Reklama
Kup subskrypcję
Kup subskrypcję
OFERTA SPECJALNA na NAJWYŻSZY pakiet subskrypcji! Wersję Platinum - OFERTA LIMITOWANA
Sprawdzam
BIZNES I TECHNOLOGIE
Polska flaga

Bezpieczny CFO: internetowe zagrożenia i jak sobie z nimi radzić

20 września 2017 9 min czytania
Cezary Piekarski
Odsłuchaj
Bezpieczny CFO: internetowe zagrożenia i jak sobie z nimi radzić

Streszczenie: Nowe technologie przynoszą ze sobą zagrożenia, które skutecznie wykorzystują przestępcy, adaptując tradycyjne metody do współczesnych warunków. Wiele firm zmaga się z cyberprzestępstwami, w tym próbami podszywania się pod kluczowych pracowników, co jest szczególnie niebezpieczne w kontekście finansów. Przykładem jest atak, w którym oszust podszywa się pod członka zarządu firmy, wysyłając fałszywe prośby o przelew dużych sum pieniędzy, tłumacząc to pilnymi sprawami biznesowymi. Kluczowym elementem obrony przed tego typu zagrożeniami jest wypracowanie i przestrzeganie jasno określonych procedur dotyczących transferów środków finansowych, z dodatkową weryfikacją za pomocą innego kanału komunikacji, co może znacząco zmniejszyć ryzyko oszustw.

Pokaż więcej

W gąszczu informacji o zagrożeniach w internecie trudno odnaleźć praktyczne zalecenia dotyczące rozsądnego i bezpiecznego posługiwania się technologią.

Komunikacja elektroniczna jest nieodłączną częścią życia prywatnego i zawodowego każdego CFO. Oto praktyczne i pozbawione zbytniej awersji do ryzyka rozwiązania, które każdy dyrektor finansowy (i nie tylko) może stosować na co dzień.

Powyższy tekst powstał w ramach współpracy Banku Millennium i ICAN Institute, nad inicjatywą Klub CFO. Celem tego projektu jest wspieranie dobrych praktyk i identyfikacja kluczowych trendów w środowisku dyrektorów finansowych i głównych księgowych. Więcej informacji na stronie www.klubcfo.pl.

Nowe życie starych przestępstw

Przestępcy aktywnie wykorzystują stare wzorce przestępstw, dostosowując je do możliwości i ograniczeń, jakie dają nowe technologie. Wielu przedsiębiorców w Polsce spotyka się z cyfrową wersją przestępstwa polegającego na próbie podszycia się pod jednego z kluczowych pracowników firmy. Mimo pozornej łatwości wykrycia ataki oparte o socjotechnikę stanowią niezmiennie jedno z głównych zagrożeń dla bezpieczeństwa finansowego przedsiębiorstw. Zespoły dbające o bezpieczeństwo klientów banków bardzo często spotykają się z przestępstwami zbliżonymi do tego opisanego poniżej.

Jestem w podróży, mam pilną sprawę

Posiadający wysokie uprawnienia pracownik zespołu księgowego otrzymuje prośbę przesłaną z adresu e‑mail założonego w jednym z popularnych serwisów pocztowych. Okazuje się, że jest to prywatny adres jednego z wiceprezesów zarządu, który aktualnie przebywa na urlopie i nie ma dostępu do korporacyjnej skrzynki pocztowej. Prezes tłumaczy, że jego urlop tak naprawdę jest związany z jedną z tajnych akwizycji, nad którą pracuje zarząd. Prosi o pilne przekazanie kwoty 24 tysięcy dolarów, stanowiącej wadium udziału w dalszych negocjacjach, na konto szwajcarskiej firmy prawniczej obsługującej transakcję. Ponadto podkreśla, jak ważna jest poufność – pracownik jest proszony o zachowanie tej transakcji w pełnej tajemnicy, ponieważ jakiekolwiek plotki mogą zagrozić sukcesowi transakcji.

Pracownik, korzystając z posiadanych uprawnień, inicjuje transfer, który jest rutynowo akceptowany przez jego przełożonego w paczce przelewów realizowanych na koniec każdego dnia roboczego. Ponieważ przestępstwo zauważono dopiero po kilkunastu dniach w ramach miesięcznej rekoncyliacji kont walutowych, udało się odzyskać mniej niż 10% skradzionych środków.

