E-mail to jedno z podstawowych narzędzi pracy PR-owca. Jako osoby odpowiedzialne za komunikację firm i instytucji nie tylko powszechnie udostępniamy nasz adres, ale i z założenia czytamy wszystkie wiadomości, jakie do nas przychodzą. Także od nieznajomych nadawców i o niespodziewanej treści. To część naszej pracy, ale też i coraz poważniejsze zagrożenie dla bezpieczeństwa firmowych danych.
E-maile od nieznajomych osób to właściwie norma w życiu PR-owca. Co więcej – za obowiązek uważamy przeczytanie każdego komunikatu, który do nas przychodzi. Taka jest bowiem nasza rola – sprawdzenia, zapoznania się, zareagowania. A ponieważ wiadomości dostajemy niemało, pracujemy w pośpiechu, zdarza się, że skrzynkę pocztową przeglądamy, robiąc jednocześnie coś innego np. rozmawiając przez telefon. To pierwszy krok do tego, aby – czasem zupełnie bezmyślnie – kliknąć w link przesłany do nas przez cyberprzestępcę. Kliknąć i stracić nie tylko swoje, ale i firmowe dane.
Jak działają cyberprzestępcy?
Hakerzy wykorzystują e-maile po to, aby zmylić odbiorcę i nakłonić go do wykonania konkretnego działania. Jakiego? Na przykład do podania wrażliwych danych lub kliknięcia w link czy załącznik, który zawiera złośliwe oprogramowanie. Po zainstalowaniu na komputerze będzie wykradać dane lub np. zaszyfruje wszystkie pliki. Oczywiście cyberprzestępcy nie piszą e-maili we własnym imieniu – podszywają się zazwyczaj pod znaną, godną zaufania instytucję. Takie działanie nazywane jest phishingiem.
Jak duży wpływ mają tego typu praktyki na przedsiębiorstwa? Z raportu firmy doradczej PwC wynika, że w 2016 roku w 96 proc. średnich i dużych firm w Polsce doszło do ponad 50 cyberataków. Najczęściej wykorzystywanym przez hakerów środkiem (39 proc. przypadków) był właśnie phishing. Niebezpieczne e-maile mogą przybierać różną formę – od znanego od lat spamu, poprzez wiadomości od banków czy urzędów, aż po znacznie bardziej spersonalizowane listy, których nadawcy wykorzystują wiedzę na temat naszej pozycji w firmie.
Oczywista oczywistość?
Spam to żadna nowość i wydawałoby się, że poza zaśmiecaniem skrzynek nie robi wiele szkody. Rzeczywiście tak było kiedyś, natomiast przez lata charakter spamu bardzo się zmienił i cyberprzestępcy coraz częściej wykorzystują go do swoich celów. Dziś maile z propozycjami świetnych zarobków, informacjami o wygranej na loterii, o czekającym na nas spadku czy ogromnym zainteresowaniu, jakie wzbudziły u kogoś zdjęcia na naszym profilu na FB, to zazwyczaj jednocześnie próba „sprzedania” nam złośliwego oprogramowania, które kryje się w załącznikach czy pod linkami podanymi w e-mailach.
Wydaje się, że tylko wyjątkowo naiwna osoba mogłaby uwierzyć w obietnice z takiej wiadomości. Wyobraźcie sobie jednak, że informacja przychodzi z dość wiarygodnego adresu i ma tytuł: „Scan” czy „Document” – czy z równą pewnością byście jej nie otworzyli? W natłoku codziennych działań, w strumieniu e-maili, które często otwieramy niemal automatycznie i bez zastanowienia – moglibyśmy zwyczajnie dać się oszukać hakerowi.
Siła autorytetu
Dużo groźniejsze są wspomniane już e-maile podszywające się pod korespondencję od znanych i zaufanych instytucji. Przykładów tego typu phishingu z ostatnich miesięcy nie trzeba długo szukać. Choćby w grudniu klienci Alior Banku otrzymywali informację rzekomo od swojego banku o włamaniu na konto i zablokowaniu go, z prośbą o ponowne zalogowanie. We wrześniu natomiast niektórzy użytkownicy Netflixa zostali e-mailowo powiadomieni o wyłączeniu ich kont – problem rozwiązać miało zaktualizowanie danych o płatności.
