Egy jó hírrel kívánok Boldog Új Évet!

Ami biztosan NEM fenyegeti a vállalkozásodat: az a minnowing és a whaling.

Múltkoriban kiveséztem egy PR cikket, amit a Symantec, világhírű IT biztonsági cég neve fémjelez. (Biztosan hallottál már a Norton nevű antivírus szoftverekről, na ők azok.) A PR cikknek része volt az a lesújtó adathalmaz, ami azt hivatott közvetíteni, hogy a magyarországi vállalatoknak fogalmuk sincs a minnowing és a whaling veszélyeiről, pedig hú, meg haaaa.

Akkor most tárgyaljuk ki, így az év utolsó napján, hogy kell-e ettől félned, vagy sem.

A minnowing fogalma: olyan adathalász és pénzkicsaló módszer, amivel a vállalkozások „alvégein” dolgozó, adminisztratív dolgozókat „támadják be”. Klasszikus módszer a hamis számla küldése, és felszólítás a fizetésre.

Gondolj bele, ott ülsz az egy-két fős kis vállalkozásodban, és tulajdonképpen a céged elejétől a céged végéig, átlátod az egész folyamatot (sőt, szinte mindent Tew . Szinte fejből sorolod a vevőidet, és a beszállítóidat. Tudod, kivel állsz átutalásos és kivel készpénzes „kapcsolatban”.

Tételezzük fel, hogy egyik nap épp az „alvégi” munkákkal foglalkozol, és bejön egy számla, egy tök vadidegen cégtől, angolul, ráadásul gyakran ez e-mailben érkezik, de elképzelhető, hogy postán is. Mit teszel ilyenkor? Előveszed a céged legszuperebb számítógépét: az AGYADAT, az optikai egységeddel végigszkenneled a dokumentumot (szemeddel végignézed), majd egy kosarasokat is megszégyenítő mozdulattal szépen a kukába „zsákolod” a levelet. Kész.

Vagy Te minden bejövő számlát szemrebbenés nélkül fizetsz? Vakon? Bután? Ugye, hogy nem.

A dolog egyébként hasonlít a spamjelenségre is: lehet, hogy megpróbálkoznak párszor, de ha semmi reakciót nem látnak részedről, akkor felhagynak a dologgal, mert postán levelet küldözgetni nem olyan olcsó ám. Én is kaptam már ilyen levelet, elméletileg domaint rendeltem náluk. Mivel csak és kizárólag egy domain regisztrátor céggel dolgozom együtt, azonnal kilógott a lóláb, a másik meg, ami feltűnő volt az az, hogy angolul íródott a levél. Persze, .hu domaint biztos külföldön rendelnék, ugye?

Tehát, amíg kisvállalkozás vagy, addig ez a veszély nem fenyeget, mert nincs egy automata robotod, amelyik automatikusan kiegyenlíti a bejövő számlákat.

Természetesen mindjárt más a helyzet, ha nagy céggé válsz, méghozzá hirtelen.

Nagy cégeknél a pénzügy utalja a pénzt a bejövő számlák alapján, de ott több lépcsőfokon és szűrőn is átmennek a számlák: bármilyen számla érkezik, a hozzá tartozó osztálynak engedélyeznie kell az utalást, a pénzügy csak ezek után egyenlíti ki az összeget. Tehát a teljesítésnek van legalább két felelőse: egyik aki engedélyezi a számla egyenlítését, a másik, aki utalja a pénzt.

A jelenség egyébként valós, létezik, de leginkább nagyvállalati környezetben. A kisvállalkozásodat az védi, hogy Te észen vagy, és mindenről tudsz.
Az igazán veszélyes ebben az, amikor ezt a fajta csalást ötvözik a kémprogramok- jelszólopók gépekre juttatásával: miközben a tudatlan károsultak utalják a fiktív számlára a a pénzt, aközben lopják az adataikat is.

Teendő: észnél kell lenni a vállalkozás minden ügyét tekintve, és a jelszólopó-kémprogramok ellen is hatékonyan kell védekezni. Ez utóbbinál az az első lépés, hogy korrekt vírusvédelmi szoftverek vannak a gépen.

Lássuk a másik csaló módszer, az a típus, amikor kimondottan a nagykutyákra utaznak a gonosztevők. (Erről írtam a 10 holtbiztos tippben.) Ez a whaling, vagyis bálnavadászat-módszer.

A dolog a gyakorlatban úgy néz ki, hogy szűk, megválogatott célcsoportra céloznak a gonosztevők, és nem csak egy csatornán – például nem csak spamben – próbálják meg befertőzni a cég vezetőjének gépét, hanem furmányos módon, offline eszközöket is bevetve, úgy férkőznek a közelébe, mintha üzleti partnerek lennének.
Például, pendrive-ot küldenek ajándékba. Lehet, hogy nem a vezérhez jut el, lehet, hogy csak fennakad a titkárnőn vagy az asszisztencián a dolog, de a marketing törvényei szerint is, minél több csatornán, minél többször szólítod meg a célközönséged, annál nagyobb a valószínűsége, hogy célba érsz.

A multinacionális cégek fővezérei is csak emberek. Lehet, hogy ritkán vannak egyedül, lehet, hogy roppant elfoglaltnak tűnnek, de esténként ők is befekszenek egy kád vízbe relaxálni, mint bármilyen más cégvezető, maximum drágább pezsgőt isznak szilveszterkor. Az ajándékoknak ugyanúgy örülnek, és persze lehetséges, hogy fontosabb adatokat tárolnak a gépeiken, mint mondjuk a pénzügyi asszisztens hölgy, a cég „alvégén”.

Ennek a két adatlopó-módszernek egy a lényege: az emberi figyelmetlenségre, a túlterhelt munkakörökre, és a könnyen megszerezhető adatokra alapoznak. Semmi extra nagy durranás, megint csak nem zsenikkel van dolgunk, hanem egyszerű célcsoport megválasztásról.

Lesznek még ilyenek a jövőben, kíváncsi vagyok, milyen érdekes nevet adnak majd nekik a nagy informatikai biztonsággal foglalkozó multicégek. Erről jut eszembe: szívesen megnézném egy-egy ilyen cégnél a pénzügyi szabályzatot :) Mert a szoftverek a whaling és minnowing kivédésre kevesek lesznek… Ide ész kell.

Ezzel a záró gondolattal kívánok nagyon Boldog Új Évet!

Senki nem születik profi felhasználónak, de az nem mindegy, hogy honnan szeded össze az alapokat! Mi összeszedtük és egy anyagba rendeztük a legfontosabb, leglényegesebb, leghasznosabb tudnivalókat, a PC Start anyagban. Kattints ide, és nézd meg a részleteket>>

Kapcsolódó bejegyzések:

One Comment so far:

  1. Mik vannak? :-) Ugye a jó öreg csekk, meg manuális átutalás..azt nehéz fel spammelni :-) Egyébként lehetne már pár számlát automata átutalással fizetni, lelkes magyar erre sokféle trükköt ki tudna találni, lsd.: 54.000 Forintos, bár az azért extrém példa…

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.