SBC Podjetnik - september 2019: Kako se pripraviti? Na inšpekcijo. Na hekerje.
SBC Podjetnik je revija SBC - Kluba slovenskih podjetnikov, namenjena najboljšim slovenskim malim in srednjim podjetjem in ključnim posameznikom ter ustanovam v državi, ki bi vsak na svojem področju morali skrbeti za čim bolj podjetno in podjetniško Slovenijo.
SBC Podjetnik je revija SBC - Kluba slovenskih podjetnikov, namenjena najboljšim slovenskim malim in srednjim podjetjem in ključnim posameznikom ter ustanovam v državi, ki bi vsak na svojem področju morali skrbeti za čim bolj podjetno in podjetniško Slovenijo.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
48 <strong>SBC</strong> | Kibernetski napadi | September <strong>2019</strong><br />
2Goljufivi direktor piše, da je treba nakazati<br />
denar (direktorske prevare)<br />
<strong>Kako</strong> potekajo: Storilci ponaredijo elektronsko<br />
sporočilo, v katerem domnevni direktor<br />
sporoča, kam naj bo nakazan določen zne<strong>se</strong>k<br />
denarja. Sporočilo pošljejo v računovodstvo<br />
oziroma tajništvo podjetja.<br />
Dejavniki tveganja: Mala in srednja podjetja<br />
so tem napadom še po<strong>se</strong>bno izpostavljena,<br />
saj morajo biti v poslu dovolj fleksibilna in <strong>se</strong><br />
hitro odzivati. Direktorske prevare izkoriščajo<br />
dejstvo, da je v podjetju pogosto direktor tisti,<br />
ki pove, komu in kako naj bo nakazan denar.<br />
Računajo tudi na lahkomi<strong>se</strong>lnost in odzivnost<br />
naslovnikov. Gre za zelo preproste, a učinkovite<br />
oblike napadov.<br />
<strong>Kako</strong> zmanjšati tveganje: Gre za primer<br />
socialnega inženiringa, ki izkorišča človeške<br />
ranljivosti, zato je poglaviten ukrep dodatno<br />
preverjanje na strani tistih, ki izvajajo denarne<br />
transakcije.<br />
<strong>Na</strong> občuten porast direktorskih prevar je v zadnjih<br />
tednih opozorila slovenska policija. Prijave so prejeli<br />
na območju PU Ljubljana, Maribor, Kranj in Nova<br />
Gorica (več o letošnjih najodmevnejših kibernetskih<br />
napadih lahko preberete na strani 54).<br />
SI-CERT je lani obravnaval 167 primerov direktorskih<br />
prevar. Prijavitelji so bili v povprečju oškodovani za<br />
40 tisoč evrov.<br />
3Vrivanja v poslovno komunikacijo<br />
<strong>Kako</strong> potekajo: To so tehnično podprti napadi,<br />
o katerih <strong>se</strong> mnogo premalo govori, saj njihovo<br />
število narašča in so finančno tveganje za podjetja,<br />
pojasnjuje Gorazd Božič. <strong>Na</strong>padalci pridobijo<br />
dostop do poštnega predala v podjetju.<br />
<strong>Na</strong>to prikrito spremljajo komunikacijo podjetja<br />
s poslovnimi partnerji. Ko nastopi pravi trenutek<br />
– običajno ob naročilu blaga –, vskočijo v<br />
komunikacijo in plačniku pošljejo pojasnilo, da<br />
je tekoči račun podjetja spremenjen. Plačnik<br />
denar nakaže na tekoči račun tako imenovane<br />
denarne mule, ki je zadolžena za prenos denarja<br />
do napadalcev. Pri tem <strong>se</strong> uporablja veriženje<br />
računov, kar otežuje sledljivost.<br />
Dejavniki tveganja: <strong>Na</strong>padalci so pogosto z<br />
območij, kjer organi pregona pomanjkljivo<br />
opravljajo svoje delo, oteženo pa je tudi mednarodno<br />
sodelovanje, informiranje (države, kot<br />
sta Nigerija in Slonokoščena obala) in sledenje<br />
storilcem.<br />
<strong>Kako</strong> zmanjšati tveganje: Pri poslovnem<br />
partnerju preverite, ali je res spremenil številko<br />
transakcijskega računa. To je priporočljivo<br />
storiti tudi kako drugače kot po elektronski<br />
pošti. Tveganje je mogoče zmanjšati z nekaterimi<br />
tehničnimi (zaščita) in organizacijskimi<br />
(postopki v podjetju) ukrepi ter s pravočasnim<br />
odzivanjem, pojasnjuje Gorazd Božič. Lani je<br />
SI-CERT prejel pet prijav vrivanja, kjer je bilo<br />
ugotovljeno oškodovanje. Višina posamezne<br />
škode je navadno okoli 10 tisoč evrov, najvišji<br />
zne<strong>se</strong>k pa je do<strong>se</strong>gel 450 tisoč evrov.<br />
Kaj je »phishing«<br />
Klasična hekerska tehnika je tudi tako imenovani<br />
»phishing«, pri katerem naslovnik prejme<br />
elektronsko sporočilo, ki je videti kot na primer<br />
sporočilo ponudnika elektronske pošte, ki javlja<br />
napako. Priložena je povezava do ciljne spletne<br />
strani, ki deluje prepričljivo, a je lažna in namenjena<br />
pridobivanju o<strong>se</strong>bnih podatkov. Stran uporabnika<br />
prosi, naj vne<strong>se</strong> svoj e-poštni naslov in geslo. Če<br />
naslovnik sledi prošnji, je namen do<strong>se</strong>žen. <strong>Na</strong>pad<br />
ima za cilj spremljanje elektronske komunikacije<br />
žrtve in nato zlorabo, ko napadalec oceni, da je<br />
za to nastopil pravi čas. »Phishing« je priljubljen<br />
tudi zato, ker ga je mogoče učinkovito uporabiti pri<br />
uporabnikih mobilnih telefonov.<br />
KO HEKERJI PREBIJEJO TEHNIČNE<br />
SISTEME<br />
Eden od načinov vdora je prodiranje v sisteme skozi<br />
tehnične luknje (angl. hacking). Prikladne tarče hekerskih<br />
napadov so sistemi, ki so brez nadgradenj in<br />
varnostnih popravkov, ter odprti <strong>se</strong>rvisi za dostop prek<br />
spleta.<br />
Izpostavljenost povečujejo tudi pozabljene nastavitve<br />
iz časov testiranja, ki niso bile spremenjene.<br />
Prav tako ranljivost pomenijo tako imenovane<br />
»zero day« ranljivosti – gre za napake in luknje, ki jih<br />
vzdrževalci sistemov spregledajo ali ne poznajo.<br />
Priljubljena hekerska tehnika so tudi tako imenovani<br />
»brute force« napadi, pri katerih hekerji ob pomoči<br />
tehnologije preizkušajo različne kombinacije ge<strong>se</strong>l in<br />
be<strong>se</strong>dnih sklopov, da bi prebili zaščito.<br />
<strong>Kako</strong> zmanjšati tveganje?<br />
Boris Krajnc med ukrepi<br />
našteva redna varnostna<br />
posodabljanja informacijske<br />
infrastrukture (strežniki,<br />
delovne postaje …), <strong>se</strong>gmentiranje<br />
omrežja, pisanje<br />
varnostnih pravil oziroma<br />
kontrolnih list in vpeljavo<br />
detekcijskih mehanizmov. Boris Krajnc