Phishing na dane firmowe i rejestry przedsiębiorców

TL;DR

Phishing na dane firmowe wykorzystuje fakt, że przedsiębiorcy i działy administracyjne regularnie aktualizują dane w rejestrach, systemach identyfikacji i usługach publicznych. W holenderskich przykładach Fraudehelpdesk pojawiają się podszycia pod Kamer van Koophandel, Rijksdienst voor Ondernemend Nederland, e-Herkenning oraz formularze UBO.

To nie jest tylko wyłudzenie loginu. Dane firmowe mogą pomóc atakującym w przygotowaniu bardziej wiarygodnego BEC, fałszywej faktury, podszycia pod spółkę, oszustwa płatniczego albo kolejnego phishingu na konkretnych pracowników.

W Polsce podobny scenariusz mógłby wykorzystywać CEIDG, KRS, e-Doręczenia, ePUAP, PUESC, profil zaufany, konta przedsiębiorcy, bankowość firmową albo platformy używane do kontaktu z administracją. Najważniejsza zasada: aktualizacja danych firmy nie powinna zaczynać się od linku w nieoczekiwanym e-mailu.

Jak działa ten mechanizm

Wiadomość wygląda jak administracyjna prośba o porządek w danych. Może mówić o weryfikacji konta przedsiębiorcy, aktualizacji danych organizacji, kontroli jakości rejestru, formularzu UBO albo konieczności utrzymania dostępu do usług publicznych.

Przestępcy używają języka urzędowego, numerów referencyjnych, terminów, nazw rejestrów i argumentu zgodności z przepisami. Użytkownik nie widzi klasycznej przynęty w stylu wygrałeś nagrodę. Widzi obowiązek administracyjny.

To działa szczególnie dobrze na osoby, które rzeczywiście zajmują się dokumentami firmowymi: właścicieli małych firm, księgowość, administrację, sekretariat, compliance, biuro zarządu, HR albo osoby odpowiedzialne za kontakt z urzędami.

Po kliknięciu linku ofiara może trafić na formularz danych firmowych, fałszywe logowanie, prośbę o załączniki, płatność administracyjną albo stronę służącą do kradzieży danych kontaktowych i organizacyjnych.

Dlaczego dane firmowe są wartościowe

Dane firmowe same w sobie mogą wyglądać niewinnie. Nazwa spółki, adres, NIP, osoby reprezentujące, rachunek bankowy, struktura właścicielska, numery telefonów, kontakty do księgowości i zarządu często są częściowo publiczne.

Problem polega na zestawieniu. Im więcej informacji atakujący zbierze, tym łatwiej przygotuje wiarygodny atak. Może napisać do konkretnej osoby, użyć prawdziwego numeru rejestrowego, powołać się na realną usługę, dobrać język do branży i udawać, że zna proces firmy.

Taki phishing może być etapem rozpoznania przed Business Email Compromise, czyli BEC. BEC polega na podszyciu się pod zaufaną osobę lub partnera biznesowego, aby wymusić przelew, zmianę rachunku, przekazanie dokumentów albo poufnych informacji. Dane z rejestrów i formularzy pomagają zbudować wiarygodność tego oszustwa.

Polski kontekst: CEIDG, KRS, e-Doręczenia i PUESC

W Polsce podobna przynęta może dotyczyć wpisu w CEIDG, danych w KRS, e-Doręczeń, profilu zaufanego, ePUAP, PUESC, konta podatkowego, systemu ZUS, rachunku firmowego albo zgłoszenia UBO.

Wiadomość może brzmieć spokojnie: aktualizacja danych kontaktowych, potwierdzenie reprezentacji, obowiązkowy formularz, blokada dostępu do usługi, weryfikacja korespondencji elektronicznej albo uzupełnienie brakujących informacji. To są sprawy, które w firmie często są przekazywane dalej bez głębokiej analizy.

Ryzyko rośnie w małych firmach, gdzie jedna osoba obsługuje księgowość, bank, kontakty z urzędami i pocztę firmową. Rośnie też w większych organizacjach, jeśli wiadomości o danych rejestrowych trafiają do wspólnych skrzynek, sekretariatów lub działów administracji bez jasnej procedury weryfikacji.

