Οι κυβερνοεπιθέσεις αποτελούν πλέον βασικό κίνδυνο για όλες τις επιχειρήσεις ενώ με τον καιρό απαιτούνται συστήματα πληροφορικής τα οποία είναι απαραίτητα για την εύρυθμη λειτουργία των εταιρειών.
Σε περίπτωση επίθεσης, ο χρόνος διακοπής λειτουργίας των συστημάτων τα οποία είναι προγραμματισμένα με γνώμονα την εξυπηρέτηση των πελατών ή των συστημάτων υποστήριξης μπορεί να επηρεάσει σημαντικά την εύρυθμη λειτουργία μιας εταιρείας.
Επομένως, μετά από ένα περιστατικό πρέπει να υπάρχει λεπτομερέστερη εξέταση του τρόπου αντιμετώπισης των περιστατικών, αυξάνοντας έτσι τα ποσοστά συμμετοχής των υπαλλήλων στην αξιολόγηση των επιθέσεων σε όλες τις επιχειρήσεις.
Σύμφωνα με τα στοιχεία της AIG, οι επιθέσεις μέσω ηλεκτρονικού ταχυδρομείου στις επιχειρήσεις – οι λεγόμενες BEC (Business Email Compromise) – το 2018 ξεπέρασαν κατά 11% τα ποσοστά του 2017, ενώ η παραβίαση δεδομένων από τους χάκερ λόγω κάποιου λάθους ενός εργαζομένου αποτέλεσαν κύριο αίτιο μιας παραβίασης.
Χαρακτηριστικά, από φέτος τα περιστατικά BEC μπήκαν σε ξεχωριστή βάση δεδομένων λόγω του υψηλού αριθμού των καταγγελιών που έλαβε η AIG για πελάτες της τους τελευταίους 12 μήνες.
Στις περισσότερες περιπτώσεις η επίθεση μπορεί να επιτευχθεί μέσω του λεγόμενου ηλεκτρονικού «ψαρέματος» (phishing) όπου περιέχει έναν σύνδεσμο ή ένα συνημμένο αρχείο.
Εάν ο παραλήπτης «ασχοληθεί» με το περιεχόμενο του ηλεκτρονικού μνήματος μπορεί να επιτρέψει την εισβολή από τον επιτιθέμενο στον υπολογιστή του και κατ’ επέκταση στο δίκτυο της εταιρείας. Η πλειονότητα των χρηστών είναι εξοικειωμένοι με την έννοια των μηνυμάτων ηλεκτρονικού «ψαρέματος», αλλά παραμένει ένας μεγάλος αριθμός περιστατικών όπου ο χρήστης ακολουθεί έναν σύνδεσμο που κατευθύνει τον παραλήπτη σε μια πλαστή οθόνη σύνδεσης.
Μόλις το θύμα εισέλθει στο email με τους κωδικούς εισόδου του, «καταλαμβάνονται» από τον εγκληματία περιεχόμενο αλλά και όλες οι απαραίτητες πληροφορίες για να συνδέεται όποτε θέλει στο λογαριασμό ηλεκτρονικού ταχυδρομείου του θύματος.
Τα ακόλουθα παραδείγματα επιθέσεων σχετικά με αξιώσεις πελατών της AIG για αποζημίωση προέκυψαν εξ ολοκλήρου από χάκερ που είχαν πρόσβαση στους λογαριασμούς ηλεκτρονικού ταχυδρομείου των εργαζομένων μετά από επιθέσεις σε ηλεκτρονικά ταχυδρομεία:
- Ένας χάκερ χρησιμοποίησε το λογαριασμό ηλεκτρονικού ταχυδρομείου υπαλλήλου για να στείλει email με σκοπό να εγκρίνει τη μεταφορά χρημάτων σε τραπεζικούς λογαριασμούς που ελέγχονται από τους χάκερς.
- Ένας χάκερ έφτιαξε μια λειτουργία αυτόματης προώθησης email, που προερχόταν από ένα ανώτερο μέλος της Οικονομικής Διεύθυνσης της εταιρείας σε σχέση με μια πληρωμή και με βάση αυτές τις πληροφορίες ζήτησε αποστολή αμοιβής σε έναν υποτιθέμενο συνεργάτη. Παρόλο που το περιστατικό αποκαλύφθηκε από τον ασφαλιζόμενο, ο χάκερ είχε πρόσβαση σε ευαίσθητες πληροφορίες και οι πιθανές συνέπειες για την εταιρεία είναι ιδιαίτερα σημαντικές.
- Ένας υπάλληλος είχε χρησιμοποιήσει το ηλεκτρονικό ταχυδρομείο εργασίας του για να κανονίσει μια προσωπική οικονομική συναλλαγή. Ένας χάκερ είχε πρόσβαση στο λογαριασμό του υπαλλήλου και αντικατέστησε ένα γνήσιο email το οποίο περιείχε στοιχεία τραπεζικού λογαριασμού με ένα νέο μήνυμα ηλεκτρονικού ταχυδρομείου με διαφορετικά στοιχεία λογαριασμού, ο οποίος ελεγχόταν από τους χάκερς. Ο εργαζόμενος έχασε σημαντικά προσωπικά κεφάλαια καθώς έστειλε τα χρήματά του στον τραπεζικό λογαριασμό του χάκερ.
