Biura rachunkowe i doradcy podatkowi

Jeden podrobiony mail wystarczy, by przekierować następny przelew Twojego klienta.

Biura rachunkowe mają finansowe klejnoty każdego klienta - numery kont, NIP-y, podpisane deklaracje, dostęp do ERP. Jedna skompromitowana skrzynka, jeden wystawiony udział plików, jedno wyciekłe hasło do ERP - i naruszenie nie należy do jednej firmy. Należy do dziesiątek. Znajdujemy te luki zanim zrobią to atakujący.

Zamów bezpłatny pre-skan

Szczera wersja

Dlaczego biura rachunkowe są celem o najwyższym ROI

To nie nasza opinia - to, co zgodnie pokazują roczny raport FBI IC35 i Verizon DBIR4: małe firmy usług profesjonalnych obsługujące pieniądze i dane klientów to najbardziej dochodowe cele zarówno dla operatorów BEC, jak i ransomware.

01

W dowolnym tygodniu masz dziesiątki przelewów w toku.

Business Email Compromise (BEC) to najbardziej zyskowny atak na małe firmy usług profesjonalnych - raporty FBI IC3 mierzą straty w miliardach dolarów rocznie, z których większość pochodzi z przekierowań przelewów. Twoja skrzynka e-mail to bankomat: jeden podrobiony wątek w trakcie transakcji i płatność klienta trafia na konto atakującego.

02

Twoje dane logowania odblokowują systemy finansowe klientów.

Masz dostęp delegowany do portali bankowych, systemów ERP (Comarch, Symfonia, Optima, SAP) i portali skarbowych każdego klienta. Jedno sphishowane hasło nie narusza jednej firmy - narusza każdą, której obsługę prowadzisz.

03

Sezon podatkowy to sztywny termin, który atakujący wykorzystują.

Ransomware w marcu albo październiku - w tygodniach, w których każdy klient ma ustawowe terminy składania - to kryzys bez luzu. Atakujący o tym wiedzą, odpowiednio ustalają moment żądania okupu i kalkulują jego wysokość według kosztu przekroczonych terminów Twoich klientów.

04

Z zewnątrz wyglądacie jak łatwy cel.

Większość małych i średnich biur rachunkowych używa serwera plików lub NAS z wieloletnimi danymi klientów, jakiegoś rozwiązania zdalnego dostępu dla wspólników i portali ERP w przeglądarce - zwykle bez poważnego utwardzenia perymetru. Dla atakującego skanującego Internet różnica między Wami a fintechiem jest ogromna.

Zakres oceny

Co sprawdzamy w Twoim biurze

Ekspozycja SMB / NAS (port 445)

Udziały plików lub urządzenia NAS z plikami podatkowymi klientów i historycznymi danymi dostępne z Internetu. Jeden wystawiony zasób to katastrofalne ryzyko - a skaner może go znaleźć w kilka minut.

Dane do ERP i bankowości w wyciekach

Hasła pracowników do Comarch, Symfonii, Optimy, SAP lub bankowości elektronicznej, które pojawiły się w bazach wycieków dark-webowych. Bezpośrednia ścieżka do przejęcia systemów finansowych - zwykle z hasła używanego również gdzie indziej.

Konfiguracja BEC / poczty

Audytujemy SPF, DKIM i DMARC Twojej domeny. Brakujące lub zbyt liberalne rekordy pozwalają atakującym wysyłać maile z Twojej nazwy firmy, które przechodzą wszystkie kontrole - otwarcie prawie każdego oszustwa przelewowego.

Bezpieczeństwo VPN i zdalnego dostępu

Bramy zdalnego pulpitu, koncentratory VPN, portale Citrix - sprawdzamy znane podatności CVE, domyślne i słabe hasła oraz ekspozycję na brute-force. Te trzy drogi dają atakującym większość ransomware w MSP.

Ekspozycja chmury

Źle skonfigurowane foldery OneDrive, SharePoint, Google Drive lub Dropbox udostępniające deklaracje klientów, umowy albo zeznania podatkowe do każdego-z-linkiem. Sprawdzamy, co jest indeksowalne, i zgłaszamy to zanim nazwisko klienta trafi do bazy wycieków.

Domeny lookalike i podszywanie

Szukamy niedawno zarejestrowanych domen podobnych do Twojej (twoja-firma-pl.com, twojafirma.co itp.) - standardowy pierwszy krok w budowie infrastruktury do ukierunkowanej kampanii BEC przeciwko Twoim klientom.

Realne koszty

Co naprawdę kosztuje naruszenie

Ryzyko utraty licencji1

Sankcje regulacyjne i zawodowe

Naruszenie danych finansowych klientów uruchamia postępowanie UODO - a w przypadku biura rachunkowego równoległe ryzyko sankcji ze strony SKwP / KRBR. Licencja i certyfikat PIB są na stole. Maksymalna kara to 20 mln € lub 4% obrotu (art. 83 RODO). Plus przegląd licencji.

