożonego. Jeśli tego nie zrobi, bo boi się reakcji szefa, skutki mogą być tragiczne. Zamiatanie problemy pod dywan w cyberbezpieczeństwie nikomu jeszcze nie wyszło na zdrowie.

Służbowy telefon to jedno z najpopularniejszych narzędzi pracy udostępnianych pracownikom przez pracodawców. Czy należycie chronisz znajdujące się na nim dane? Inwestujesz w antywirus na telefon?

Jesteśmy przyzwyczajeni, że w program chroniący przed wirusami i atakami hakerskimi powinien być wyposażony każdy komputer. A co z urządzeniami mobilnymi? Antywirus na telefon oraz tablet to

Polacy w internecie

Jak pokazują najnowsze badania, spędzamy w sieci bardzo dużo czasu. Według raportu „Digital 2021” przygotowanego przez We Are Social i Hootsuite od stycznia 2020 roku do stycznia 2021 roku z sieci w Polsce korzystało blisko 32 miliony osób. Z czego 52,6 procent ruchu pochodziło ze smartfonów. Komputery zajęły drugą pozycję z wynikiem 46,2 procent. Tablety były na trzecim miejscu z wynikiem 1,2 procent.

Skoro tak chętnie korzystamy z dostępu do wirtualnego świata z wykorzystaniem telefonów, dlaczego nie dbamy o bezpieczeństwo swoje i przechowywanych na urządzeniu danych? Po pierwsze dlatego, że się o tym tyle nie mówi. Poza tym wiele osób uważa, że oprogramowanie telefonu jest chronione przez zagrożeniami. To duży błąd, dlaczego niby telefon miałby być na uprzywilejowanej pozycji względem komputera?

CZYTAJ TAKŻE: Tajemnica przedsiębiorstwa i selfie. Czego z FB dowiaduje się o tobie konkurencja?

Internet dodatkowo zyskał na popularności w trakcie pandemii, kiedy to stał się przymusowym łącznikiem ze światem. Przeniosło się do niego wiele aktywności, od komunikację po zakupy i pracę. Wykonywanie zawodowych obowiązków przez sieć jest wygodne, ale musisz sobie zdawać sprawę z zagrożeń. I musisz poinformować o nich swoich pracowników. Zapewne zabezpieczyłeś udostępniane im sprzęty, może nawet zainwestowałeś w bezpieczne połączenie VPN. Ale czy pamiętałeś o telefonach? Zarówno tych służbowych, jak i prywatnych? O tym, że to najczęściej używane urządzenie, doskonale wiedzą hakerzy, którzy prześcigają się w pomysłach na nowe ataki.

Cały świat w telefonie

W ostatnich latach urządzenie, które początkowo służyło do komunikacji na odległość przeszło ogromną metamorfozę. Nie tylko w kwestii wyglądu, ale przede wszystkim możliwości jakie posiada i spraw, które dzięki nim możemy szybko załatwić.

CZYTAJ TAKŻE: Używany telefon w firmie – uważaj na te pułapki!

Smarfony spełniają w tej chwili tak wiele funkcji, że aż trudno uwierzyć, że poręczne urządzenie tyle potrafi. I tu tkwi największy problem. Ponieważ obecne telefonu komórkowe to wielka baza danych. Nie tylko tych prywatnych, ale również służbowych. A ten, kto przechwyci twoje dane może wszystko.

Są tam: dane wpółpracowników i kontrahentów, umowy, grafiki. Wszystko. To, że możesz za pomocą smartfonu pracować w każdym miejscu i czasie jest wygodne, ale i niebezpieczne. Jeżeli ktoś włamie się do twojego urządzenia zyska dane firmowe, łącznie ze stanem konta oraz informacjami, które stanowią dane osobowe. A te masz prawny obowiązek chronić. Jeżeli wyjdzie na jaw, że przez brak ostrożności wyciekły dane objęte RODO, możesz nie tylko stracić wiarygodność, ale i zostać pozwanym. Nawet jeśli chronisz komputer, może okazać się to niewystarczające. Wprawiony haker bez problemu dotrze do twoich danych na przykład przez chmurę, do której masz podpięte wszystkie urządzenia. Brzmi strasznie, prawda?

