Jak doskonale wiesz, w sieci roi się od oszustów, którzy mogą stanowić poważne zagrożenie dla twojej firmy. Cyberprzestępcy bardzo często korzystają ze skutecznego narzędzia, jakim jest scam. Co to takiego i jak chronić się przed scamem? Odpowiedzi znajdziesz w tym poradniku.
1.Co to jest scam?
2.Jakie są rodzaje scamu?
3.Jak rozpoznać scam?
4.W jaki sposób scam może stwarzać zagrożenie dla twojej firmy?
5.Jakie są metody ochrony przez scamem?
Co to jest scam?
Scam to forma oszustwa, która nie musi być stosowana wyłącznie w Internecie, ale najczęściej właśnie tam się z nią spotkasz.
Celem scammera jest wzbudzenie zaufania ofiary, aby następnie wyłudzić od niej dane lub ukraść pieniądze. Scam to jedno z narzędzi, z których chętnie korzystają hakerzy, aby potem móc przeprowadzić inny, konkretny rodzaj cyberataku.
Scam z resztą można też uznać za formę ataku, bo często wymaga konkretnych przygotowań – np. zdobycia wiedzy na temat miejsca pracy ofiary lub jej danych teleadresowych.
Oszust zawsze będzie się pod kogoś podszywał, udając np.:
- twojego pracownika lub przełożonego,
- kontrahenta,
- znaną ci instytucję – bank, pocztę lub nawet policję,
- kuriera,
- osobę, którą dobrze znasz, ponieważ jej dane zostały skradzione – numer telefonu lub profil w mediach społecznościowych.
Samo słowo „scam” w języku angielskim oznacza „oszustwo” lub „przekręt”.
Pamiętaj, że scam jest stale rozwijany przez oszustów i wciąż powstają nowe metody. Dlatego warto wiedzieć, jakie są najczęściej stosowane i jak je wykrywać.
WAŻNE!
Wyłudzanie pieniędzy metodą „na wnuczka” lub „na policjanta” to również formy scamu. Ofiarami oszustów są w tym przypadku głównie seniorzy. Przestępcy wiedzą o tym, że starsza osoba nie zawsze bezbłędnie rozpoznaje głosy w telefonie, a jej ufność sprawia, że da się nią łatwo manipulować. Dlatego wciąż prowadzi się akcje uświadamiające.
Jakie są rodzaje scamu?
Scammerzy, czyli oszuści, mają do dyspozycji szeroki wachlarz technik przydatnych do przeprowadzenia scamu. Część z nich możesz znać, bo często wymienia się je jako formy działania cyberprzestępców.
Przykładów scamu jest niestety wiele, więc wymienimy tylko te najważniejsze i najczęściej spotykane. Spójrz niżej:
- Phishing – brzmi tak samo jak „fishing”, czyli z angielskiego „łowienie” i jest to precyzyjne określenie. Haker podszywa się pod jakąś osobę lub instytucję, kontaktuje się z tobą lub twoim pracownikiem i w ten sposób wyłudza dostęp do informacji. Najczęściej jest to forma wiadomości e-mail z fałszywym linkiem.
- Vishing – inaczej voice phishing. Scammer dzwoni do pracownika i podszywa się pod znaną mu osobę (np. prezesa) i prosi o udostępnienie konkretnych informacji. Przestępcy korzystają z narzędzi zmieniających barwę głosu, więc łatwo o pomyłkę.
- Smishing – metoda polegająca na zdobywaniu danych z użyciem SMS. Haker przesyła do ciebie lub twojego pracownika wiadomość z prośbą o podanie informacji, podszywając się pod znaną wam osobę. Tą drogą może też wysłać link, który po otwarciu uruchamia program do wyłudzania danych, czyli ransomware.
- Spoofing telefoniczny – haker kradnie czyjś numer telefonu i wykonuje z niego połączenia lub przesyła SMS-y. W ten sposób usypia czujność ofiary i może wyłudzić od niej dane lub ją zastraszyć. Więcej na temat spoofingu piszemy tutaj.
Tego typu techniki, stosowane przez oszustów (scammerów), zalicza się do grupy metod zwanej social engineering, czyli inżynierii społecznej.
Hakerzy i scammerzy (to zazwyczaj te same osoby) znają mechanizmy psychologiczne, przewidując w ten sposób ludzkie odruchy i reakcje. Wykorzystują to, aby manipulować ofiarą i niestety często usypiają w ten sposób jej czujność.
Zwłaszcza, że cyberprzestępcy całkiem dobrze radzą sobie z podszywaniem się pod konkretne osoby lub instytucje.
Nie każdy fałszywy e-mail, który otrzymasz, będzie tym od „nigeryjskiego księcia” oferującego ci spadek. Takie bez cienia wątpliwości traktujesz jako próbę scamu.
Ale nawet bardziej udane próby scamu możesz dość łatwo wykryć. Wystarczy, że zapamiętasz kilka porad, które znajdziesz niżej.
jak rozpoznać scam?