Nieograniczone roszczenia

Odpowiedzialność cywilna wobec klientów

Klienci, których dane finansowe, NIP-y i numery kont wyciekniją, mogą dochodzić odszkodowań cywilnych. Ponieważ jedno naruszenie w biurze wystawia wszystkich klientów naraz, zagregowana odpowiedzialność potrafi przekroczyć sumę ubezpieczenia biura o rząd wielkości.

3,31 mln USD średnio2

Koszt incydentu

Dane IBM 2024 dla firm do 500 pracowników. Dla biura uderzonego w sezonie podatkowym praktyczny koszt bywa niższy na papierze, ale wyższy w utracie klientów - przekroczone terminy, odsetki przeniesione na klientów i umowy cicho przeniesione gdzie indziej w kolejnym kwartale.

Zobacz, jak wygląda prawdziwy raport

Tak wygląda raport pre-skanu dla biura rachunkowego

Zmieniona nazwa firmy i domena. Reszta to prawdziwy wynik - znaleziska, werdykt BEC / bezpieczeństwa poczty, lista wycieków danych logowania i priorytetyzowany plan działania, który Twój wspólnik zarządzający może przekazać informatykowi tego samego dnia.

Pobierz przykładowy raport (PDF) …albo pomiń i zamów własny pre-skan w 24 h

Dostarczamy

Co otrzymujesz

Każde biuro, które zamawia pełną ocenę, dostaje ten sam pakiet - bez poziomów, bez dosprzedaży, bez funkcji „tylko enterprise”.

  • Raport PDF w przystępnym języku (wersja angielska na życzenie) - gotowy dla zarządu
  • Pełna lista podatności z wynikami CVSS i prawdopodobieństwem eksploitacji
  • Audyt konfiguracji BEC / poczty: SPF, DKIM, DMARC i ryzyko podszywania pod domenę
  • Raport o wyciekach danych logowania skonfrontowany z bazami dark-webowymi
  • Mapa ekspozycji SMB, NAS i chmury - każdy folder, który widzi Internet
  • Priorytetyzowany plan naprawczy, który Twój informatyk lub firma IT wdroży bezpośrednio
  • 30-minutowa rozmowa podsumowująca - omawiamy znaleziska i odpowiadamy na pytania wspólników lub działu IT

Pytania od wspólników zarządzających

Obiekcje biur, odpowiedzi wprost

„Nasz informatyk mówi, że jest OK - po co druga opinia?”
Z tego samego powodu, dla którego księgi prowadzi jedna firma, a audyt robi inna. Twój informatyk konfiguruje i utrzymuje systemy - nie jest niezależnym audytorem własnej pracy. Pre-skan pokazuje, co widzi atakujący z zewnątrz, a to inne i bardziej adekwatne pytanie niż „czy mój informatyk ma porządek”.
„Obsługujemy dane klientów - czy da się to zrobić bez ich dotykania?”
Tak. Pre-skan jest wyłącznie zewnętrzny: pracujemy na informacjach publicznych i Twojej domenie. Nie logujemy się do Waszych systemów, nie dotykamy plików klientów i do startu nie potrzebujemy NDA (choć chętnie je podpiszemy, jeśli wolisz). Jeśli zaangażowanie się rozszerzy, podpisujemy pełną dokumentację poufności przed jakimkolwiek dostępem wewnętrznym.
„Kiedy najlepiej to zrobić - przed sezonem czy w trakcie?”
Zdecydowanie przed. Najgorszy moment na odkrycie krytycznej luki to drugi tydzień marca. Pre-skan w mniej gorących miesiącach (maj-wrzesień, listopad-luty) daje Twojemu informatykowi czas na naprawę bez ryzyka przekroczenia czyjegoś terminu.

Zamów bezpłatny pre-skan dla swojego biura

Wysyłasz nam swoją domenę. W ciągu 24 godzin mówimy, co widzi atakujący z zewnątrz. Jeśli nic poważnego - zatrzymujesz raport i znikamy. Jeśli coś poważnego - dostajesz propozycję o stałej cenie, bez presji i subskrypcji.

Zamów bezpłatny pre-skan

NDA dostępne przed rozpoczęciem. Bez dostępu do Twoich systemów na żadnym etapie.

Źródła

  1. 1RODO art. 83 - kary administracyjne (eur-lex.europa.eu)
  2. 2IBM Cost of a Data Breach Report 2024 (ibm.com/reports/data-breach)
  3. 3RODO art. 33 - 72-godzinne zgłoszenie naruszenia (eur-lex.europa.eu)
  4. 4Verizon Data Breach Investigations Report 2024 (verizon.com/dbir)
  5. 5FBI Internet Crime Complaint Center (IC3) Annual Report (ic3.gov)