CZYTAJ TAKŻE: Najlepszy telefon dla pracowników fizycznych. Lista TOP5 (wybór redakcji)

Czy antywirus na telefon jest potrzebny

Tak. Każdy kto twierdzi inaczej nie ma racji. Co prawda może okazać się, że będziesz mieć dużo szczęścia i żadne technologiczne zagrożenie cię nie dotknie. Ale nie radzimy liczyć na opatrzność. Ewentualne straty z pewnością przekroczą wartość antywirusa.

CZYTAJ TAKŻE: Czy podsłuchiwanie pracownika jest legalne

Dosyć często pojawiają się stanowiska, mówiące o tym że do pełni bezpieczeństwa wystarczy uaktualnianie oprogramowania. To nieprawda. Oprogramowanie jest tworem ludzkim, a jak wiadomo ludzie popełniają błędy. Najlepiej świadczą o tym aktualizacje, których głównym zadaniem jest naprawa lub ulepszenie tego co nie działa prawidłowo.

Jak już wspominaliśmy stawka jest wysoka, a hakerzy nie są głupi. Skoro poświęcają czas na znalezienie i wykorzystanie luki, to musi im się to opłacać. Pytanie, czy będzie się opłacać tobie i twojej firmie. Dodatkowa ochron a w postaci antywirusa z pewnością nie zaszkodzi.

Android czy iOS, który lepszy

Gdy masz już świadomość na temat istnienia zagrożeń, czas przyjrzeć się sprzętom z których korzystasz i które udostępniasz pracownikom. To ważne, ponieważ sposób postępowania uzależniony będzie od tego czy są to urządzenia z systemem Android stworzonym przez Google czy iOS związanym z produktami firmy Apple.

CZYTAJ TAKŻE: Biznesowe decyzje zależne od państwa. MON chce kontrolować przedsiębiorców

Podstawowa różnica polega na tym, że Android jest systemem otwartym. Można go instalować na różnych urządzeniach bez względu na producenta. Z kolei iOS jest związany tylko i wyłącznie z produktami Apple. Co utrudnia wprowadzenie do nich wirusów czy zainfekowanych aplikacji.

Stworzenie programów na Androida jest o wiele łatwiejsze, tak jak ich rozprzestrzenianie. Ale właśnie ten system jest bardziej rozpowszechniony, szczególnie w telefonach służbowych. Dlatego to na sprzęty z Androidem trzeba szczególnie uważać.

Poza tym musisz zastanowić się, czy interesują cię rozwiązania darmowe czy płatne. Z pewnością te płatne zapewnią większe bezpieczeństwo, ale jeżeli nie masz odpowiednich funduszy i darmowe będą lepsze niż nic.

Myślisz, że w tej chwili Zakład Ubezpieczeń Społecznych wie o tobie wszystko? Nic bardziej mylnego! W ciągu najbliższych 4 lat jego kompetencje jeszcze się poszerzą. ZUS z dostępem do nieograniczonych danych.

Organ rentowy opublikował strategię na lata 2021-2025. W tym czasie ZUS ma przejść transformację cyfrową. Pod tym niewinnie brzmiącym hasłem kryją się naprawdę ciekawe kompetencje. Szczególnie w temacie dostępu do danych nas obywateli. Już niedługo ZUS z dostępem do nieograniczonych danych. Czy powinieneś się martwić? To zależy. Tak naprawdę w tej chwili pracownicy Zakładu Ubezpieczeń Społecznych, Urzędu Skarbowego czy innych podmiotów państwowych wiedzą o nas bardzo dużo. Najważniejsze, by w odpowiedni sposób chroniły posiadane informacje. Informacja o „Strategii ZUS na lata 2021-2025” doprecyzowuje, że za ochronę odpowiadałaby Platforma Zarządzania Cyberbezpieczeństwem.

