W świecie rzeczywistym mafią rządzą silną ręką ojcowie chrzestni. W świecie cyberprzestępczości takimi ojcami chrzestnymi są Phishing i Vishing. Dranie jakich mało. Nikt im nie może dorównać w zasięgu i rozmachu z jakim działają. Malware i Ransomware są ich bezwzględnymi żołnierzami ślepo wykonującymi rozkazy. Na rozkaz szefów walą gdzie popadnie. Bez zgody Phishingu i Vishingu większość z przestępstw cyfrowych nie mogłaby się powieść. Dlaczego więc, wiedząc kim są te najpotężniejsze figury w świecie cyberprzestępczości, do tej pory nie udało się ograniczyć ich wpływów? Czy dzieje się tak dlatego, że wiemy kto pada głownie ich ofiarą? Ale po kolei.
Każdy z nas jest największym dobrem, najcenniejszym aktywem – firm, korporacji i instytucji. Tak, my. Klienci indywidualni. Tak nam w każdym razie mówią reklamując swoje produkty i usługi. Ale czy na pewno? Korzystamy z usług wszelkich dostawców mediów (gaz, prąd, woda, telewizja, internet, telefon), instytucji (banki, firmy ubezpieczeniowe), korporacji (przesyłki pocztowe i kurierskie), oraz urzędów (urząd patentowy, urząd skarbowy, ZUS). Podpisujemy z nimi umowy. Obiecujemy sobie wywiązywać się z umów z należytą starannością. Płacimy za kupowane usługi i towary. To nasz obowiązek jako klienta. Za jego nieprzestrzeganie grożą nam różnego rodzaju sankcje, które w umowach zajmują większość stron z wiążących nas z nimi umów. Zresztą nie tylko. Taryfy opłat i prowizji też są skonstruowane w mało przyjazny dla nas sposób. Płatności dokonujemy oczywiście na podstawie dostarczonych nam faktur i rachunków.
A co w przypadku, gdy pod naszego dostawcę podszywają się Phishing i Vishing? Dlaczego my ponosimy odpowiedzialność za to, że nasz dostawca dał się im wykorzystać? Czy i jak dostawcy nas zabezpieczają przed atakami? Głównie prowadzą kampanie społeczne i zamieszczają ostrzeżenia na swoich stronach internetowych. Super. Od razu możemy czuć się bezpiecznie. Zresztą brak skuteczności tego zabezpieczenia jest taka, iż wcale nie jest dziwne, że zgodnie z badaniami przeprowadzonymi na SGH jedynie 4% klientów banków czyta ostrzeżenia zamieszczone na stronach bankowych.
Kampanie i ostrzeżenia sugerują, iż aby dobrze zweryfikować nadawcę wiadomości wystarczy sprawdzić uważnie adres z jakiego otrzymaliśmy wiadomość (to „zabezpieczenie” akurat dziecinnie łatwo można obejść), albo mamy sprawdzić czy dane (np. osobowe) w załączonej w wiadomości fakturze nas dotyczą lub czy załączony plik ma bezpieczny format PDF lub tez mamy kliknąć link w wiadomości, aby przenieść się na stronę dostawcy aby się na niej zalogować. Czy naprawdę to są wszystkie możliwe środki bezpieczeństwa jakie mają nas chronić? Niestety stosowanie się do powyższych rad może doprowadzić do tego, iż w wielu przypadkach uruchomimy coś czego niekoniecznie oczekiwaliśmy.
Phishing wie, jak do tego doprowadzić. Czy są to więc jedyne możliwe wytyczne dotyczące weryfikacji wiadomości? Słyszymy często, że tak i że są skuteczne. W takim razie po co nasi dostawcy organizują dla swoich pracowników wewnętrzne szkolenia z cyberbezpieczeństwa? Nie, że mamy problem, z tym, iż szkolą własnych pracowników. Chwała im za to. Ale nasuwa się pytanie, czy pracownicy naszych szanownych dostawców nie potrafią zrozumieć tego przekazu, który kierowany jest do nas – klientów? Czy potrzebują specjalnego wyjaśnienia i poznania metod obrony przed atakami? Gdzie tu logika miedzy kampaniami społecznymi kierowanymi do mas oraz specjalnymi działaniami dostawców względem swoich pracowników? Nie o logikę tu niestety chodzi, ale o fakt, iż działania dostawców w większości nakierowane są na to, aby zapewnić bezpieczeństwo swoim organizacjom. A o tym jak my jesteśmy zabezpieczeni przez dostawców wiedzą dobrze Phishing i Vishing i dlatego to my tracimy swoje dane, oszczędności, marzenia i wspomnienia (zdjęcia, filmy). Tak, to głownie my, klienci indywidulani firm, korporacji oraz instytucji i urzędów jesteśmy anonimowymi ofiarami ataków Phishingu i Vishingu.
Czy taka ma być kolej rzeczy? A może wystarczy chcieć zastosować nowe rozwiązania, zwiększające nasze szanse w walce z Phishingiem i Vishingiem? Czyż nie byłoby bezpieczniej, gdyby każdy z nas otrzymywał wiadomości od dostawców, zawierające spersonalizowany przez siebie eZNACZEK, który byłby znany tylko i wyłącznie każdemu z nas z osobna. Tyle eZNACZKÓW ilu klientów. Czy Phishing dałby radę odgadnąć nasze eZNACZKI? Czyż nie byłoby bezpieczniej, gdyby połączenie telefoniczne konsultanta było anonsowane wiadomością zawierającą informacje o chęci rozmowy, zabezpieczoną eZNACZKIEM? Czy Vishing byłby w stanie ustalić wszystkie eZNACZKI?
Czy eZNACZEK stosowany i spersonalizowany przez każdego z nas do zabezpieczania komunikacji z dostawcami dóbr i usług mógłby pokonać Phishing i Vishing? Tego będziemy mogli się dowiedzieć gdy zgodnie z planowaną dyrektywą NIS2 wymienione w niej podmioty będą zobowiązane do zastosowania odpowiednich środków bezpieczeństwa aby chronić komunikację z nami. Najpewniej nasi dostawcy będą mieli do końca 2022r. czas na wdrożenie działań aby być zgodnymi z postanowieniami dyrektywy. A może któryś z Waszych dostawców wcześniej we współpracy z eZNACZKIEM pokona cyberprzestępców i zapewni Wam większe bezpieczeństwo kontaktu elektronicznego? Tak, aby ocena działań nie kończyła się słowami „trzeba było tego nie klikać / trzeba było z tą osobą nie rozmawiać i rozłączyć się”.