Najkosztowniejsze cyberataki dla firm. Straty idą w miliony

Błąd ludzki to powód największych strat, ponoszonych przez firmy na skutek cyberataku. W 2021 roku organizacje na całym świecie straciły średnio ponad 5 mln dolarów w wyniku ataków.

Publikacja: 04.08.2022 17:00

Najkosztowniejsze cyberataki dla firm. Straty idą w miliony

Foto: Sxc.hu

Mateusz Pawlak

Business Email Compromise (BEC) to wyrafinowana metoda cyberataku. Hakerzy podszywają się pod konkretne osoby zatrudnione w firmie, wysyłając w ich imieniu fałszywe wiadomości z prośbą o zmianę w metodzie płatności wraz z podaniem „nowego” numeru konta. Takie maile trafiają najczęściej do księgowych lub osób zajmujących wysokie pozycje w działach finansowych. Co się dzieje później – można już sobie wyobrazić. Według danych IBM, w 2021 roku ataki BEC okazały się najkosztowniejsze spośród wszystkich cyberataków, jakie skierowano na organizacje na całym świecie – „kosztowały” średnio 5 mln dolarów.

– BEC nie są jednak najczęściej stosowaną metodą ataku, choć najkosztowniejszą dla firm. Tu nadal króluje phishing, który jest „wstępem” do ataku BEC. Zanim cyberprzestępca podszyje się pod przedstawiciela firmy lub kontrahenta ofiary, musi wcześniej w jakiś sposób zdobyć ich dane. Najczęściej w tym celu rozsyła zainfekowane linki w fałszywych wiadomościach lub wykonuje fałszywe połączenia telefoniczne do pracowników firmy w celu wyłudzenia dostępu do potrzebnych mu informacji. Hakerzy są podstępni, dlatego warto uodpornić pracowników na takie manipulacje. W tym celu warto przeprowadzać cykliczne szkolenia z zakresu cyberbezpieczeństwa. Dodam, że przestępcy chętnie atakują osoby pracujące na szeregowych stanowiskach – mówi Patrycja Tatara ekspert ds. cyberbezpieczeństwa w Sprint S.A.

Czytaj więcej

Finanse firmy

Rośnie fala ataków hakerów na firmy. Nie ma kto z nimi walczyć

Cyberprzestępcy coraz częściej atakują polskie przedsiębiorstwa. Brakuje jednak na rynku ludzi do walki z hakerami.

Phishing był najpopularniejszym rodzajem cyberataków również w Polsce. Stanowił niemal 77 proc. wszystkich incydentów, obsłużonych przez CERT Polska. Liczba tego typu zdarzeń wzrosła o 196 proc. r/r. W 2021 CERT odnotował aż 22 575 incydentów. To wystarczy, aby zorganizować atak BEC i narazić firmę na gigantyczne straty. Spójrzmy na najgłośniejsze przykłady z kraju i ze świata.

• Atak na spółkę Cenzin (Polska Grupa Zbrojeniowa) – strata 4 mln zł

Pod koniec 2018 roku hakerzy zaatakowali spółkę Cenzin, związaną z Polską Grupą Zbrojeniową. Cyberprzestępcy zastosowali BEC, podszywając się pod czeskiego kontrahenta. Wysyłali fałszywą wiadomość do polskiej organizacji z informacją o zmianie konta i prośbą o przesyłanie środków na „nowy”, wskazany w mailu rachunek bankowy. Osoby odpowiedzialne za finanse w polskiej spółce dokonały stosownych zmian w systemie płatności i kwoty za towar od czeskiego producenta przelewano na konto przestępców. W ten sposób firma straciła łącznie 4 mln złotych.

• Toyota i 37 mln dolarów straty na skutek BEC

Hakerzy atakują firmy różnej wielkości, w także działające globalnie. W 2019 roku ofiarą ataku BEC została Toyota Boshoku Corporation (producent części do samochodów koncernu Toyoty). Scenariusz był niemal identyczny, jak w przykładzie z Polski. Hakerzy podszyli się pod kontrahenta z zagranicy i wysłali fałszywą wiadomość do pracowników działu finansowo-księgowego, aby przelano kwotę na „nowe” konto. W ten sposób Toyota straciła 37 mln dolarów.

