Praca PR-owca to nieustanne kontakty z ludźmi, udzielanie informacji, odpowiadanie na pytania. Otwartość i chęć pomocy pomagają w budowaniu relacji z dziennikarzami. Mogą też jednak przyciągnąć uwagę cyberprzestępców. A to pierwszy krok do wizerunkowych problemów.
O zmasowanych atakach hakerskich każdy z nas słyszał niejednokrotnie. Kampanie phishingowe, rozprzestrzeniające się oprogramowanie szyfrujące dane i żądające okupu… Niebezpieczeństwo przychodzi nagle, zazwyczaj wraz z mailem, wiadomością na Messengerze czy SMS-em. Z czasem uczymy się ostrożności podczas korzystania z komputera i urządzeń mobilnych. Czy jednak zachowujemy podobną ostrożność w kontaktach z ludźmi?
Dane nie zawsze poufne
No właśnie, czy w ogóle jest się czym martwić? Tak, jest. Przykłady mniej lub bardziej spektakularnych wyłudzeń informacji są znane nie od dziś. Warto pamiętać, że hakerzy planujący atak na konkretną organizację, potrzebują przede wszystkim informacji. Co ich interesuje? Struktura firmy, relacje między pracownikami, sposób zwracania się do siebie, maile i telefony do konkretnych osób, nazwiska kierowników poszczególnych działów. To często wystarczy do tego, aby rozpocząć „wkradanie” się do firmy i dochodzenie do upragnionego celu.
Czytaj także: Social media? Lubię to! Tak samo jak cyberprzestępcy
Takie informacje teoretycznie bardzo często są w firmie chronione. Polityki bezpieczeństwa nie pozwalają dzielić się wewnętrznymi numerami telefonów, udostępniać komputerów podpiętych do firmowej sieci osobom z zewnątrz czy korzystać z nieznanych nośników danych. Jednak w niektórych przypadkach zapominamy o procedurach i jesteśmy gotowi zrobić dla innych więcej niż nam wolno. Aby doprowadzić do takich sytuacji, hakerzy wykorzystują zabiegi socjotechniczne.
Socjotechnika, czyli co?
Żeby zrozumieć działania cyberprzestępców, trzeba zapomnieć o stereotypie hakera-komputerowca, przesiadującego całymi dniami przed monitorem, mającego problemy z nawiązywaniem kontaktów międzyludzkich. Hakerzy to bardzo często czarujący ludzie z ogromnym darem przekonywania, którzy wiedzą, jak sprawić, aby inna osoba zrobiła dla nich to, o co proszą. Na tym bowiem polega socjotechnika – na wywieraniu wpływu na innych i tym samym osiąganiu swoich celów. Tym celem są zazwyczaj poufne informacje, dzięki którym haker może dostać się do sieci firmy, zainfekować komputery pracowników, wyłudzić pieniądze lub wykraść tajemnice przedsiębiorstwa.
Cyberprzestępcy korzystają z różnych technik. Podają się za zagubionych pracowników firmy, osoby umówione na spotkanie z zarządem, dostawców usług. Budują emocje, wciągają w swoją grę – sprawiają, że identyfikujemy się z nimi i ich problemami, boimy się ich, czujemy do nich szacunek. Techniką socjotechniczną jest popularna metoda oszustwa „na wnuczka”, w której chodzi o wzbudzenie silnych emocji, na fali których ktoś zrobi to, czego żądamy.
Jak to działa?
Metody są różne, zazwyczaj jednak bardzo skuteczne. Jednym ze spektakularnych przykładów jest atak „na prezesa” – znany w 95 krajach. FBI twierdzi, że na całym świecie spowodował 2 mld dol. strat. Schemat działania jest bardzo prosty. Księgowa dostaje od prezesa poufnego maila z informacją o mającym wkrótce nastąpić przejęciu innej firmy i koniecznością zrealizowania przelewu. W związku ze swoją nieobecnością prezes wyznacza osobę z firmy zewnętrznej, która skontaktuje się w celu ustalenia szczegółów transakcji. Prosi o pośpiech i dyskrecję, zaznaczając, że księgowa jest jedną z nielicznych osób, która na tym etapie została wtajemniczona w cały projekt. Później z tą samą księgową kontaktuje się zapowiedziany przedstawiciel zewnętrznej firmy. Szczegóły zostają ustalone. Przelew wychodzi z firmowego konta…
Co się stało? Haker, który podszył się pod prezesa, miał wcześniej dostęp do kilku istotnych informacji na temat funkcjonowania firmy. Wiedział, kto realizuje przelewy, wiedział, w jaki sposób zwraca się do swoich pracowników szef, i w końcu widział, kiedy ten szef rzeczywiście będzie poza firmą, co utrudni bezpośrednie zweryfikowanie informacji z maila.
