Igaz, ez még egy tavalyi akció volt, de érdekes példa nem csak arra, hogy leggyakrabban az ember a leggyengébb láncszem, hanem arra is, hogy a vállalati incidens alkalmával nem csak céges károkozás lehet a kockázat, hanem a dolgozók közvetlenül is elszenvedhetnek veszteségeket.

Tavaly, 2024. októberében történt célzott adathalász támadás a hadiipari General Dynamics cégnél, ahol a személyzet tagjai közül tucatnyian bedőltek egy ilyen megtévesztésnek. Egy csaló reklámkampánnyal összesen 37 dolgozót húztak csőbe a bűnözők, akik aztán az ellopott bejelentkezési információk segítségével illetéktelenül hozzáfértek az alkalmazottak munkavállalói fiókjaihoz.

Itt egy külső szolgáltató olyan személyes adatokat kezelt, mint a nevek, születési dátumok, állampolgári azonosító számok, társadalombiztosítási számok, bankszámlaadatok és egészségügyi állapot.

A General Dynamics beszámolója szerint a támadók bizonyos esetekben megváltoztatták a bankszámlaadatokat a feltört fiókokban, ami a fizetések folyósításánál komoly gondot okozhatott volna. Ezeknek a babrált fiókoknak a tulajdonosait külön is értesítették október 10-én, emellett a cég figyelmeztető leveleket postázott az incidens összes érintettjének.

A hivatalos nyilatkozat szerint a rendelkezésre álló bizonyítékok azt mutatják, hogy az eredetileg október 1-én történt incidens során egyetlen munkavállalót sem ért ezzel kapcsolatosan közvetlen kár. A cég saját vállalati hálózatait a támadás állítólag közvetlenül nem érintette.

A vállalat most két év ingyenes banki monitoringot biztosít az adathalászat miatt veszélyeztetett dolgozóknak, amely az ellopott banki azonosítókkal történő esetleges visszaéléseket lehet észlelni.

Sajnos az látszik, hogy az adathalászatnak még mindig rengetegen bedőlnek: nem gondolkodnak kattintás előtt, nem ellenőrzik a link hivatkozásokat, emiatt ez a legnépszerűbb támadási forma. A rendszeres biztonságtudatossági képzés pedig kulcsfontosságú lenne a vállalati szférában.