Przygotowując ukierunkowany atak na firmę, napastnicy czasami zaglądają na śmietnik z nadzieją na znalezienie przydatnych informacji. Chociaż w prawdziwym życiu raczej mało prawdopodobne jest, aby w koszu na śmieci znaleźli 50 ważnych haseł (jak to było w filmie „Hakerzy”), w przypadku firm cyberprzestępcy mogą znaleźć wiele ważnych i przydatnych informacji.
Co nie powinno trafić do śmieci
Nawet najbardziej optymistycznie nastawione osoby nie liczą na to, że znajdą cały stos dokumentów oznaczonych jako ŚCIŚLE TAJNE. Aby zdyskredytować firmę lub przygotować atak ukierunkowany, nie potrzeba wielkich tajemnic — każdy skrawek będący śmieciem w firmie lub każdy fragment informacji może pomóc w oszukaniu pracowników poprzez socjotechnikę.
Kompromitujące śmieci
Zazwyczaj pewnie nie wyrzucasz do kosza na śmieci dowodów prowadzenia kreatywnej księgowości lub raportów na temat tego, że Twoja firma szkodzi środowisku. Pamiętaj jednak, że zagrożenie stanowią również dane osobowe, czyli zarówno informacje związane z klientami, jak i pracownikami. W dzisiejszych czasach takie znalezisko gwarantuje uwagę organów regulacyjnych i wysokie grzywny.
Mimo to nadal zdarzają się przypadki, w których dane osobowe są zwyczajnie wyrzucane. Nadal nie wszyscy pracownicy zdają sobie sprawę, że na przykład lista adresów dla dostawcy pizzy jest informacją poufną. Ogólnie o wiele bardziej niepokojąca jest dokumentacja medyczna, numery ubezpieczenia społecznego, faktury płatnicze zawierające dane karty bankowej czy skany dokumentów tożsamości.
Co przydaje się cyberprzestępcom w ataku z wykorzystaniem socjtechniki
Informacje znalezione w niepoprawnie zutylizowanych dokumentach służbowych, kopertach czy cyfrowych nośnikach pamięci masowej mogą zostać wykorzystane jako wytrych umożliwiający cyberwłamanie.
Dokumenty robocze, nawet te, które nie zawierają danych niejawnych, mogą na przykład ujawnić, nad czym pracuje zespół, stosowaną terminologię i procesy i wiele więcej. Uzbrojona w takie informacje osoba atakująca może podszyć się pod uczestnika jakiegoś procesu firmowego, wykorzystując do tego pocztę e-mail lub telefon. Dzięki temu będzie mogła wyłudzić dodatkowe informacje lub zorganizować przekonujący atak BEC.
Koperty z korespondencji służbowej zawsze zawierają adresata i nadawcę. Wiedząc, że pracownik firmy A otrzymuje dokumenty papierowe od przedstawiciela firmy B, cyberprzestępca może na przykład skontaktować się z odbiorcą z przekonującą prośbą o wyjaśnienie czegoś lub wysłać szkodliwe łącze, które będzie rzekomo potwierdzać otrzymanie prawdziwego dokumentu fizycznego.
Nośniki cyfrowe mogą stanowić prawdziwą skarbnicę informacji. Uszkodzony smartfon może udostępnić listę kontaktów i wiadomości, które mogą okazać się przydatne do podszywania się pod byłego właściciela urządzenia. Pamięci flash czy porzucone dyski twarde zawierają mnóstwo dokumentów służbowych i danych osobowych.
Nawet torba po dostarczonym jedzeniu, na której umieszczone jest imię i nazwisko pracownika firmy, umożliwia na przykład wysłanie phishingowego e-maila zawierającego fałszywe łącza do specjalnych ofert menu lub programów lojalnościowych (nie jest to szczególnie popularne, ale może się tak zdarzyć).
Jak prawidłowo pozbywać się tego, czego już nie potrzebujesz
Na początek zalecamy minimalizowanie lub eliminowanie używania papieru jako nośnika. W ten sposób to nie tylko przyczynisz się do ratowania naszej planety, a także wyeliminujesz problem związany z poprawną utylizacją.
Najpierw zniszcz wszystkie dokumenty papierowe, które są w jakikolwiek sposób związane z pracą w firmie. Wszystkie, a nie tylko te zawierające dane osobowe. Należy je rozdrobnić, włącznie z kopertami.
Nośników cyfrowych (dysków twardych, pamięci flash) nie wyrzucaj do kosza. Spraw, aby były mechanicznie bezużyteczne, a następnie zanieś je do punktu recyklingu elektroniki. Płyty i pamięci flash uszkodź za pomocą szczypców. W przypadku dysków twardych należy użyć wiertarki elektrycznej lub młotka. Pamiętaj, że wewnątrz każdego telefonu znajduje się dysk flash, a wewnątrz każdego komputera — dysk twardy. Jeśli wyrzucasz taki sprzęt, najpierw upewnij się, że znajdujących się na nim danych nie można odczytać.
Przed wyrzuceniem opakowań lub toreb na żywność oderwij i zniszcz wszelkie etykiety zawierające nazwę firmy, imię i nazwisko odbiorcy oraz adres dostarczenia.
Pamiętaj, że bezpieczeństwo firmy jest bezpośrednio związane z jej pracownikami. Zasady właściwego postępowania muszą zrozumieć i przestrzegać ich wszyscy, od recepcji po najważniejsze osoby w zarządzie firmy. Każdy, niezależnie od stanowiska, musi posiąść podstawową, praktyczną wiedzę na temat postępowania z potencjalnie niebezpiecznymi informacjami.