Mi történik, ha egy cég nem fordít elég erőforrást a biztonságtudatosságra?

Az online bankkártyás csalások után a számlaváltásos csalások és az adathalászat van a cégek és magánszemélyek pénzügyeit is érintő csalások dobogójának első három fokán. Mindhárom esetben a felhasználók tudatossága rengeteg pénzt és idegeskedést megspórolhat.

Bankkártyás és számlaváltásos csalások

Az online bankkártyás csalásoknál mind a pénzünket, mind a kártyaadatainkat elveszíthetjük, ha például egy csaló webáruházban vásárolunk. Számlaváltásos csalás esetén az elkövetők kiderítik a cég egy partnerét, akitől várható, hogy rövidesen fizet. Az ő nevében keresik meg a vállalkozást, kérve, hogy az új, megváltozott bankszámlára utaljon. Itt már akár milliós károkról is beszélhetünk.

A legtöbb ilyen ügy még nyomozás alatt van, azonban intő jel, hogy mind a Rendőrség, mind a Magyar Nemzeti Bank és a Nemzeti Kibervédelmi Intézet is figyelmeztet az ilyen típusú csalások növekvő számára.

A jól bevált klasszikus: adathalászat

Adathalászat során pedig a régi, klasszikus módszer még mindig működik, amikor egy cég nevében érkezik e-mail vagy sms, amelyben egy, az adott cég weboldalára hasonlító hamis oldalon kérik be a felhasználói adatokat - akár bankkártya adatokat, személyes- és bejelentkezési adatokat, amelyekkel a későbbiekben komplexebb csalásokat is el lehet követni. Itthon már napi szinten találkozhatunk ilyenekkel. A NAV, a telekommunikációs és energetikai szolgáltatók ügyfelei rendszeres célpontok. A napokban a Magyar Posta nevében indult e-mailes és sms-ben történő adathalászat, illetve kártevő terjesztő kampány (“Csomagja ellenőrzéséhez kérjük töltse le az alábbi alkalmazást” - na ez az az alkalmazás, amivel átveszik a telefon/számítógép - majd a bankszámlánk fölött az uralmat.) És ez nem fog változni, muszáj felkészíteni rá a felhasználókat.

Avagy hogyan hat a cég jövedelmezőségére, ha frusztrált a kolléga, mert valaki más vett repülőjegyet az ő bankkártyájával az interneten?

Manapság elképzelhetetlen, hogy egy cég - ideértve a munkavállalókat - is nem használ informatikai rendszereket. Teljesen körbevesz minket az Internet és a számtalan eszköz, amivel elérjük a napi szinten ránk zúduló digitális tartalmakat és az ezekkel járó veszélyeket is.

Őszintén szólva nehéz elképzelni, hogy egy munkavállaló – leszámítva talán a szigorúan vett fizikai munkákat – magas színvonalon el tudja látni úgy a munkáját, hogy közben nem ért a számítógéphez, az okostelefonhoz és nem használja készség szinten az internetet.

Ha csak a mindennapi életünket nézzük, akkor is látszódik, hogy pénzügyeket intézni például nem is lehet ma már okostelefon nélkül – legalábbis hihetetlenül macerás, ha minden egyes utaláshoz, egyenleg lekérdezéshez, csekk befizetéshez el kell zarándokolni a bankfiókba. De ez igaz az általános kormányzati ügyintézésre is. Sőt ma már a recept felíratás is működik e-mailen keresztül, ami ugyan nem a legbiztonságosabb informatikai oldalról, viszont sokkal biztonságosabb egészségügyi oldalról, mint bemenni a sok beteg ember közé a rendelőbe. Még sorolhatnánk a példákat a cégek applikációin elérhető kupon és hűségakcióktól az időjárás előrejelzésen át az útvonaltervezésig – mindenhol informatikai eszközök vesznek minket körbe.

Bár a fiatalabb generációk számára az e-mail már egy őskövület, a vállalatoknál továbbra is ez a belső kommunikáció alapja, és bár terjednek a szervezeteken belül is az azonnali üzenetküldő szolgáltatások, még sokáig az e-mail lesz a fő kommunikációs platform. A csalások és a felhasználókat ért támadások csatornáinak változásai is jól mutatják, hogy bár az e-mail vezet, de a csalók már sms-ben is próbálkoznak és előfordultak azonnali üzenetküldő alkalmazásokban indított adathalászatok, illetve személyiséglopással próbálkozó támadások is.

Nem lehet különválasztani már a felhasználóktól elvárt informatikai tudásszintet szervezeti és magánhasználat tekintetében. Ha egy felhasználó nem kezeli jól például a Messengert, óhatatlan, előfordulhat, hogy vadidegennek küld bizalmas üzenetet a céges csatorna helyett. Ha egy felhasználó felül egy olyan csalásnak, ahol azt próbálják meg elhitetni vele, hogy nyert egy nem létező lottó sorsoláson milliókat, akkor azt is elfogja hinni, hogy a főnöke próbál meg vele elutaltatni pénzt a céges számláról. Ha egy felhasználó megadja a bankkártya adatait egy weboldalon, ahol 20EUR-ért árulnak milliós fényképezőgépeket, az a munkahelyén is el fogja hinni, hogy a cége e-mailben kéri a belépési adatait a céges karácsonyi parti helyszínének megszavazásához -ami nyilvánvaló adathalászat. A példákat oldalakon keresztül sorolhatnánk.

Ma már összefonódott a cégek élete és biztonsága a felhasználók biztonságtudatosságával. És mivel a biztonságtudatosság nem tananyag sem az iskolában, sem a pedagógusképzésben, a szervezeteken és a munkáltatókon múlik, hogy a munkahelyi felhasználóik a cégben, majd hazamenve otthoni userként vagy otthoni „rendszergazdaként” hogyan állják meg a helyüket. És higgyük el, ha egy munkavállalónknak a gyerekét zaklatják az interneten, vagy lenullázzák a bankszámláját egy adathalászat során vagy átverik egy csaló webáruházban, vagy visszaélnek a nevével és fotójával a közösségi oldalakon, akkor nem fog tudni a munkahelyen sem teljesíteni. Hibázni fog, morcos lesz az ügyfelekkel, egész máshol fognak járni a gondolatai, nem a munkán. Ez pedig pénzben is kifejezhető károkat okozhat. Hogy mindezeket elkerüljük, képezzük ki a munkavállalókat az internet veszélyei ellen! Ez mindenkinek a közös érdeke!