Jak chronić firmę przed spoofingiem telefonicznym

Cyberprzestępcy wynajdują coraz to nowe sposoby na wyłudzenie danych firmowych, na przykład dostępu do konta. Często stosowaną metodą działania, głównie ze względu na łatwość jej przeprowadzenia, jest spoofing telefoniczny. Jedna rozmowa z oszustem może wystarczyć, by firma straciła wszystkie pieniądze zgromadzone na koncie. Na czym dokładnie polega spoofing telefoniczny? W jaki sposób oszuści grają na emocjach odbiorcy? Jak rozpoznać to zagrożenie i jak chronić przed nim firmę? Co robić, gdy któryś z pracowników dał się oszukać, narażając dane firmowe? Dowiesz się z naszego artykułu.

Czym jest spoofing telefoniczny?

Spoofing telefoniczny stanowi jedną z metod wyłudzania danych przez hakerów. Jak sama nazwa wskazuje, odbywa się za pomocą rozmów telefonicznych (oraz niekiedy wiadomości SMS). Oszuści podszywają się pod konkretny numer czy nazwę kontaktu, skłaniając odbiorcę do udostępnienia ważnych informacji.

Jak dokładnie przebiega ten rodzaj oszustwa? Wyobraź sobie, że dzwoni Twój telefon. Patrzysz na wyświetlacz, na którym automatycznie wyświetla się nazwa dzwoniącego. To dobrze znana instytucja – bank, z którego korzysta Twoja firma. Oczywiście odbierasz. Miły i kompetentny rozmówca podający się za pracownika banku informuje Cię, że ktoś próbował się włamać na konto firmowe. Prosi, żeby podać mu dane dostępowe w celu weryfikacji i lepszego zabezpieczenia. Podajesz, bo wszystko brzmi wiarygodnie. W dodatku działa presja czasu, więc nie możesz się na spokojnie zastanowić nad całą rozmową. Potem z konta znikają pieniądze i okazuje się, że rozmawiał z Tobą oszust.

Tak właśnie działa spoofing telefoniczny. Cyberprzestępcy podszywają się pod konkretną instytucję, najczęściej bank, firmę kurierską, placówkę służby zdrowia czy urząd. Opowiadając przez telefon zgrabną bajeczkę, wyłudzają dane osobowe, dane dostępowe do numeru konta czy inne ważne informacje, dzięki którym mogą przechwycić finanse prywatnej osoby lub firmy. Wiarygodności dodaje im fakt, że bez problemu manipulują treścią wizytówki, jaka wyświetla się na smartfonie odbiorcy.

Jak rozpoznać spoofing telefoniczny?

Spoofing telefoniczny to spore zagrożenie dla firmy, bo skutkuje utratą danych do konta czy innych informacji niezbędnych do prowadzenia biznesu. Wykrycie go może być trudne, zwłaszcza gdy na wyświetlaczu pojawia się wiarygodna instytucja, a oszust brzmi kompetentnie.

Prawdopodobnie masz do czynienia ze spoofingiem, jeśli rozmówca stara się wprowadzić atmosferę zagrożenia, byś zadziałał pod wpływem emocji i pod presją czasu. Na przykład informuje o włamaniu na konto firmowe i domaga się szybkich działań w celu zablokowania rzekomych włamywaczy.

Poza tym uważaj, jeśli osoba, z którą rozmawiasz przez telefon:
1) Prosi o przekazanie loginu i hasła do konta firmowego, maila firmowego lub jakiegokolwiek innego konta, na którym znajdują się informacje ważne dla działania firmy.
2) Domaga się podania kodów autoryzacyjnych do zarządzania kontem firmowym.
3) Chce, żebyś z jakichkolwiek powodów podzielił się z nim danymi osobowymi, danymi przedsiębiorstwa lub poufnymi informacjami biznesowymi.
4) Zachęca do natychmiastowego zainstalowania dodatkowej aplikacji, np. bankowej.
5) Skłania do kliknięcia w link wysłany SMS-em.

Jak chronić firmę przed spoofingiem telefonicznym?

Jak skutecznie ochronić firmę przed takim zagrożeniem, a więc na przykład nie doprowadzić do wyczyszczenia konta? Konieczna jest czujność podczas każdej rozmowy telefonicznej. Miej świadomość, że dzwoniąca osoba wcale nie musi pracować w instytucji, która wyświetla Ci się na ekranie.

Zawsze zwracaj uwagę na sygnały alarmowe, które opisaliśmy powyżej. W trakcie rozmowy staraj się bardzo uważnie słuchać rozmówcy, by szybko wyłapać wszelkie niejasności. Poza tym panuj nad swoimi emocjami, nawet jeśli usłyszysz złe wieści (jak na przykład informację o włamaniu na konto), bo pod wpływem stresu i lęku łatwo opuścić gardę i uwierzyć w słowa oszusta.

Pamiętaj również, żeby nie instalować bez zastanowienia żadnej aplikacji, jaką poleca Ci rozmówca, ani nie klikać w linki przychodzące w SMS-ie – zwłaszcza gdy słyszysz, że musisz to zrobić natychmiast. Nie daj się presji czasu.

Jeśli rozmawiająca z Tobą osoba podaje się za pracownika bankowego, a Ty nie masz pewności, czy faktycznie nim jest, nic nie stoi na przeszkodzie, by się rozłączyć i samemu zadzwonić do banku. Wtedy upewnisz się, czy faktycznie nastąpił jakiś problem z kontem i czy przed chwilą nie konwersował z Tobą oszust.

I jeszcze jedna kwestia. Zadbaj o szkolenie z cyberbezpieczeństwa dla całego personelu – w tym z tego, jak rozpoznać spoofing telefoniczny. Zminimalizujesz ryzyko, że oszust wyciągnie dane firmowe od któregoś z pracowników.

Co zrobić, jeśli firma padła ofiarą spoofingu telefonicznego?

Niestety może się zdarzyć, że Ty albo któryś z Twoich pracowników będziecie mieć gorszy dzień, a oszust okaże się bardzo przekonujący. Co zrobić, gdy mleko się już wylało, a więc cyberprzestępca otrzymał dane, których się domagał?

Przede wszystkim jak najszybciej skontaktuj się z daną instytucją i upewnij się, czy osoba, która dzwoniła, jest jej pracownikiem. Jeśli okaże się, że nie, natychmiast zacznij działać. Na przykład jeżeli dzwonił “pracownik banku”, zablokuj kartę płatniczą i dostęp do konta firmowego. Ważne, by zadziałać szybko – możliwe, że oszust jeszcze nie zdążył przelać pieniędzy. Poza tym koniecznie zgłoś zaistniałe oszustwo na policję lub do prokuratury.

I przede wszystkim ucz się na własnych błędach. Tym razem źle się stało i dane wyciekły, ale przecież to nie oznacza, że w przyszłości musi się zadziać to samo. Zachowaj czujność i miej świadomość, że cyberprzestępcy czekają na kolejną okazję.

Jak skuteczniej zadbać o cyberbezpieczeństwo firmy? Jeśli chcesz poznać luki w ochronie i dowiedzieć się, jak je naprawić, przeprowadź bezpłatny audyt cyberbezpieczeństwa. Dowiesz się więcej o kwestiach związanych z cyberochroną, odwiedzaj regularnie naszego bloga, a także fanpage lub profil LinkedIn, gdzie dzielimy się przydatnymi informacjami.

Do usłyszenia!
Zespół Sagenso