Wbrew pozorom skuteczna ochrona przed przestępstwem podobnym do opisanego powyżej jest bardzo trudna – dzieje się tak dlatego, że w większości przedsiębiorstw rzeczywiście zdarzają się sytuacje wymagające natychmiastowego transferu środków.

Poza tym przestępcy umiejętnie wykorzystują ważne dla każdego człowieka emocje – np. poczucie przynależności do kręgu zaufania czy powierzenia ważnej misji, tak jak w powyższym przykładzie. Odpowiedzią może być nie tylko jasne określenie standardowego procesu dysponowania środkami znajdującymi się na rachunkach bankowych, ale również zaprojektowanie szybkiej ścieżki, która jednocześnie będzie zawierać np. dodatkową weryfikację przy pomocy innego kanału komunikacji (np. telefonicznie na znany numer, gdy prośbę otrzymaliśmy za pośrednictwem wiadomości e‑mail).

W cyfrowym świecie odżywają również zupełnie „tradycyjne” przestępstwa. Jednym z masowo wykorzystywanych przez przestępców schematów działania jest próba skłonienia pracownika zespołu księgowego do zmiany rachunku bankowego powiązanego z kontrahentem. Narzędzia cyfrowe dają przestępcom możliwość skuteczniejszego zamaskowania próby nadużycia.

Przepraszam, ale znowu zmieniamy rachunek

Jeden z pracowników zespołu księgowości otrzymał wiadomość e‑mail od zaprzyjaźnionej księgowej jednego z głównych kontrahentów. Szef znowu zdecydował o zmianie obsługującego ich banku. To już trzeci raz w tym roku. Pracownik wymienił kilka e‑maili z księgową, żartując, że przy tym poziomie niestabilności może powinni zacząć przyjmować rozrachunki w gotówce. Pracownik wprowadził konieczne zmiany do kartoteki klienta i zarchiwizował wiadomość e‑mail w folderze powiązanym z kontrahentem.

Gdy kilka tygodni później do firmy wpłynęła informacja o opóźnionej płatności, nikt specjalnie się tym nie przejął – płatność została zrealizowana na czas, a ten kontrahent zawsze miał problem z rekoncyliacją kont. Dopiero gdy po kilku dniach obie strony transakcji zaczęły szczegółowo analizować sytuację, okazało się, że numer konta, który został przekazany w e‑mailu należał do obywatela Litwy pracującego czasowo w Polsce. Kontrahent potwierdził na podstawie dzienników zdarzeń z systemu pocztowego, że podobny e‑mail nigdy nie został wysłany. Dopiero analiza ekspercka wskazała, że e‑mail był dobrze przygotowaną mistyfikacją, a przekazane w ramach rozliczenia prawie 210 tysięcy złotych jeszcze w dniu przelewu opuściły system bankowy w kantorze kryptowalut. Cała wartość transferu została utracona.

Warto też podkreślić, że istotnym sposobem ochrony przed podobnymi przestępstwami jest zwiększanie wiedzy pracowników na temat pożądanych i niepożądanych zachowań, a także schematów najpopularniejszych przestępstw. Szybkie efekty można uzyskać dzięki lekturze sekcji „bezpieczeństwo” na stronach internetowych banków, a także dzięki dostępnym w języku polskim e‑learningom. Najbardziej skuteczny będzie dedykowany program edukacyjny zbudowany w oparciu o symulacje, e‑learningi oraz cykliczne szkolenia dostosowane do procesów funkcjonujących w przedsiębiorstwie.

Ratunku, znajomy chce mnie okraść

Bardzo popularnym schematem przestępstw w Internecie jest wykorzystywanie kont w portalach społecznościowych do wyłudzeń środków od kontaktów (przyjaciół) konta kontrolowanego przez przestępcę. W ramach schematu przestępca wykorzystuje nieautoryzowany dostęp do konta w portalu społecznościowym, by w imieniu właściciela konta prosić o pomoc np. w opłaceniu należności za drobną transakcję.

Czy pomożesz mi zapłacić?