Po pierwsze – zachowaj czujność. Pamiętaj, że każdy użytkownik Internetu to potencjalna ofiara scamu. Nie spiesz się z podjęciem działania. Zanim odpowiesz na wiadomość, klikniesz w link lub spełnisz prośbę dzwoniącej do ciebie osoby – przeanalizuj treść komunikatu, zbadaj sytuację.
W porządku, ostrożność mamy zaliczoną. Co dalej?
- Spójrz na adres nadawcy. Sprawdź, czy wiadomość od danej osoby lub instytucji przyszła z tego samego adresu, co zwykle. Upewnij się, że nie ma błędów w domenie lub podejrzanych elementów, np. myślniki zamiast kropek, brak nazwiska itd.
- Nie podawaj danych. Jeśli rozmówca lub nadawca wiadomości prosi cię o szybkie podanie danych, np. logowania do banku czy konto służbowe – nie rób tego. Oszust zawsze będzie stwarzał poczucie zagrożenia i powagi sytuacji.
- Nie klikaj od razu w link. Do każdej wiadomości z linkiem podejdź z dużą ostrożnością, zanim klikniesz. Warto przyjrzeć się też jego budowie – fałszywe linki mogą mieć podejrzaną domenę lub być przycięte z użyciem odpowiedniej aplikacji. Przeanalizuj też inne elementy wiadomości – np. jej treść pod kątem językowym oraz wspomniany wcześniej adres nadawcy.
- Zwróć uwagę na literówki. To dotyczy każdego elementu wiadomości – adresu nadawcy treści itd. Błędy w treści oznaczają niechlujstwo lub brak dobrej znajomości języka polskiego. Poważna instytucja, firma lub kontrahent nie pozwoli sobie na coś takiego! Z kolei literówki w adresie to metoda na uśpienie czujności. Bo na pierwszy rzut oka wszystko się zgadza.
- Rozmowa jak ze znajomym. W przypadku połączeń telefonicznych ktoś może prowadzić rozmowę tak, jakbyście znali się od dawna, współpracowali nie od dziś albo prowadzili podobną rozmowę chwilę temu. Oszuści usypiają w ten sposób twoją czujność. Aby sprawdzić, z kim masz do czynienia, zadaj tej osobie proste pytanie, na które odpowiedź będzie znać tylko ktoś, pod kogo scammer rzeczywiście się podszywa.
Reasumując – czujność to absolutna podstawa. Szczególnie, gdy chodzi o tak istotne kwestie jak dane dotyczące twojej firmy.
Ale każdy z nas jest tylko człowiekiem i każdemu zdarza się popełnić błąd. Przebiegłość cyberprzestępców również bywa imponująca.
Zdarza się, że oszuści jakimś cudem znają szczegóły sprawy, w której kontaktują się z ofiarą. Wiedzą też sporo o strukturze firmy i metodzie jej działania, znają personalia niektórych pracowników.
W jaki sposób scam może zagrażać bezpieczeństwu twojej firmy?
Cyberprzestępcy nie zawsze próbują złamać zabezpieczenia infrastruktury IT twojej firmy. To skomplikowane i przede wszystkim ryzykowne działania.
Bardziej skuteczną i trudniejszą do wykrycia metodą ataku jest właśnie scam. Słabe punkty ludzkiej psychiki mogą okazać się łatwym kluczem dostępu do danych wrażliwych twojej firmy.
A to może oznaczać m.in.:
- poważne straty finansowe,
- straty wizerunkowe,
- wstrzymanie produkcji lub dostarczania usług,
- utratę klientów.
Jak widzisz zagrożenia są bardzo poważne, a w skrajnych przypadkach mogą oznaczać nawet utratę płynności finansowej organizacji.
Na szczęście istnieją skuteczne metody na minimalizację skutków scamu i powiązanego z tym cyberataku. Istnieje też możliwość uniknięcia zagrożenia, jeśli ofiara odpowiednio szybko wykryje próbę oszustwa.
Jak chronić firmę przed scamem?
Jedną ze skutecznych metod ochrony przed oszustwem i związanym z nim ryzykiem cyberataku są szkolenia pracowników w zakresie cyberbezpieczeństwa.
Scammerzy i hakerzy doskonale wiedzą, że łatwiej da się oszukać szeregowego pracownika firmy niż osobę pracującą w dziale IT. Z bardzo prostego powodu – świadomość większości zespołu organizacji na temat cyberzagrożeń często bywa mniejsza niż w przypadku specjalistów IT lub członków zarządu.
Poziom świadomości cyberzagrożeń w twoim zespole możesz podwyższyć poprzez organizację cyklicznych szkoleń w formie warsztatów.
W ten sposób możecie przećwiczyć rozmaite sytuacje i nauczyć się prawidłowych reakcji na próby oszustw cyberprzestępców.
Przeprowadzenie cyklicznych szkoleń najlepiej przekazać zewnętrznym specjalistom. Ważne, aby te warsztaty odbywały się regularnie, ponieważ scammerzy stale rozwijają swoje techniki.
Więcej na temat szkoleń pracowników w zakresie cyberbezpieczeństwa piszemy tutaj.
A jeśli masz pytania – zachęcamy do kontaktu!