Co powinien zrobić użytkownik

Użytkownik powinien sprawdzić, czy wiadomość dotyczy realnej usługi i czy wymagana czynność jest widoczna po wejściu do niej znanym kanałem. Nie należy aktualizować danych firmy przez link z e-maila.

Jeżeli wiadomość dotyczy rejestru, danych przedsiębiorcy, UBO, e-Doręczeń albo identyfikacji elektronicznej, trzeba wejść bezpośrednio na znany adres usługi, użyć zapisanej zakładki albo skorzystać z oficjalnej strony gov.pl. W firmie warto przekazać wiadomość do osoby odpowiedzialnej za relację z daną usługą.

Nie należy wysyłać dokumentów rejestrowych, skanów, danych właścicielskich, danych rachunku ani listy osób kontaktowych tylko dlatego, że wiadomość zawiera numer referencyjny lub termin odpowiedzi. Numer referencyjny może być losowy, a termin może służyć wyłącznie presji.

Co powinny zrobić IT, Security, administracja i compliance

Ten scenariusz wymaga współpracy kilku funkcji. IT i Security mogą blokować domeny i analizować linki, ale administracja, księgowość i compliance muszą wiedzieć, które rejestry są obsługiwane w firmie, kto ma do nich dostęp i jak wygląda prawdziwa procedura aktualizacji.

Warto przygotować prostą listę: oficjalne adresy usług, osoby odpowiedzialne, kanały logowania, zasady płatności i ścieżka zgłaszania podejrzanych wiadomości. Dla wspólnych skrzynek warto ustalić, że wiadomości o aktualizacji danych firmowych nie są obsługiwane przez pierwszą osobę, która je przeczyta.

SOC powinien traktować takie wiadomości jako potencjalne rozpoznanie przed BEC. Nawet jeśli użytkownik nie podał hasła, mógł ujawnić strukturę firmy, dane kontaktowe lub dokumenty, które później posłużą do bardziej precyzyjnego ataku.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik podał dane firmowe, trzeba ustalić zakres informacji: dane rejestrowe, osoby kontaktowe, rachunki, dokumenty, dane właścicielskie, loginy, hasła lub załączniki. Następnie należy ocenić, do czego te dane mogą zostać użyte.

Jeżeli podano dane logowania do usługi publicznej, banku, systemu firmowego lub identyfikacji elektronicznej, trzeba zmienić hasło, unieważnić sesje, sprawdzić metody MFA i historię logowań. Jeżeli usługa pozwala na pełnomocnictwa lub zmianę danych, trzeba sprawdzić, czy nie wprowadzono modyfikacji.

Jeżeli przesłano dokumenty lub dane osobowe, należy ocenić obowiązki zgłoszeniowe i ryzyko dla osób, których dane dotyczą. W przypadku podejrzenia BEC trzeba powiadomić finanse, księgowość i osoby decyzyjne, aby nie akceptowały zmian rachunków lub pilnych płatności bez dodatkowej weryfikacji.

Jak ćwiczyć ten scenariusz w awareness

Symulacja może wyglądać jak spokojny e-mail z rejestru przedsiębiorców. Nie musi zawierać groźby ani załącznika. Wystarczy prośba o aktualizację danych firmowych, numer referencyjny i termin.

W ćwiczeniu warto sprawdzić, czy odbiorca kliknie link, czy przekaże wiadomość do właściwej osoby, czy zgłosi ją do bezpieczeństwa i czy rozumie, że dane organizacyjne też są paliwem dla phishingu.

Ten scenariusz dobrze pasuje do testów dla administracji, księgowości, compliance, sekretariatów i właścicieli procesów. Jest mniej widowiskowy niż fałszywa faktura, ale często bardziej realistyczny.

Dane firmowe też są celem

Phishing nie zawsze zaczyna się od hasła albo płatności. Czasem zaczyna się od pozornie nudnej aktualizacji danych. Dla atakującego to może być pierwszy krok do oszustwa fakturowego, podszycia pod zarząd lub przejęcia relacji z kontrahentem.

Zasada na koniec: aktualizacje danych firmy wykonuj tylko w oficjalnym systemie otwartym znanym kanałem. Formularz z e-maila nie jest rejestrem przedsiębiorców.