Odzywa się do nas niewidziany od kilku dni znajomy, prosząc o drobną przysługę – w jego banku trwa przerwa serwisowa, a potrzebuje pilnie doładować telefon swojemu synowi przebywającemu na wakacjach. Prosi o zrealizowanie doładowania na 20 zł, obiecuje zwrot w ciągu kilku godzin oraz przesyła link do popularnej platformy płatności. Po kliknięciu w link wybieramy obsługujący nas bank, jesteśmy przenoszeni na jego stronę, logujemy się i realizujemy transakcję w zwyczajny sposób. SMS autoryzujący utwierdza nas w przekonaniu, że wszystko jest w porządku.

Gdy po kilku dniach z naszego konta oszczędnościowego znikają środki, odnajdujemy na liście przelewów zaufanych konto, którego nie jesteśmy w stanie zidentyfikować. Dopiero uważna lektura SMS autoryzującego sprzed kilku dniu i weryfikacja historii przeglądarki potwierdzają, że strona, na którą zostaliśmy przekierowani, nie była stroną banku, a jedynie dokładną kopią umieszczoną pod podobnym adresem, a transakcja doładowania konta tak naprawdę była transakcją polegającą na dodaniu nowego, zaufanego odbiorcy.

Opisane powyżej przestępstwo występuje w wielu wariantach – czasem przestępcy proszą o znacząco większą kwotę (np. duże zakupy w aptece internetowej), która sama w sobie jest celem przestępstwa, a nie jedynie motywem pozwalającym na zdefiniowanie nowego odbiorcy zdefiniowanego. To, co łączy wszystkie te schematy, to wykorzystanie zaufania do elektronicznych metod komunikacji w celu skłonienia ofiary do wykonania niekorzystnej dla niej czynności.

Kontrola nad kontem w portalu społecznościowym jest dla przestępców również okazją do identyfikacji dalszych ofiar oraz uwiarygodnienia stosowanych schematów nadużyć. Kontrolując konto CFO w jednym z portali społecznościowych lub nawet jedynie konto będące jego znajomym, dużo łatwiej będzie dokonać przestępstwa opisanego w pierwszej części artykułu – wykorzystać aktualne zdjęcia, kontakty, a także nawiązania do życia prywatnego, które uwiarygodnią przestępcę w oczach pracownika będącego jego narzędziem. Jest to dobry przykład tego, jak prywatne i służbowe cyfrowe życie przeplatają się, stwarzając przestrzeń do potencjalnych przestępstw.

Bezpieczny CFO

Połączenie nowych technologii, podstaw psychologii oraz sprawdzonych schematów nadużyć stanowi skuteczne narzędzie w rękach przestępców. Jednocześnie istnieje wiele prostych metod, które możemy aktywnie wykorzystywać, by stać się mniej atrakcyjnym celem. Wśród podstawowych czynności związanych z higienicznym posługiwaniem się technologią warto zwrócić szczególną uwagę na następujące dobre praktyki:

  • Dbaj o aktualność wykorzystywanego oprogramowania – wspólnie z CIO dbaj o to, by pracownicy korzystali z aktualnych wersji oprogramowania zgodnie z zaleceniami producenta. W artykule skupiłem się na wykorzystaniu socjotechniki, ale duża część obserwowanych przestępstw polegających na uzyskaniu nieautoryzowanego dostępu do konta przedsiębiorstwa rozpoczyna się od wykorzystania znanego i łatwego do usunięcia błędu w oprogramowaniu.

  • Korzystaj z narzędzi uwierzytelnienia, limitów oraz schematów autoryzacji udostępnianych przez twój bank – wybierz bank, który oferuje aktywny token lub autoryzację transakcji przy pomocy aplikacji mobilnej. Korzystaj z możliwości zarządzania limitami oraz tworzenia wieloetapowych procesów autoryzacji. Poświęć chwilę na analizę pakietów przelewów – weryfikując, nie ograniczaj się jedynie do sald.

  • Dbaj o swoją prywatność w sieci – informacje, które publikujesz w mediach społecznościowych, mogą być wykorzystane do stworzenia wiarygodnej historii, będącej podstawą potencjalnego nadużycia (np. odwołanie do hobby, podróży, aktualnej aktywności). Informacje o swoich aktywnościach udostępniaj jedynie ograniczonemu, znanemu ci gronu odbiorców.

