15:01
6/5/2020

Zazwyczaj na Niebezpieczniku opisujemy ataki, które doszły do skutku i w wyniku których stracono dane lub pieniądze. Dziś będzie inaczej.

Rano otrzymaliśmy informację od zaprzyjaźnionej firmy Miquido, że ich dział HR odebrał dziwnego e-maila. Ktoś, używając poprawnych danych jednego z pracowników firmy wysłał taką wiadomość:

Ten ktoś najwyraźniej zwęszył interes, mając świadomość, że ze względu na “koronawirusa” wiele firm pracuje dziś “zdalnie” (a więc pracownicy mają ze sobą utrudniony kontakt w biurze). Poprawnie podszył się pod jednego z pracowników (co do nazwiska, nie co do adresu e-mail, ten jest fałszywy). Nazwisko mógł zdobyć np. z LinkedIna, to nie takie trudne. W dodatku wiadomość wysłał tuż przed dniem wypłaty. Sprytne, choć nie jest to nowy scam.

Ostrzeżcie swoje koleżanki i kolegów z działów kadr i uczulcie na ten atak. Upewnijcie się, że procedura zmiany konta do wypłaty nie bazuje tylko na e-mailu.

A jeśli chcielibyście w ciągu 3 godzin sprawić, aby wasi pracownicy lub współpracownicy poznali metody jakimi atakujący próbują okradać polskie firmy z danych i pieniędzy (w tym w sposób opisany powyżej i wiele wiele innych), to zapraszamy do naszego kursu online “Cyberbezpieczeństwo w Firmie” składającego się z 10 kilkunastominutowych lekcji w formie filmików, gdzie przystępnym, zrozumiałym dla każdego językiem pokazujemy ataki i najbardziej skuteczne metody ochrony przed nimi. Tę wiedzę powinien posiadać każdy pracownik!

PS. Pełną agendę kursu Cyberbezpieczeństwo w Firmie i demo jednej z lekcji, o phishingu, możesz zobaczyć tutaj.

Przeczytaj także:



18 komentarzy

Dodaj komentarz
  1. Sama wiadomość z konta nie we firmowej domenie powinna już zwrócić uwagę.

    • Powinna. Chyba, że kadrowa też na remote i czyta akurat na tablecie/smartfonie, czyli urządzeniach które często całkowicie ukrywają adres e-mail nadawcy, dopóki się w niego nie kliknie.

    • Z tego co kojarze (wyswietlane) pole from moze zostac zafalszowane przez wysylajacego:
      en.wikipedia.org/wiki/Email_spoofing
      Jest tez polska wersja z calym 1 zdaniem na temat jesli ktos musi miec po polsku ( pl.wikipedia.org/wiki/E-mail_spoofing )
      Wiec generalnie nadawca o niczym nie swiadczy (zwlaszcze ze nawet nie falszowany email mogl pochodzic z przejetego konta). Wymagania weryfikacji/akcji powinny zalezec od jej typu…

      Ps. Z drugiej strony, ja sie tutaj produkuje, a ten post pewnie nie przejdzie moderacji albo zostanie usuniety… i ja rozumiem, ze niektorzy maja olbrzymie *ego* ale nawet “naduzywanie wladzy” ma swoje zasady… Zegnam i powodzenia zycze – przyda sie…

    • WkurzonyBialyMisiu902010, czy Ty insynuujesz, że nie przechodzisz moderacji? Ty masz 100+ komentarzy, więc Twoje posty pod kilku mcy przeskakują kolejkę moderacji automatycznie (nie nadużywaj! :D). Jeśli coś się nie ukazuje, to dlatego, że Akismet uznał Cię za spam. I fakt, spamu nie przeglądamy na bieżąco, bo żadna to przyjemność (dziennie wpada 800 komentarzy, większość to bzdury, ale false positives się zdarzają). Spojrzałem ui wyciągnąłem z niego właśnie 2 Twoje posty. I szczerze, to nie mam pojęcia dlaczego tam poleciały, obstawiałbym reputację IP, bo treści ani nie zawierały linków ani innych dziwnych zwrotów ‍♂️ Niestety, alternatywą do Akismeta jest captcha, ale nie chcemy w nią iść, więc póki co maszinlernink Akismeta zostaje.

    • Adres firmowy? Ponad połowa mikrofirm ma pewnie adresy na wp/gmailu albo nawet buziaczek.pl . Lista płac nie musi mieć 1000 pozycji, może mieć 5.