Skąd miał takie informacje? Prawdopodobnie od pracowników firmy… Do tego dorzucił kilka psychologicznych chwytów i osiągnął dzięki tym sztuczkom upragniony cel.
Co ma do tego PR-owiec?
Praca PR-owca oznacza wiele kontaktów każdego dnia. To PR-owiec jest osobą, do której dzwoni się po informacje na temat firmy. To do niej odsyłane są często maile, z którymi nikt inny nie wie, co zrobić. Prośby o wsparcie, propozycje współpracy, wspólne projekty. Przez PR-owe skrzynki przepływa morze e-maili. Na większość chcemy odpowiedzieć. Żadnej prośby nie chcemy zignorować.
To PR-owiec prowadzi korespondencję z dziennikarzami, odpowiadając na ich – często bardzo wnikliwe – pytania. W większości przypadków oczywiście zna dziennikarzy, z którymi pracuje, i może pozwalać sobie na szczere i długie wypowiedzi. Co jednak, jeśli pod pozorem zbierania informacji do artykułu zgłosi się do niego nie pracownik mediów, a cyberprzestępca?
Na co trzeba uważać?
Oczywiście nie można popadać w paranoję. Aby jednak zupełnym przypadkiem nie podać dziennikarzowi czy innej osobie, z którą rozmawiamy, zbyt wielu cennych informacji, warto pamiętać o kilku wskazówkach:
1. Nie przesyłać nikomu spoza firmy maili, które wymieniamy z innymi pracownikami. Zdradzi to sposób, w jaki się do siebie odnosimy, i pokaże, jaką kulturę organizacyjną mamy wewnątrz przedsiębiorstwa.
2. Nie podawać danych pracowników. Wyjątkiem mogą być osoby delegowane do kontaktów z mediami. Każdy numer telefonu, stanowisko i e-mail mogą zostać wykorzystane przez hakera do przeprowadzenia ataku.
3. Nie rozmawiać „off the record”. Dobre kontakty z dziennikarzami (czy też osobami się za nimi podającymi) są w cenie, jednak nie warto dla nich rezygnować z ostrożności. Ploteczki na temat pracowników, szefa, pracy w firmie nie są najlepszymi tematami do rozmowy z osobami z zewnątrz.
4. Nie pozostawiać poza firmą ważnych materiałów. Organizując event, często przygotowujemy dla siebie i innych swoistą ściągę z najważniejszymi informacji, takimi jak choćby dane kontaktowe niektórych pracowników lub klientów czy podwykonawców. Po evencie wszystkie kopie takich dokumentów powinny zostać zniszczone, aby nie wpadły w niepowołane ręce.
5. Nie dać się zwieść. Innymi słowy – po prostu trzeba przestrzegać procedur bezpieczeństwa. Nawet jeśli trafimy na kogoś, kto wyjątkowo przekonująco prosi nas o niewielką przysługę, zachowajmy zimną krew. Nie warto ryzykować, gdy w grę wchodzi bezpieczeństwo i wizerunek całej firmy.
Uprzejmość i potrzeba udzielania informacji jest wpisana w pracę PR-owca, jednak nie może zastąpić rozsądku. Bez niego, realizując nasze codzienne zadania, możemy narazić siebie i pracodawcę lub klientów na atak cyberprzestępcy i straty nie tylko finansowe, ale i wizerunkowe.
Magdalena Grochala. Z branżą PR związana od 2006 roku. Wspólniczka w agencji Symetria Public Relations, wcześniej PR Manager w firmie Comarch. Na początku swojej ścieżki zawodowej współpracowała z mediami, m.in. z Programem Pierwszym Polskiego Radia. Wykładowczyni na studiach podyplomowych w Wyższej Szkole Europejskiej. Autorka artykułów eksperckich, prelegentka konferencji branżowych, współautorka badań branży PR oraz merytorycznych spotkań dla PR-owców Komu Komunikacja. Absolwentka filologii polskiej oraz dziennikarstwa i komunikacji społecznej na Uniwersytecie Jagiellońskim. Od kilku lat w ramach współpracy z firmą McAfee zajmuje się tematyką walki z cyberzagrożeniami. Ukończyła też studia podyplomowe z zakresu cyberbezpieczeństwa na Akademii Górniczo-Hutniczej w Krakowie.