  • Zwracaj uwagę na szczegóły – przestępcy sprawnie wykorzystują automatyzację, z jaką podchodzimy do powtarzalnych czynności. Staranne przeczytanie treści SMS‑a autoryzującego transakcję, weryfikacja numeru konta lub adresu strony internetowej może pomóc uratować nasze, zarówno służbowe, jak i prywatne środki finansowe. Gdy nie jesteś pewien, zweryfikuj wiadomość innym kanałem komunikacji (np. zadzwoń, gdy chcesz zweryfikować zlecenie otrzymane e‑mailem).

  • Edukuj – pokaż, że dbasz o bezpieczeństwo i dziel się wiedzą na ten temat ze swoimi pracownikami. Zapewnij im aktualne źródło wiedzy na temat schematów nadużyć oraz bezpiecznego posługiwania się narzędziami autoryzacji.

Patrząc na problem w skali przedsiębiorstwa, warto również podkreślić, że niezależnie od branży, w której funkcjonuje firma, warto rozważyć stworzenie dedykowanych struktur dbających o bezpieczeństwo systemów informatycznych i procesów biznesowych, a także troszczących się o edukację pracowników.

CFO może pełnić nieocenioną rolę w budowaniu takich struktur, nie tylko poprzez alokację zasobów firmy, ale także przez aktywną pracę nad zapewnieniem bezpiecznego ekosystemu procesów i narzędzi służących do zarządzania pieniędzmi przedsiębiorstwa.

O autorach
Cezary Piekarski

Tematy
BIZNES I TECHNOLOGIE Cyberbezpieczeństwo Strategia IT Transformacja organizacyjna Zarządzanie finansami i ryzykiem
Spis treści
  1. Nowe życie starych przestępstw
  2. Jestem w podróży, mam pilną sprawę
  3. Przepraszam, ale znowu zmieniamy rachunek
  4. Ratunku, znajomy chce mnie okraść
  5. Czy pomożesz mi zapłacić?
  6. Bezpieczny CFO

Może Cię zainteresować

Praca zdalna i hybrydowa
Wideokonferencje i nowoczesne biuro: jak technologia i przestrzeń tworzą nowy standard współpracy. CZĘŚĆ II

Jak wybrać kabinę akustyczną do pracy hybrydowej, by spotkania online były naprawdę efektywne? W drugiej części cyklu pokazujemy checklistę decyzji, typowe błędy oraz technologie Jabra, które zapewniają widoczność i świetny dźwięk.

Materiał Partnera Bene, Materiał Partnera JABRA Gn 16 stycznia 2026
Praca zdalna i hybrydowa
Wideokonferencje i nowoczesne biuro: jak technologia i przestrzeń tworzą nowy standard współpracy. CZĘŚĆ I

Wideokonferencje nie działają „same z siebie”. O jakości spotkań hybrydowych decyduje widoczność, dźwięk i przestrzeń, która wspiera koncentrację. Sprawdź, jak technologia Jabra i kabiny akustyczne Bene tworzą nowy standard współpracy.

Materiał Partnera Bene, Materiał Partnera JABRA Gn 16 stycznia 2026
Etyka w biznesie
Niektórzy wcale nie ciepią na wypalenie. Są wyczerpani etycznie

Wypalenie zawodowe jest powszechnym zjawiskiem wśród osób pracujących pod nieustanną presją. Ale nie zawsze jest to właściwa diagnoza. Gdy ludzie są wyczerpani pracą, która wydaje się pusta lub niespójna z ich wartościami, problemem nie jest brak wytrzymałości. Problemem jest brak sensu. Dopóki organizacje nie będą gotowe skonfrontować się z tym rozróżnieniem, będą nadal leczyć niewłaściwy problem i dziwić się, że nic się nie zmienia.

 

Benjamin Laker 16 stycznia 2026
ZARZĄDZANIE
Poradnik CEO: Jak radzić sobie z trudnymi członkami rad nadzorczych

Prezesi i dyrektorzy zarządzający (CEO) nie unikną kontaktu z trudnymi osobowościami w radach nadzorczych, ale mogą nauczyć się mitygować wyzwania, jakie te postaci stwarzają. Kluczem do sukcesu jest odróżnienie problemów personalnych od wadliwych procesów, współpraca z kluczowymi sojusznikami oraz konsekwentne wzmacnianie relacji w celu budowania wartości biznesowej.

