Myślał, że rozmawia z szefem. Przelał 25 milionów dolarów.
Pracownik działu finansowego hongkońskiego oddziału międzynarodowej firmy dostał e-mail od CFO z Londynu.
Temat: pilna, poufna transakcja.
Prośba o przelew.
Był ostrożny. Miał wątpliwości. Poprosił o rozmowę.
Zorganizowano wideokonferencję.
Na ekranie pojawił się CFO i kilku innych menedżerów. Twarze, które znał. Głosy, które rozpoznawał. Wszystko wyglądało normalnie.
Zatwierdzili transakcję.
Wykonał piętnaście przelewów!
Dopiero następnego dnia, gdy skontaktował się z centralą, okazało się, że coś się nie zgadza.
CFO nie wysyłał żadnego e-maila.
Żadnej wideokonferencji nie było.
Każda osoba na ekranie była realistycznie wygenerowaną kopią stworzoną przez AI.
To prawdziwa historia z 2024 roku. Ofiarą był pracownik oddziału firmy Arup w Hongkongu. Sprawę opisały m.in. BBC i Reuters:
Brzmi jak scenariusz filmu. A wydarzyło się naprawdę.
Jak to w ogóle możliwe?
Deepfake to technologia, która na podstawie istniejących nagrań i zdjęć generuje fałszywy obraz lub głos na tyle wiarygodny, że większość osób nie jest w stanie odróżnić go od oryginału bez dodatkowej weryfikacji.
Jeszcze kilka lat temu wymagało to specjalistycznego sprzętu i dużych nakładów pracy.
Dziś?
Narzędzia do klonowania głosu działają w przeglądarce. Często wystarczy kilkadziesiąt sekund nagrania dobrej jakości, fragment wystąpienia, podcastu albo wideo z LinkedIna.
Głos prezesa Twojej firmy prawdopodobnie już gdzieś w sieci jest.
Twarz też.
W przypadku ataku w Hongkongu przestępcy wykorzystali publicznie dostępne materiały wideo i audio kadry zarządzającej. Na ich podstawie stworzyli wiarygodne kopie.
Zorganizowali „spotkanie”.
I zabrali 25 milionów.
To nie jest problem tylko korporacji
Można pomyśleć: duże pieniądze, duża firma, mnie to nie dotyczy.
Problem w tym, że mechanizm jest dokładnie ten sam niezależnie od wielkości firmy. A małe firmy często są łatwiejszym celem.
W korporacji przelew na milion dolarów wymaga kilku poziomów akceptacji.
W firmie z dziesięcioma pracownikami księgowa często działa samodzielnie. Zna głos właściciela. Ufa mu.
I właśnie to wykorzystują przestępcy.
Tego typu ataki mają nawet swoją nazwę: Business Email Compromise (BEC).
Według FBI (IC3 Report) tylko w ostatniej dekadzie kosztowały firmy na świecie ponad 55 miliardów dolarów.
W samym 2023 roku zgłoszono ponad 21 tysięcy przypadków:
https://www.ic3.gov/Media/PDF/AnnualReport/2023_IC3Report.pdf
A to tylko te, które ktoś zgłosił.
Jak to wygląda w praktyce?
Schemat jest zawsze podobny:
Fałszywy e-mail od szefa
„Możesz zrobić pilny przelew? Nie mogę teraz rozmawiać.”
Fałszywy telefon
Głos w słuchawce brzmi jak szef albo jak osoba którą znasz. Prośba o dane albo szybkie działanie.
Fałszywa faktura od dostawcy
Adres prawie identyczny. Nowy numer konta. „Zmieniliśmy bank.”
Zawsze pojawiają się te same elementy:
- presja czasu
- poufność
- brak możliwości weryfikacji „tu i teraz”
Co by zatrzymało atak w Hongkongu?
Nie potrzeba zaawansowanego IT. Potrzeba procedury.
Każdy z tych punktów jest banalny. I każdy z nich działa.
Weryfikacja telefoniczna
Zawsze przez znany numer zapisany wcześniej w kontaktach. Nigdy z e-maila.
Zasada dwóch osób
Przelewy powyżej określonej kwoty wymagają drugiej akceptacji.
Hasło bezpieczeństwa
Jedno ustalone zdanie, które potwierdza tożsamość przy nietypowych sytuacjach.
Presja czasu = czerwona flaga
Jeśli ktoś nie daje Ci czasu na weryfikację, to jest problem. Nie transakcja.
Czy Twoja firma jest narażona?
Czy Twoja firma jest naprawdę bezpieczna?
Zastanów się przez chwilę:
- Czy w Twojej organizacji jedna osoba może zlecić przelew na kilkadziesiąt tysięcy złotych bez dodatkowej weryfikacji?
- Czy pracownicy wiedzą, że takie polecenia zawsze trzeba potwierdzić przez znany, wcześniej zapisany numer telefonu?
- Czy kiedykolwiek rozmawialiście o tym, jak w praktyce wygląda próba wyłudzenia?
Jeśli przy którymkolwiek z tych pytań pojawia się wątpliwość, to znak, że istnieje luka.
Nie w technologii.
W procedurach.
A to właśnie takie luki są dziś najczęściej wykorzystywane.
Jeśli chcesz sprawdzić jak Twoja firma wypada w podstawowych obszarach bezpieczeństwa, w tym w kwestii dostępów i procedur – przygotowałem bezpłatną samoocenę bezpieczeństwa firmy.
Większość firm ma te luki i nawet o tym nie wie.
Kilka minut, konkretny wynik.