Zapewne pamiętacie też historie z fałszywymi wiadomościami od Poczty Polskiej, DHL, Allegro, wielu różnych banków, a nawet serwisów płatniczych. Wszystkie miały wiarygodne grafiki i logotypy i do złudzenia przypominały oficjalne komunikaty od tych firm. Sposób działania hakerów był dwojaki – albo zawarte w e-mailach linki odnosiły na fałszywą stronę (do złudzenia przypominającą prawdziwą) instytucji z prośbą o podanie swoich danych do logowania lub nawet kart płatniczych, albo wiadomości miały załączniki, których otwarcie kończyło się instalacją złośliwego oprogramowania szpiegującego lub szyfrującego dane.
Nie dać się przestępcy
Czy można rozpoznać, że taki e-mail jest fałszywy? Tak. Jeśli dostajemy go z banku czy poczty, należy sprawdzić, z jakiego adresu przyszedł (zazwyczaj różni się on nieznacznie od oficjalnego maila instytucji – swego czasu e-maile phishingowe podszywające się pod bank PKO BP przychodziły między innymi z domen: pkk.pl; ipk.pl czy ip.pl), a także koniecznie zdiagnozować, dokąd rzeczywiście kierują linki zamieszczone w wiadomości – oczywiście nie przez kliknięcie w nie, ale najechanie kursorem na łącze internetowe i sprawdzenie, jaki adres się wyświetla. Nawet jeśli hiperłącza są tożsame, lepiej – zamiast klikać, odwiedzić stronę firmy, będącej domniemanym nadawcą, i sprawdzić, czy informacje o proponowanej ofercie czy ostrzeżeniach znajdują się również na jego stronie www. Należy też przyjrzeć się, czy wiadomość nie zawiera innych znaków ostrzegawczych: literówek, nieprofesjonalnych i podejrzanych elementów graficznych.
Mail phishingowy może przyjść także od ludzi, których bardzo dobrze znacie. Jeżeli więc forma, treść e-maila czy sposób, w jaki Wasz przyjaciel czy znajomy zwraca się do Was w wiadomości, wydają Wam się dziwne, lepiej sprawdźcie, czy na pewno ten komunikat przyszedł od niego. I za nic w świecie nie otwierajcie załączników!
Wiem, kim jesteś
Z roku na rok rośnie też popularność ataków opierających się na wykorzystaniu przez cyberprzestępców informacji o firmach i ich pracownikach. Podszywają się oni zatem pod kontrahentów przedsiębiorstwa i wysyłają faktury czy informacje o konieczności dokonania przelewu na określone konto. To może być fałszywa wiadomość od hotelu, w którym zwykle organizujecie konferencje prasowe czy firmy eventowej. Jeśli dostaniecie e-maila z fakturą, której się nie spodziewacie, sprawdźcie z domniemanym nadawcą, czy rzeczywiście dokument pochodzi od niego.
I na koniec kilka wskazówek, które pomogą Wam uniknąć niebezpieczeństw – stosujcie zasadę ograniczonego zaufania, nie otwierajcie załączników od nieznajomych, nie podawajcie swoich danych osobowych ani innych danych wrażliwych na e-mailową prośbę (także danych firmowych), aktualizujcie na bieżąco oprogramowanie zabezpieczające i przeglądarki.
Choć jednym z elementów pracy PR-owca jest otwarcie na kontakt i komunikację także z nieznajomymi, warto zachować ostrożność, aby w imię profesjonalizmu nie wpaść w pułapkę zastawioną przez cyberprzestępców.
Magdalena Grochala. Z branżą PR związana od 2006 roku. Wspólniczka w agencji Symetria Public Relations, wcześniej PR Manager w firmie Comarch. Na początku swojej ścieżki zawodowej współpracowała z mediami, m.in. z Programem Pierwszym Polskiego Radia. Wykładowczyni na studiach podyplomowych w Wyższej Szkole Europejskiej. Autorka artykułów eksperckich, prelegentka konferencji branżowych, współautorka badań branży PR oraz merytorycznych spotkań dla PR-owców Komu Komunikacja. Absolwentka Filologii Polskiej oraz Dziennikarstwa i Komunikacji Społecznej na Uniwersytecie Jagiellońskim. Od kilku lat w ramach współpracy z firmą McAfee zajmuje się tematyką walki z cyberzagrożeniami. Studiuje też cyberbezpieczeństwo na Akademii Górniczo-Hutniczej w Krakowie.