Lucy Nottingham 15 stycznia 2026
AI SZTUCZNA INTELIGENCJA
AI w polskiej medycynie: lepsza diagnostyka vs. ryzyko utraty kompetencji

Polskie szpitale i uczelnie medyczne coraz śmielej korzystają z możliwości sztucznej inteligencji – od precyzyjnej diagnostyki onkologicznej w Tychach, po zaawansowane systemy wizyjne rozwijane na AGH. Algorytmy stają się „drugim okiem” lekarza, istotnie zwiększając wykrywalność zmian nowotworowych. Jednak za technologiczną euforią kryje się ryzyko nazywane „lenistwem poznawczym” – lekarze wspierani przez AI tracą biegłość w samodzielnej diagnozie.

Paweł Kubisiak 14 stycznia 2026
AI SZTUCZNA INTELIGENCJA
Dlaczego 95% wdrożeń AI kończy się porażką? I jak znaleźć 5% tych udanych?

Sztuczna inteligencja nie jest dziś wyzwaniem technologicznym, lecz testem dojrzałości organizacyjnej. W rozmowie z Tomaszem Kostrząbem AI jawi się nie jako cel sam w sobie, ale jako narzędzie głębokiej transformacji procesów, ról i sposobu myślenia liderów. Tekst pokazuje, dlaczego większość wdrożeń AI kończy się porażką, gdzie firmy popełniają kluczowe błędy oraz jak połączyć technologię z ludźmi i biznesem, by osiągnąć realną wartość.

Paulina Kostro, Tomasz Kostrząb 13 stycznia 2026
zarządzanie szybkim wzrostem firmy
ZARZĄDZANIE
Jak radzić sobie z szybkim wzrostem

Szybki wzrost organizacji niesie ze sobą wyzwania związane z podziałami między wczesnymi członkami zespołu a nowo przyjętymi pracownikami. Kluczem do sukcesu jest budowanie wspólnego języka, tożsamości oraz kultury sprzeciwu, które pomagają skutecznie integrować różnorodne zespoły i wykorzystywać potencjał różnorodności.

Meir Shemla, Jacques Kemp 12 stycznia 2026
Analityka i Business Intelligence
Od czego zacząć porządkowanie analityki internetowej?

Chaotyczna analityka internetowa prowadzi do błędnych decyzji i nieefektywnego wydatkowania budżetów marketingowych. Audyt danych, właściwa konfiguracja GA4, zarządzanie zgodami oraz centralizacja tagów w Google Tag Managerze to fundamenty, od których należy zacząć porządkowanie analityki, aby realnie wspierała cele biznesowe.

9 stycznia 2026
AI SZTUCZNA INTELIGENCJA
Pięć trendów w AI i Big Data na rok 2026

Rok 2026 w świecie AI zapowiada się jako czas wielkiej weryfikacji. Eksperci MIT SMR stawiają sprawę jasno: indywidualne korzystanie z Copilota to za mało. Przyszłość należy do firm, które potrafią skalować rozwiązania dzięki „fabrykom AI” i przygotowują się na nadejście autonomicznych agentów. Dowiedz się, dlaczego deflacja bańki AI może być dla Twojego biznesu szansą na oddech i lepszą strategię.

Thomas H. Davenport, Randy Bean 9 stycznia 2026
Zarządzanie sobą
Puste przeprosiny w pracy, czyli więcej szkody niż pożytku

Większość menedżerów uważa, że szczere wyznanie winy zamyka temat błędu. Tymczasem w środowisku zawodowym puste deklaracje skruchy działają gorzej niż ich brak – budują kulturę nieufności i wypalają zespoły. Jeśli po Twoim „przepraszam” następuje „ale”, właśnie wysłałeś sygnał, że nie zamierzasz nic zmieniać.

Jim Detert 8 stycznia 2026
Materiał dostępny tylko dla subskrybentów

Jeszcze nie masz subskrypcji? Dołącz do grona subskrybentów i korzystaj bez ograniczeń!

Subskrybuj

Otrzymuj najważniejsze artykuły biznesowe — zapisz się do newslettera!