• FACC – strata 42 mln euro

Jeszcze większe straty zaliczyła kilka lat wcześniej Fischer Advanced Composite Components AG (FACC). Austriacki producent ultralekkich komponentów dla branży lotniczej, w 2016 roku również padł ofiarą ataku BEC. Tym razem pracownik działu finansowego otrzymał fałszywego maila, wysłanego w imieniu prezesa. Wiadomość zawierała polecenie zmiany danych kontrahenta. W efekcie firma przelała 42 mln euro na konto hakerów.

– Te przykłady pokazują, że cyberataki mogą dotyczyć każdego. Wszyscy jesteśmy ludźmi i popełniamy błędy, z czego cyberprzestępcy doskonale zdają sobie sprawę. Hakerzy atakują zatem nie tylko duże przedsiębiorstwa, ale także sektor małych i średnich firm, a nawet organizacje non-profit. Przytoczę chociażby przykład z ubiegłego roku, kiedy ofiarą ataku BEC padł Philabundance, czyli non-profit bank żywności. Hakerzy podali się wówczas za firmę budowlaną, zajmującą się wznoszeniem budynku kuchni społecznej, mającego służyć tej organizacji. W ten sposób ukradli 923 533 dolarów. Choć nie jest to aż tak wysoka kwota, jak w przypadku opisanych wyżej przypadków, to pamiętajmy o efekcie skali. Czasem kradzież „raptem” kilkudziesięciu czy kilkunastu tysięcy może wpędzić firmę w poważne kłopoty finansowe – dodaje Patrycja Tatara.

Obecnie trudno wskazać firmę, która działa bez dostępu do internetu i każdy pracownik może stać się ofiarą ataku hakerskiego. Wiedza na temat cyberzagrożeń powinna więc dotyczyć nie tylko zespołu IT, ale każdego, kto korzysta ze służbowego telefonu czy komputera i ma dostęp do firmowych danych. Jednym ze sposobów na wzrost świadomości wszystkich zatrudnionych są szkolenia w zakresie cyberbezpieczeństwa. Aby przyniosły one oczekiwany skutek, powinny być przeprowadzane regularnie, ze względu na wciąż zmieniające się techniki działań hakerów.

cyberbezpieczeństwo

Sprzedawca powinien wydać towar klientowi dopiero wtedy, gdy upewni się, że transakcja kartą płatnic

Finanse firmy

Klient nie zapłacił, koszt obciąży sprzedawcę

Jeśli sprzedawca w sklepie stacjonarnym wyda towar przed zaakceptowaniem płatności, to ma małe szanse na odzyskanie swoich pieniędzy. Wszystko będzie zależeć tylko i wyłącznie od dobrej woli i uczciwości klienta.

Firmy mogą korzystać ze wsparcia m.in. na budowę lub przebudowę instalacji OZE wraz z magazynami ene

Finanse firmy

Energetyczne dotacje na koniec roku

Koniec roku i okres świąteczno-noworoczny nie sprzyjają uruchamianiu dużych naborów. Nie oznacza to, że firmy nie mają możliwości korzystania ze wsparcia, szczególnie w projektach związanych z zielonym ładem i zmianą klimatu.

Na inwestycje w Nevadzie zdecydowała się m.in. Tesla, lokując tam jedną ze swoich gigafabryk

Finanse firmy

NCBR otwiera start-upom drzwi do USA

Narodowe Centrum Badań i Rozwoju po raz kolejny daje polskim start-upom, mikro- i małym przedsiębiorcom szansę na spełnienie amerykańskiego snu i rozpoczęcie działalności na terenie stanu Nevada.

Finanse firmy

Samodzielne prowadzenie księgowości z Małą Księgowością

Samodzielne prowadzenie księgowości to przede wszystkim oszczędności i większa kontrola nad finansami firmy. To również wyzwania, wymagające sprawdzonych rozwiązań. Mała Księgowość pozwala podjąć się tego zadania i mieć pewność, że dobrze je wykonasz.

Na wsparcie mogą liczyć innowacyjne przedsiębiorstwa na wczesnym etapie rozwoju (start-upy), które m

Finanse firmy

Ogromne pieniądze dla start-upów

Rozwój start-upów jest nieodłączną częścią budowania gospodarki opartej na innowacjach – przekonuje PARP. Bez wsparcia z zewnątrz byłby on jednak często niemożliwy. Z pomocą przychodzą programy rządowe i pieniądze unijne.

Materiał Promocyjny

Lexus NX. Modny, komfortowy SUV. Korzystaj ze spektakularnego finału wyprzedaży

Jak nie dać się nabrać na „oszusta z Tindera” NASK wyjaśnia, czym jest „romance scam”

Prawo karne

Jak nie dać się nabrać na „oszusta z Tindera”? NASK ostrzega

W 2024 roku Centralne Biuro Zwalczania Cyberprzestępczości odnotowało 144 przestępstwa „oszustwa matrymonialnego”. Pokrzywdzonych zostało 160 osób - 116 kobiet i 44 mężczyzn. Razem stracili 10 mln zł. Niemal połowę stanowiły osoby w wieku 30-49 lat.

Prawo karne

Organy ścigania coraz częściej sięgają po dowody od Google’a, Mety czy TikToka

Z roku na rok rośnie znaczenie danych z social mediów czy komunikatorów internetowych w postępowaniach sądowych.

W 2024 roku odnotowano 1028 incydentów w ochronie zdrowia.

Ochrona zdrowia

Rośnie liczba incydentów cyberbezpieczeństwa w sektorze ochrony zdrowia

W 2024 roku odnotowano 1028 incydentów w ochronie zdrowia wobec 405 incydentów w 2023 roku – wynika z danych CSIRT CeZ.

Przewodnicząca Związku Zawodowego Związkowa Alternatywa w Krajowej Administracji Skarbowej Agata Jag

Administracja państwowa

Po wycieku danych pracownicy KAS boją się składać podpisy elektroniczne

Związkowa Alternatywa informuje o przypadkach prób wzięcia pożyczek przy użyciu danych pracowników Krajowej Administracji Skarbowej. Jak pisaliśmy, problemu dałoby się uniknąć, gdyby do weryfikacji podpisu elektronicznego nie wymagano aż tylu danych.

Biznes

Dyrektywa NIS2 – praktyczne konsekwencje dla polskich przedsiębiorców

Firmy działające w sektorach, takich jak infrastruktura wodociągowa, usługi kurierskie, przetwarzanie danych, energetyka odnawialna czy dostarczanie usług cyfrowych, np. usług chmurowych, będą musiały dostosować swoje procesy do nowych wymogów dyrektywy NIS2.

Podnoszenie minimalnego wynagrodzenia wpływa m.in. na wysokość ofert firm w różnych przetargach, np.

Prawo w regionach

Obrona cywilna, płace i segregacja śmieci po nowemu

Bez względu na to, jak zmienia się prawo dotyczące samorządów lokalnych, i tak najpoważniejszym problemem jest to, czy wystarczy pieniędzy na realizację zobowiązań.

Aleksandra Bańkowska, partnerka PwC Legal

Prawo dla profesjonalistów

Jakie trendy regulacyjne w 2025 roku

Jakie zmiany w przepisach prawnych będą miały największy wpływ na biznes i organizację w 2025 r.?

Biznes

Podcast „Twój Biznes”: Polska na celowniku rosyjskich hakerów

Jest wtorek, 21 stycznia – na codzienny podcast „Rzeczpospolitej” o gospodarce „Twój Biznes” zaprasza Bartłomiej Kawałek. Dziś porozmawiamy o nasilających się atakach rosyjskich hakerów na Polskę, kryzysie w branży transportowej, pierwszych decyzjach gospodarczych Donalda Trumpa oraz wzroście importu rosyjskiego LNG przez Europę.