Szef… Czego by o nim nie mówić i jak wspaniały by nie był, to wciąż jeden z głównych motywatorów do pracy, obok rodziny, marzeń i jeszcze raz pieniędzy 😉 Czasami to kwestia osobowości i porywającej tłumy charyzmy, innym razem – mam nadzieję, że nie u Was – naczelnego motywatora, czyli… strachu.
Nie wiemy, co motywowało Judy (imię zmienione), opisywaną na blogu Briana Krebsa, która dzięki przytomności umysłu zaoszczędziła firmie, bagatela, 315 tysięcy dolarów. O przelew na taką kwotę poprosił ją bowiem pewnego dnia mailem właśnie opisywany na wstępie szef, podając docelowy numer konta w jednym z chińskich banków. Wam już pewnie zapaliła się czerowona lampka, ale Judy niekoniecznie, bowiem przelewy do Chin, nawet na tak duże kwoty, były codziennością w jej firmie, współpracującej z kontrahentami z Państwa Środka. Zaniepokoiło ją jednak coś innego – ton wypowiedzi szefa w otrzymanym mailu był nieco bardziej formalny niż zazwyczaj. Na szczęście tym razem skończyło się dobrze – mimo, że zlecenie przelewu już wyszło, szczęśliwa Judy zdążyła zatrzymać je w banku.
Można by powiedzieć, że bezczelność cyber-przestępców przekracza wszelkie granice, ale niestety z takimi atakami trzeba się liczyć. Mogłoby być gorzej, gdyby np. szef udzielał się w internecie w dyskusjach na forach (używając swoich personaliów i nazwy firmy), prowadził swój profil w jakimś serwisie społecznościowym, blogi, etc. Wtedy bowiem przestępcy mogliby przygotować się lepiej, analizując jego styl wypowiedzi, wyłapując np. specyficzne sformułowania i w efekcie w swoim mailu jeszcze lepiej udawać domniemanego nadawcę, ostatecznie oszukując dzielną Judy.
Rutyna i to, co ja nazywam zaufaniem, a moja kochana Żona naiwnością. To nas gubi i to bezlitośnie wykorzystują cyber-przestępcy. W Polsce też! Kilka lat temu w mediach było głośno o księgowej z Metra Warszawskiego. Automatycznie wpisała ona do systemu nowy numer konta otrzymany w „oficjalnym” liście, który okazał się być korespondencją od cyber-przestępców. Zgadnijcie, kto otrzymał pierwszy przelew?
Ja jestem zdecydowanym zwolennikiem zasady ograniczonego zaufania, jeśli chodzi o dane wrażliwe i pieniądze – wolę zakładać, że każdy, kto chce ode mnie takie informacje, robi to w celu niecnym celu (oczywiście z wyjątkiem spotkania twarzą w twarz). Nie trzeba wiele, żeby zapobiec potencjalnym problemom – jeśli dostajemy maila, jak Judy, wystarczy zadzwonić do szefa i potwierdzić, zajmie nam to 5 sekund, a szef będzie nam potem wdzięczny. Takie uwierzytelnianie dwuskładnikowe przy użyciu interfejsu białkowego 😉 Ja mam takie wprowadzone w rodzinie – jeśli moi synowie siedzą w domu sami, ktoś puka do drzwi, to nawet jeśli na „Kto tam?” odpowie „Tata/mama!” i tak mają go jeszcze odpytać o ustalone wcześnie hasło. Nie ma co ryzykować.