    • @Piotr Konieczny
      Jesli tak to przepraszam za falszywe oskarzenia – troche sie zapedzilem, chociaz w dziedzinach zwiazanych z bezpieczenstwem lekka paranoia jest choroba zawodowa i w jej ramach zdaza mi sie okazjonalnie nadinterpretowac zwykle zrzadzenia losu :p
      Za specjalne wzgledy dziekuje, jesli tak jest wygodniej to niech bedzie, ale nie jest to cos czego potrzebuje – nie mam nic przeciwko rozsadnej moderacji gdybym sie gdzies kiedys zagalopowal :)

      Co do captchy – akurat sam bardzo lubilem, zwlaszcza w “zlotych czasach” kiedy zagadki potrafily byc naprawde psychodeliczne xD – takie bonusowe lamiglowki. Ludzie do tej pory chyba z lezka w oku wspominaja te kotki (o ile dobrze kojaze z rapida?) :)
      Wyjatkiem sa obecne ustrojstwa od googla, bo nawet poprawne rozwiazania uznaje (po cichu) za dzielo robota (zakladam ze na podstawie dodatkowych charakterystyk rozwiazania) i chociaz od jakiegos czasu nie mam z nimi problemu – poniewaz zaczalem skutecznie “udawac czlowieka” – to jednak znajduje obelge w tym jak niska opinie o ludzkosci ma (jakby nie bylo samo niezbyt bystre) AI…

  2. I kto jest wtedy stratny kasę? Kadrowy ma po swojej pensji czy firma czy pracownik “rzekomy podstawiony” ? Imo pracownikowi wypłaca po rozmowie normalnie pensje bo przecież to nie on osobiście prosił o zmianę rachunku. A kadrowy dał dupy i nie sprawdził?

    • Według mnie firma/HR ponosi koszty, a nie pracownik, on jest najmniej winny. Idealnie byłoby gdyby koszty poniósł przestępca, którego udało się namierzyć :P
      Numer konta jest zwykle częścią umowy, więc każda zmiana umowy wymaga aneksu, podpisanego osobiście. Więc jeśli HR zmienił numer konta, czyli de facto zmienił warunki umowy bez podpisu pracownika, dał dupy.

    • W zasadzie wszystko zależy od samej firmy. Pokrzywdzony pracownik powinien dostać wypłatę i nic go to nie obchodzi, co do pracownika działu kadr, który wprowadził nieprawidłowy rachunek do systemu, to wszystko zależy czy ma odpowiedzialność finansową w umowie czy nie, ale o ile firma nie zasponsorowała ludziom od pieniędzy szkolenia, które uczula na takie scamy to też trudno będzie ich za to ukarać, zwłaszcza jeśli oszustwo było dobrze przygotowane.

      @Łukasz
      Jeśli chodzi o numer rachunku w umowie, to chyba w żadnej firmie nie miałem tego w taki sposób rozwiązanego, zawsze było “na wskazany przez pracownika numer rachunku” i dawało się dodatkowe oświadczenie z numerem rachunku do przelewu wynagrodzenia a aktualizacja na maila.

  3. W takich wypadkach warto zadzwonić telefonem i upewnić się czy prośbą o zmianę numeru konta rzeczywiście jest autentyczna.

  4. To większa kampania. U nas również Kadry dostały takiego maila, również z danymi rzeczywistego pracownika, w dodatku dość wysoko postawionego w strukturze organizacyjnej. Okazało się też, że to drugi taki przypadek u nas. Ktoś więc odrobił zadanie domowe i dobrze przygotował to oszustwo.

  5. Materiał wideo bardzo fajny. Co do skrótów do stron ktoś kto uzyska dostęp do komputera ofiary i tak może wprowadzić ją w maliny podmieniając je. A w temacie prezentacji czy to jakaś kryptoreklama ze stronami na pasku skrótów czy tylko inwencja autora?

    • Jeśli ktoś uzyska dostęp do komputera, to nie ma znaczenia co zrobisz na komputerze. Przegrałeś. Trzeba się tż zabezpieczyć poza komputerem. O tym jest w kolejnych lekcjach :-)

  6. Atak potencjalnie bardzo skuteczny i dochodowy, a tak prosty – wystarczy jeden nieskomplikowany email.

  7. Imho kadrowe powinny obowiązkowo, lub dla własnego spokoju zawsze prosić o zaświadczenie o prowadzeniu rachunku.
    Niby podrobić się to da, ale są na nim też dane, które nie tak łatwo zdobyć typu nr dowodu.

    • Nie ma prawnej podstawy dla żądania zaświadczenia o prowadzeniu rachunku. Możesz podać w kadrach numer konta żony albo kumpla, nikt Ci tego nie zabroni, a nam nie wolno sprawdzić. To Twoje pieniądze, masz prawo robić z nimi co chcesz. Dodatkowo obecność takich danych dodatkowych może być problemem, prawo określa, które dane pracodawca może przetwarzać, nie ma prawa żądać innych, a od jakiegoś czasu numer dowodu właśnie do takich danych należy – nieobowiązkowych. A więc proszę pracownika o zaświadczenie w ramach weryfikacji, a on mi mówi “nie, bo nie” – i co?

  8. Tu potrzeba zmian systemowych. Bank prowadzący konto odbiorcy powinien mieć ustawowy obowiązek sprawdzania, czy imię i nazwisko lub nazwa firmy posiadacza zgadza się z danymi podanymi na przelewie. Za niedopełnienie tego obowiązku bank powinien odpowiadać finansowo do pełnej wysokości przelewu zrealizowanego na konto niewłaściwej osoby. Wtedy oszust ma znacznie trudniej, bo nie wystarczy wysłać jeden mail ale musiałby też założyć konto na takie samo imię i nazwisko jak pracownik-ofiara.

    • Rotfl, przecież kilka lat temu właśnie z tej weryfikacji zrezygnowano, bo sprawiała wiele problemów.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: