Business Email Compromise. Na pierwszy rzut oka nie brzmi poważnie. Ttymczasem to jeden z wyjątkowo groźnych ataków, opartych na socjotechnice. Takich na które łatwo się nabrać i mogą piekielnie dużo kosztować.

Tytułowe określenie po polsku nazwałbym podszyciem się pod korespondencję biznesową. Nie lubię tłumaczyć angielskiego zwrotu "compromise" jako "kompromitacja", co często ma miejsce w materiałach o cyberbezpieczeństwie. Dla mnie to tzw. "false friend", bo akurat w tej sytuacji niezwykle łatwo paść ofiarą ataku, a z kompromitacją nie ma to nic wspólnego.

Nie atakują byle kogo

Pisząc o cyberzagrożeniach regularnie zaznaczam, że przestępcy mogą zaatakować każdego. W przypadku Business Email Compromise jest inaczej. To atak, wymagający przygotowania, czasu i pieniędzy. Napastnik musi bowiem odpowiednio wcześnie uzyskać dostęp do skrzynki e-mailowej ofiary, czyli włamać się do firmowej sieci. W tym przypadku więc statystyczny internauta nie będzie jego ofiarą.

Oszustowi wystarczy dostęp pasywny. Nie musi niczego robić, w żaden sposób dawać znaku życia. Wystarczy, że będzie czytał maile, przychodzące do przyszłej ofiary. Analizował jej styl, sposób wypowiedzi, patrzył jacy jeszcze adresaci znajdują się w często cytowanej poniżej historii. Po co to wszystko?

"Słuchaj, zrób szybko ten przelew na 100 tys. €!"

Po to, by w momencie ostatecznego ataku podszyć się pod bardzo konkretnego nadawcę. I napisać maila, wymagającego poważnej, finansowej aktywności, do konkretnego odbiorcy. Zazwyczaj będzie to ofiara, której korespondencji się przyglądał.

Pamiętam prezentację mł. insp. Jana Klimy z małopolskiej policji, który 3 lata temu, na ostatnim "przedpandemicznym" Confidence, opowiadał historię takiego ataku, który kosztował firmę-ofiarę 345 tys. euro (!). No ale cóż zrobić, gdy do księgowej trafia pilny mail od prezesa, że teraz koniecznie trzeba zrobić przelew? Bo jak nie to umowę diabli wezmą! Oczywiście taka kwota to nie jakaś drobnica, więc trzeba zadzwonić po potwie... Telefon wyłączony? No tak, przecież szef leci do Azji. Minie wiele godzin, zanim będzie można się doń dodzwonić... Oszust zdecydowanie dobrze przygotował się do ataku.

Gdy szukałem inspiracji do dzisiejszego tekstu, trafiłem na post Paula Ducklina na blogu Naked Security. Opisuje on historię scamera od Business Email Compromise właśnie, ale także zajmującego się oszustwami "na zakochanego w kłopotach". Elvis Eghosa Ogiekpolor (nie bez przyczyny ten drugi tym oszustwa określa również mianem "scamu nigeryjskiego") oszukał firmy i osoby prywatne na blisko 10 mln dolarów. Teraz, wyrokiem sądu w Atlancie w stanie Georgia, przez ćwierć wieku będzie żył na federalnym wikcie. Co jednak zrobić, by utrudnić życie jemu podobnym, którzy (jeszcze) są na wolności?

Business Email Compromise - jak go uniknąć?

• Stworzyć w firmie system raportowania podejrzanych maili. W małej firmie może to być po prostu rozpowszechniony u wszystkich "mail do tego kolesia od komputerów"; w Orange Polska w naszych Outlookach mamy oznaczony logo CERT Orange Polska wyraźny przycisk "Phishing-zgłoś podejrzaną wiadomość e-mail", który jest ilustracją tytułową tego tekstu.
  • Nie wstydzić się zgłaszać wszelkich podejrzeń! Jeśli ktoś napisze w mailu, który trafił do mnie, że się wahał/a, czy "zajmować nam czas", piszę, że zdecydowanie bardziej wolę dostać 100 fałszywych alarmów, niż przegapić 1 faktyczny atak
• Jeśli masz wątpliwości - skontaktuj się bezpośrednio z nadawcą!
  • Ale nie odpisuj mu na maila (to chyba oczywiste). Zadzwoń, zajrzyj do jego biura. A jeśli nie odbiera, bo właśnie leci do Azji - skontaktuj się (w opisywanym przypadku) z innym członkiem zarządu, czy jej/jego asystentką/em. Jak sądzisz, czy większy problem będzie, gdy okaże się, że wszczynasz fałszywy alarm, czy jeśli przelejesz grubą kasę komuś, kto nie powinien jej otrzymać?
• Wprowadźcie w firmie (lub zainspiruj do tego swoich przełożonych) obowiązek podwójnego potwierdzenia przy transakcjach na wysokie kwoty.
  • Można sobie żartować, że w różnych filmach decyzje, niosące za sobą poważne konsekwencje (czy to dla firmy, czy dla świata), wymagają dwóch kodów do wpisania, dwóch kciuków do zeskanowania, czy dwóch kciuków do przekręcenia. Ale nawet biorąc pod uwagę, jak dużo warty jest czas akceptujących te działania osób, konsekwencje pomyłki będą warte duuużo więcej.

Chcecie zainwestować w fotowoltaikę, ale nie wiecie, jak się do tego zabrać? Jak wygląda montaż i na co powinniście zwrócić szczególną uwagę? Zapraszam na rozmowę z Adrianą Glinką-Kłos, szefową sprzedaży w Orange Energia, która pomoże Wam zrobić pierwszy krok.

Ewa Przybylińska: Co powinnam wiedzieć, gdybym była klientem zainteresowanym fotowoltaiką?

Adriana Glinka-Kłos: Zaczynamy od prawidłowego określenia mocy, jaką potrzebujemy. Robimy to na podstawie audytu fotowoltaicznego. Moc instalacji dobieramy według indywidualnych potrzeb, po analizie rocznego zużycia energii. Musimy optymalnie dobrać moc, która zapewnia pokrycie obecnych i przyszłych potrzeb. Budowanie instalacji większych niż wynika to z analizy zużycia energii, nie ma ekonomicznego sensu i tylko wydłuża okres zwrotu inwestycji.

Do instalacji nadaje się zdecydowana większość dachów pod warunkiem ich dobrej kondycji technicznej. Trzeba wziąć pod uwagę to, że dach musi wytrzymać dodatkowe obciążenie. Najbardziej optymalny kąt nachylenia dachu w Polsce to 30-40 stopni i oczywiście południowa wystawa. W zależności od kąta nachylenia, instalacje sprawdzają się także w kierunkach: wschód, zachód i pośrednich. Dla instalacji na dachach płaskich, często projektuje się instalacje skierowane na: wschód-zachód.

Jakie mamy rodzaje paneli fotowoltaicznych i czym się od siebie różnią?

Trzy najpopularniejsze to: monokrystaliczne, polikrystaliczne i panele z krzemu amorficznego. Różnią się właściwościami, wydajnością i ceną. Wybór tych odpowiednich dla nas, jest uzależniony od wielu czynników i najlepiej omówić je ze specjalistą.

Jak krok po kroku instaluje się panele?

Na podstawie audytu nasi inżynierowie przygotowują koncepcję techniczną wraz z wizualizacją i tzw. prognozę uzysku, czyli kalkulację przyszłych zysków z instalacji. Następnie umawiamy termin montażu i dostarczamy materiały niezbędne do realizacji inwestycji.

Potem do akcji wchodzą nasi technicy. Instalację dzielimy na: montaż paneli, montaż falownika, okablowania, pomiary i testy. Sam montaż wykonywany jest przez ekipę składającą się z fachowców z zakresu fotowoltaiki, elektryki, dekarstwa. Czas budowy instalacji jest uzależniony od ilości paneli i  miejsca. Dla domu jednorodzinnego to standardowo 2-3 dni. Prawidłowy montaż gwarantuje, że panele można użytkować bezpiecznie przez wiele lat. Pamiętajmy, że błędy w montażu fotowoltaiki wpływają na wydajność instalacji, mogą stanowić nawet zagrożenie dla konstrukcji budynku. Te najczęściej popełniane, których oczywiście należy unikać to np. nieprawidłowo dobrana moc instalacji lub konstrukcja do danego typu poszycia dachowego, brak zabezpieczenia kabli pod panelami i źle dobrane zabezpieczenia. Należy też już na samym wstępie zwrócić szczególną uwagę na projekt instalacji.

Jak wygląda odbiór instalacji i dalsze formalności?

Odbiór przez klienta potwierdza protokół. Ostatnim elementem jest zgłoszenie instalacji do operatora systemu dystrybucyjnego (OSD), będącego właścicielem infrastruktury energetycznej na danym obszarze. Ten krok wykonuje się w celu wpięcia instalacji do całej sieci. OSD ma obowiązek przyjąć zgłoszenie i dokonać wymiany licznika inwestora na dwukierunkowy, tzn. umożliwiający rejestracje zarówno poboru, jak i produkcji energii. Wymiana licznika i podpisanie umowy ze sprzedawcą energii kończy proces.

Podobno instalacja efektywnie działa jedynie w miesiącach ciepłych. To prawda?

To jeden z wielu mitów. Panele fotowoltaiczne produkują energię przez cały rok. To prawda, że 70%-80% energii słonecznej pochodzącej z paneli fotowoltaicznych, produkowanych jest od kwietnia do września. Jednak niskie temperatury nie mają negatywnego wpływu na ich sprawność. Fotowoltaika potrzebuje promieni słonecznych, a nie ciepła.

Czy montaż instalacji można wykonać o każdej porze roku?

Pora roku nie ma znaczenia. Istotne są warunki atmosferyczne. Technicy, ze względów bezpieczeństwa, nie pracują na dachu podczas opadów deszczu, śniegu, jeśli dach jest pokryty śniegiem, a także przy mocno ujemnych temperaturach.

Jak opiekować się panelami?

Instalacje są bezobsługowe i należy tylko pamiętać o okresowych przeglądach, aby wykluczyć ewentualne usterki. Energia wytworzona z instalacji jest wykorzystywana na bieżące potrzeby. W przypadku wyboru falowników hybrydowych i doposażeniu instalacji w magazyny energii, może być rezerwowym źródłem zasilania.

Adriana Glinka-Kłos, dyrektorka sprzedaży Orange Energia - spółki wchodzącej w skład Grupy Orange. Specjalizuje się w tworzeniu strategii sprzedażowych w branży energetycznej, paliwowej i gazowej. Pracowała w Grupie Energa, GPEC, Stilo Energy. W Orange Energia jest odpowiedzialna za zarządzanie sprzedażą portfolio produktowego (energii elektrycznej i odnawialnych źródeł energii, w szczególności fotowoltaki).

***

Spotkanie z Adrianą Glinką-Kłos jest kolejnym odcinkiem cyklu o fotowoltaice.
Przeczytajcie wcześniejszy wpis: Wszystko, co potrzebujecie wiedzieć o fotowoltaice 
Więcej informacji o fotowoltaice od Orange Energia znajdziecie na stronie.

Dziś startujemy z Ofertą tygodnia, która potrwa dłużej niż zwykle. Tańsze urządzenia kupicie do 22 października lub do wyczerpania zapasów. Proponujemy: Xiaomi 12 5G 8/128 GB tańszy nawet o 360 zł z wybranymi abonamentami. Z Planem 60 i Orange Love Standard kupicie go za 125 zł x 24 mies, a przy zakupie Planu 80 oraz Orange Love Extra i Premium w cenie 110 zł x 24 mies. Xiaomi 12 Pro 5G 12/256 GB taniej o 192 zł z wybranymi abonamentami.

Promocja dotyczy również oferty bez abonamentu: Xiaomi 12 5G można kupić o 220 zł taniej (159,95 zł x 20 mies.), a Xiaomi 12 Pro 5G o 200 zł. Szczegóły oferty znajdziecie na stronie.
(po telefon Xiaomi 12 5G w promocyjnej cenie zapraszamy do salonów Orange)

Oto jak w naszym sklepie online, klienci oceniają Xiaomi 12 5G: „Bardzo wygodny!”, „Dobry mały telefon”. Faktycznie, smartfon - mimo wyświetlacza o przekątnej aż 6,28 cala - można spokojnie obsługiwać jedną dłonią, co jest zasługą węższej i wygodniejszej obudowy oraz zakrzywionych krawędzi. Dodatkowo telefon wyróżnia wytrzymała bateria z turboładowaniem o mocy nawet 67 W i wydajny procesor. Jeśli chodzi o drugi model, Xiaomi 12 Pro 5G, zdaniem naszego recenzenta Bartka to „flagowiec z prawdziwego zdarzenia”. Całą recenzję możecie obejrzeć tutaj.

https://www.youtube.com/watch?v=3ux30uQVAJc&t=25s