Rządowe Centrum Cyberbezpieczeństwa wydało oficjalne zalecenia dotyczące ochrony przed zaawansowanymi atakami socjotechnicznymi (grup APT). Choć dokument w dużej mierze skupia się na procesach rekrutacyjnych, metody te są z powodzeniem wykorzystywane przez oszustów również w codziennej komunikacji biznesowej, na spotkaniach online czy przy próbach nawiązania współpracy.
W załączonych plikach znajdziecie pełną treść rekomendacji. Poniżej zebraliśmy kluczowe zasady, które każdy z nas powinien stosować na co dzień:
- Weryfikacja spotkań wideo i linków: Zwracajcie uwagę na domeny w linkach do spotkań (np. Zoom, Teams). Oszuści podszywają się pod nie, używając podejrzanych adresów (np. teamslivc[.]com).
- Problemy techniczne to pułapka: Jeśli podczas rozmowy online ktoś zgłasza „problemy z dźwiękiem” i prosi o pobranie „aktualizacji”, „naprawy” lub wklejenie komendy w terminalu – natychmiast przerwij połączenie.
- Ograniczone zaufanie do znanych kontaktów: Pamiętajcie, że cyberprzestępcy potrafią przejąć konta osób, które znacie. Sam fakt, że wiadomość pochodzi od znanego klienta czy partnera, nie oznacza automatycznie, że jest bezpieczna.
- Relacje biznesowe i konferencje: Kontakty nawiązane na konferencjach nie są z urzędu wiarygodne. Nie otwierajcie projektów z nieznanych repozytoriów i nie instalujcie aplikacji spoza oficjalnych kanałów dystrybucji na prośbę nowych kontaktów.
Pełną listę wytycznych (w tym procedury weryfikacji kandydatów oraz kroki po wykryciu incydentu) znajdziecie w załącznikach.
Dbajmy wspólnie o nasze bezpieczeństwo. W razie jakichkolwiek podejrzeń, niezwłocznie zgłaszajcie sprawę.
Rekomendacja Ministra Cyfryzacji dotycząca bezpieczeństwa procesów rekrutacyjnych