Η επίθεση όμως δεν σταματάει εδώ, ο δράστης μπορεί στη συνέχεια να στείλει και να λάβει μηνύματα ηλεκτρονικού ταχυδρομείου από το email του θύματος. Σε πολλές περιπτώσεις το BEC επιδεινώνεται και από κακόβουλο λογισμικό που εξαπλώνει έναν υιό δίνοντας πρόσβαση στον επιτιθέμενο σε επαφές και άλλα mail του παραλήπτη.
Παρόλο που η εν λόγω επίθεση αποτελεί ένα σχετικά απλό είδος απάτης, οι επιτιθέμενοι στοχεύουν συχνά σε άτομα που είναι υπεύθυνα για την αποστολή πληρωμών, χρησιμοποιώντας λογαριασμούς “spoof” μιμούμενοι μια εταιρία C-suite ή έναν προμηθευτή ώστε να ζητήσουν μεταφορές χρημάτων, φορολογικά αρχεία ή / και άλλα ευαίσθητα δεδομένα.
Άλλες επιθέσεις επικεντρώνονται στο περιεχόμενο των email του παραλήπτη, συλλέγοντας πληροφορίες πελατών και εργαζομένων, συμπεριλαμβανομένων προσωπικών δεδομένων. Μπορούν επίσης να στοχεύσουν σε εμπιστευτικές εταιρικές πληροφορίες, όπως οι εμπορικές μυστικές συμφωνίες που αφορούν ευαίσθητες πληροφορίες σχετικά με συναλλαγές μεταξύ εταιρειών.
Οι επιθέσεις BEC είναι συχνά επιτυχείς επειδή χρησιμοποιούν και το λεγόμενο “social engineering” μιας και οι επιτιθέμενοι δημιουργούν μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνονται νόμιμα προσποιούμενοι άλλα πρόσωπα. Ακόμη και μεγαλύτεροι οργανισμοί μπορεί να πέσουν θύματα απατεώνων γεγονός που υποδηλώνει ότι απαιτείται περισσότερη επένδυση ως προς την εκπαίδευση του προσωπικού για τον εντοπισμό επικίνδυνων μηνυμάτων.
Ο εύκολος κωδικός πρόσβασης είναι ένα επαναλαμβανόμενο ζήτημα που αφορά τις επιχειρήσεις μιας και οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται εταιρείες που δεν έχουν ενεργοποιήσει τις λειτουργίες ασφαλείας του Microsoft Office, ή χρησιμοποιούν προγράμματα όπου οι προεπιλεγμένες ρυθμίσεις δεν προβλέπουν όλα τα απαραίτητα χαρακτηριστικά ασφαλείας.
Αποτέλεσμα των περιστατικών επιθέσεων στον κυβερνοχώρο είναι οι όλο και περισσότερες αξιώσεις πελατών που απορρέουν από κυβερνοεπιθέσεις, μιας και τα αιτήματα για αποζημίωση που αφορούν χρηματοπιστωτικές υπηρεσίες ανήλθαν σε 18% το 2017.
Παρόλο που το ποσοστό αυτό έπεσε στο 15% το 2018 λόγω αυξημένων δικλείδων ασφαλείας από τις εταιρείες, οι συνολικές αιτήσεις από πελάτες χρηματοπιστωτικών υπηρεσιών για ασφάλιση από επιθέσεις στην πραγματικότητα σχεδόν διπλασιάστηκαν μεταξύ 2017 και 2018, δείχνοντας ότι ο τομέας εξακολουθεί να είναι ιδιαίτερα στοχοθετημένος.
Σε περιπτώσεις απώλειας δεδομένων, η AIG μέσω του ασφαλιστικού της προγράμματος CyberEdge καλύπτει το κόστος της ανάκτησής τους αλλά και τα σχετικά νομικά κόστη και αγωγές. Το πρόγραμμα CyberEdge δεν είναι απλά ένα ασφαλιστικό προϊόν, είναι μια πλήρης λύση διαχείρισης κινδύνου που προσφέρει εκτός της αποζημίωσης και εργαλεία διαχείρισης κρίσης, αλλά και πρόληψης ενός περιστατικού.
Η ασφάλεια δεν γίνεται από την πρώτη μέρα ούτε έρχεται εύκολα. Πρέπει όμως από κάπου να ξεκινήσουμε, ώστε η μακρόχρονη πορεία μιας εταιρείας να μην απειληθεί εξαιτίας μιας κακόβουλης επίθεσης ή ενός ανθρώπινου λάθους.
