Zdecydowana większość przedsiębiorców czuje się bezpiecznie w sieci, wynika z badania przeprowadzonego dla ING Banku Śląskiego. Ponad połowa spotkała się z najczęstszymi formami zagrożeń. Reakcja na takie zdarzenia to jednak zazwyczaj zignorowanie sprawy. Cierpieć na tym mogą inni, mniej świadomi użytkownicy sieci.
Różne formy internetowych oszustw i wyłudzeń stały się na tyle powszechne, że większość z nas miała z nimi jakiś kontakt. Nie zawsze jednak trafnie diagnozujemy niebezpieczeństwa i potrafimy wskazać, jak najlepiej sobie z nimi radzić. ING Bank Śląski postanowił sprawdzić, jak z tymi wyzwaniami radzą sobie przedsiębiorcy.
Z badania przeprowadzonego na zlecenie banku wynika, że przedsiębiorcy regularnie korzystają z sieci, niezależnie od tego, czy prowadzą biznes online, czy w bardziej tradycyjnej formie. 22 proc. respondentów deklaruje, że w internecie zawsze czuje się bezpiecznie, a ponad połowa, że często ma takie poczucie. Nieco mniej pewnie w cyfrowym świecie czują się kobiety, gdzie odsetek deklarujących poczucie pełnego bezpieczeństwa jest o ponad połowę niższy niż wśród mężczyzn (12 proc. kontra 28 proc.).
56 proc. badanych zetknęło się z phishingiem, czyli wiadomością z fałszywym załącznikiem lub linkiem do podrobionej strony. Nieco mniejszy odsetek (54 proc.) miał do czynienia ze smishingiem, opartym na wiadomości SMS. Wiele wskazań w pytaniach o doświadczenia z przestępczymi schematami uzyskały także fałszywe inwestycje oraz podrobione faktury (po 44 proc.).
ING Bank Śląski
Co daje „kłódka”? Nie wszyscy wiedzą
Respondenci mieli najpierw za zadanie ocenić swój poziom wiedzy o cyberbezpieczeństwie. Na poziomie deklaracji wyniki prezentują się optymistycznie. Zaledwie co dziesiąty przedsiębiorca gotów był poprzeć twierdzenie, że wie niewiele lub nic o zagrożeniach w sieci. 39 proc. wskazało, że wie na ten temat sporo i poszerza swoją wiedzę. 38 proc. przyznaje się do podstawowej wiedzy, ale nie przykłada wagi do jej aktualizowania.
ING Bank Śląski
Deklarujący zainteresowanie kwestiami bezpieczeństwa w sieci to nieco częściej mężczyźni i osoby ze średnim wykształceniem. W tej grupie widać także korelację z poczuciem pewności w korzystaniu z internetu. Wśród osób czujących się bezpiecznie w Internecie przez cały czas, aż 35 proc. ocenia swoją wiedzę bardzo wysoko.
W zestawie pytań testowych, przedsiębiorcy trafnie wskazywali, że najczęstszą przyczyną utraty pieniędzy w sieci jest nieuwaga i brak ograniczonego zaufania (80 proc. odpowiedzi). Dwie trzecie respondentów wiedziało, na czym polega deepfake, a połowa znała zasadę działania spoofingu.
– Znaczna część badanych przedsiębiorców wydaje się polegać na cyfrowych zabezpieczeniach, jak program antywirusowy czy ikona kłódki w przeglądarce, nie zdając sobie jednak sprawy, że te rozwiązania same w sobie nie mogą ochronić ich przed popularnymi atakami, które polegają na przekonaniu ofiary do przelania pieniędzy oszustowi lub zdradzenia mu danych do swojej bankowości online. To właśnie ataki oparte na socjotechnikach i manipulacji są obecnie szczególnie niebezpieczne – mówi Wojciech Kordas, dyrektor odpowiedzialny za działania antyfraudowe w ING Banku Śląskim.
Zapytani o najskuteczniejszą metodę ochrony przed phishingiem, badani najczęściej wskazywali błędnie na antywirusa (45 proc.) oraz firewall (28 proc.). Zaledwie 28 proc. respondentów odpowiedziało poprawnie i poleciło użycie klucza sprzętowego U2F.
– Bardzo skutecznym zabezpieczeniem przed nieautoryzowanymi transakcjami jest klucz U2F, czyli niewielkie urządzenie, które albo wpinamy do komputera, albo zbliżamy do smartfona, by potwierdzić, że to naprawdę my logujemy się do bankowości online lub realizujemy konkretne transakcje. To jedno z najmocniejszych zabezpieczeń platform internetowych przed atakami, które opierają się na wyłudzeniu danych. Oszust może przechwycić login i hasło klienta oraz kody do potwierdzania transakcji, ale nie jest w stanie samodzielnie kliknąć w klucz U2F lub zbliżyć go do smartfona – dodaje Wojciech Kordas.
Reakcja na oszustwo? Często żadna
Interesujące wyniki przyniosło pytanie dotyczące sposobów reakcji na napotkane próby oszustwa w sieci. W najczęściej spotykanych scenariuszach dominowała odpowiedź „nic nie zrobiłem”. W przypadku phishingu 42 proc. respondentów pozostała biernych. Niemal co piąty zgłosił sprawę w banku, a 22 proc. przekazał mail do CERT Polska. Podobny odsetek zgłaszających incydent do tej instytucji odnotowano tylko w przypadku złośliwego oprogramowania i fałszywych faktur załączanych do e-maili.
Ponad połowa badanych twierdzi, że zignorowała wiadomość smishingową (57 proc.). Ten odsetek był bliski połowy także w przypadku fałszywych inwestycji, faktur oraz rozmów telefonicznych podszywających się pod znaną instytucję.
ING Bank Śląski
Warto podkreślić, że zgłoszenie incydentu do CERT Polska, który działa w instytucie badawczym NASK, może pokrzyżować plany przestępców i uchronić inne potencjalne ofiary. Instytucja ta od 2020 roku prowadzi Listę Ostrzeżeń przed niebezpiecznymi stronami. Jest ona wykorzystywana między innymi przez największych operatorów telekomunikacyjnych w Polsce. Są oni w stanie zablokować domenę używaną w ataku, a także ograniczyć skalę kampanii poprzez filtrowanie szkodliwych wiadomości SMS.
– Przykładowo, jeśli przestępcy organizują akcję phishingową, w której będą rozsyłać do firm emaile ponaglające do płatności zaległej faktury, to najpierw muszą zdobyć bazę adresów email, stworzyć stronę internetową do wyłudzania danych, a następnie rozesłać tysiące wiadomości. Jeśli któryś z przedsiębiorców wyśle podejrzaną wiadomość do zespołu CERT Polska, to już po kilku godzinach dostęp do fałszywej strony może zostać zablokowany niemal w całej Polsce. Przestępcy muszą zaczynać jeszcze raz – przypomina Wojciech Kordas.