CZYTAJ TAKŻE: Liczysz na zwolnienie z ZUS? Najpierw musisz zapłacić

e-ZUS czyli więcej usług przez internet

Umożliwianie załatwienia spraw przez internet to trend, który przez sytuację związaną z pandemią koronawirusa mocno przyspieszył. Gdzie to tylko możliwe urzędy starają się ograniczyć kontakt pracowników z petentami. Ponadto jest to sposób na oszczędzenie sporej ilości czasu. W Zakładzie Ubezpieczeń społecznych działają już: e-Składka, e-ZLA, e-Aktsa, EESSI. Zapowiadana transformacja cyfrowa nie jest więc nowością, a raczej kontynuacją dotychczasowych działań. Plan opiera się na czterech filarach: nowoczesny e-urząd, automatyzacja i doskonalenie procesów oraz nowoczesna architektura IT, elektronizacja procesów, komunikacji i dokumentacji, wymiana i integracja danych w ramach e-administracji. To właśnie ten czwarty budzi najwięcej kontrowersji. Dlaczego? Bo dostęp pracowników Zakładu Ubezpieczeń Społecznych do danych konkretnej osoby będzie naprawdę duży, wręcz nieograniczony. Pytanie czy uzasadniony.

CZYTAJ TAKŻE: Składki ZUS obowiązkowe nawet przy zawieszonej działalności

ZUS z dostępem do nieograniczonych danych. Po co?

Zdaniem twórców strategii dostęp do danych ma uprościć weryfikację, czy danej osobie przysługuje prawo do przebywania na zasiłku i pobierania z tego tytułu świadczeń. Motywacja nie budzi zastrzeżeń, w końcu Zakład Ubezpieczeń Społecznych powinien dbać o to, by publiczne pieniądze trafiały do uprawnionych podmiotów. Jest jednak pewne „ale”. Racjonalne działanie nie powinno bowiem przypominać inwigilacji obywateli. Zakres przekazywania danych i dostęp do nich powinien być uzasadniony. Nie można nadmiernie go poszerzać, motywując to tym, że „może kiedyś się przyda”. Zarówno osoby ubezpieczone, jak i płatnicy składek muszą przekazywać Zakładowi Ubezpieczeń Społecznych swoje dane, ale żaden podmiot, a w szczególności organ państwowy nie powinien wykorzystywać tej sytuacji.

CZYTAJ TAKŻE: Mały ZUS. Jak działa i kto może z niego skorzystać?

Centralny Rejestr Klientów ZUS

Omawiana strategia przewiduje stworzenie wirtualnej platformy informacyjnej. Dostęp do Centralnego Rejestru Klientów Zakładu mają mieć zarówno pracownicy organu rentowego, jak i jego klientów, czy innych osób zainteresowanych między innymi pracowników innych podmiotów państwowych. To właśnie umożliwienie wymiany informacji i dokumentacji pomiędzy urzędami budzi największe wątpliwości. Zakład Ubezpieczeń Społecznych dostałby nieograniczony dostęp do danych zbieranych i przechowywanych przez każdy podmiot państwowy w kraju. O ile pomysł dałoby się uzasadnić, tak już sposób jego wprowadzenia jest bardzo problematyczny. ZUS zyskałby bowiem dostęp do naszych danych na mocy wewnętrznego dokumentu. A jak wskazują prawnicy, takie zagadnienie powinno mieć podstawę w ustawie. Co więcej powinno zostać skonsultowane z podmiotami zajmującymi się ochroną danych osobowych.

Magazyn Firma

Magazyn Firma to serwis dla przedsiębiorców sektora MŚP. Prosto, konkretnie i praktycznie pokazujemy to, co ciekawe w zarabianiu pieniędzy.

Odwiedź nas na:

Magazyn Firma 2022. All Rights Reserved.
magnifier