Ena sama tipkarska malenkost v e-poštnem naslovu je bila dovolj, da je nizozemsko podjetje nevede nakazalo skoraj pet tisočakov na račun spletnih goljufov. Primer, ki je pred kratkim prišel v javnost, kaže na vse večjo izpopolnjenost tako imenovanih direktorskih prevar (»CEO fraud«), pri katerih napadalci z lažnimi sporočili ciljajo na finančne oddelke in izkoriščajo nepazljivost računovodij.
V središču varnostnega incidenta se je znašel 41-letni uslužbenec v finančnem oddelku, javnosti znan zgolj kot Marcel, čigar primarna naloga je bila preverjanje in plačevanje prejetih računov. Kot je razkril nizozemski medij Metro Nieuws, je zaposleni prejel nujno zahtevo, za katero se je ob prvem pregledu zdelo, da prihaja neposredno od njegovega nadrejenega.
Sporočilo je vsebovalo striktno navodilo za čimprejšnje poplačilo priloženega računa v višini 4950 evrov. Ker sta se ime in digitalni podpis pošiljatelja povsem ujemala s korporativno identiteto podjetja, uslužbenec ni posumil na prevaro in je transakcijo nemudoma izvedel. Umetnost tovrstnega ciljnega ribarjenja (»spear-phishing«) sloni prav na psihološkem pritisku in ustvarjanju lažnega občutka nujnosti, kar žrtve spodbudi k hitremu ukrepanju brez običajnih pomislekov.
Transakcija je ostala neopažena polna dva tedna, preden sta zaposleni in njegov dejanski vodja med rutinskim pregledom odkrila napako.
Podrobnejša tehnična analiza pa je razkrila, da je bil e-poštni naslov napadalcev ustvarjen izjemno premišljeno – od pravega naslova direktorja se je razlikoval zgolj v eni sami dodani piki med imenom in priimkom pošiljatelja.
Zaradi opustitve dolžne skrbnosti pri preverjanju podatkov je uslužbenec sicer prejel uradni opomin, kar je standardni disciplinski protokol v podjetjih ob tovrstnih spodrsljajih.
Strokovnjaki za kibernetsko varnost in institucije, kot je nemški Zvezni urad za varnost informacijske tehnologije ali slovenski SI-CERT, poudarjajo, da takšni incidenti postajajo vsakdan. SI-CERT opozarja, da neželena pošta predstavlja ogromen del celotnega svetovnega e-poštnega prometa. Čeprav je velik del teh sporočil razmeroma neškodljiv, so sofisticirane tehnike socialnega inženiringa, kot so usmerjene phishing kampanje in lažna obvestila, izjemno nevarne za poslovna okolja.
Varnostni strokovnjaki organizacijam svetujejo uvedbo strožjih protokolov in redno izobraževanje kadra. Vsaka elektronska pošta – tudi interna –, ki zahteva izredne finančne transakcije ali spremembe plačilnih podatkov, mora biti natančno pregledana. Pred izvedbo sumljivih plačil priporočajo preverjanje točnosti vseh podatkov v glavi e-sporočila ter uveljavitev pravila štirih oči oziroma telefonsko potrditev zahteve z nadrejenim.
