Čo je teda „CEO fraud“? Je to forma podvodnej komunikácie, kedy sa podvodník vydáva za autoritu alebo vysokopostaveného predstaviteľa spoločnosti – generálneho riaditeľa, štatutára, spoločníka a podobne – a požaduje naliehavým spôsobom vykonať prevod finančnej sumy. Požiadavka sa javí ako legitímna, no v skutočnosti je jediným cieľom uviesť jej príjemcu do omylu a získať finančné prostriedky.
V prípade „invoice fraudu“ podvodníci vystupujú napríklad v mene dodávateľa a firme nahlásia zmenu svojho bankového účtu emailom, poštou alebo telefonicky. Prípadne môže ísť o urgentnú žiadosť o zaplatenie pohľadávky po lehote splatnosti. Podvodníci môžu tiež zachytiť originálne emailové správy, ktoré obsahujú faktúry a v nich zmeniť číslo účtu príjemcu alebo len pošlú falošnú faktúru s novými bankovými údajmi.
Dobre pripravené podvody
V oboch prípadoch pôsobia emaily dôveryhodne a sú formulované tak, aby vystavili príjemcu správy časovému stresu a zredukovali tak možnosť overenia správnosti požiadavky. Doména, z ktorej sú maily zasielané, je veľmi podobná originálnej doméne. Na rozdiel od bežného phishingu ide o emaily zasielané veľmi cielene danému príjemcovi s určitou znalosťou o fungovaní danej spoločnosti, napr. o osobách a útvaroch, ktoré môžu požadovaný prevod peňazí vykonať.
„Kybernetickí zločinci neustále hľadajú nové cesty, ako získať to, čo chcú. Pred útokmi si robia svoj prieskum s cieľom získať informácie o dodávateľoch, o organizačnej štruktúre firmy,“ vysvetľuje hovorkyňa ČSOB Anna Jamborová. „Navyše, prostredníctvom sociálnych sietí sa toho veľa dozvedia aj o samotných zamestnancoch. Hľadajú peniaze alebo citlivé informácie. Využívajú nepozornosť zamestnancov firmy alebo nedokonalosť interných procesov,“ dodáva.
Podľa hovorkyne sa sumy požadované v podvodných mailoch uvedených typov rádovo pohybujú tisícoch až desiatkach tisíc eur.
Opatrenia môže urobiť firma aj jej banka
Čo by mali príjemcovia robiť, keď im príde takýto email? Bezodkladne o tom informovať príslušného manažéra. Odporúča sa prehodnotiť, či ide o komunikáciu, ktorá svojím charakterom zapadá do bežnej praxe a či sa už podobná urgentná požiadavka v minulosti vyskytla. Niektoré banky vrátane ČSOB majú pre takéto prípady k dispozícii pre klientov aj emailovú adresu helpdesku alebo telefonickú infolinku, kam môžu podozrivé požiadavky nahlásiť.
A čo v prípade, ak firma zistí, že išlo o podvod až po odoslaní predmetnej úhrady na požadovaný účet? Mala by o tom neodkladne informovať tak banku, v ktorej má vedený účet, ako aj políciu, aby prijali všetky dostupné opatrenia. Mechanizmus ochrany je pri tomto type podvodov veľmi zložitý, nakoľko klient platbu riadne autorizuje a pošle. Preto je v tomto prípade obzvlášť dôležitá aj prevencia.
Aj vďaka edukácii si klienti na Slovensku už dávajú čoraz väčší pozor na phishingové podvody a podobné pokusy nahlasujú banke. Napriek tomu sa takéto udalosti stále objavujú, dokonca vo väčšom počte ako v minulosti. „Pokusy o tzv. CEO fraud alebo invoice fraud nie sú zatiaľ až také časté, no ich počet na Slovensku rastie a je nutné na ne upozorňovať,“ uvádza Anna Jamborová.
Juraj Štefanovič, PR špecialista ČSOB
Podvod typu CEO fraud
Varovné signály:
- Urgentnosť – expresná/urgentná/rýchla platba (platba ešte dnes);
- neobvyklá žiadosť v rozpore s internými predpismi;
- psychologický nátlak (dôležitosť, dôvernosť);
- neznámy účet príjemcu, väčšinou v zahraničí;
- CEO, Generálny riaditeľ je neprítomný (pracovná cesta, dovolenka).
Čo môžu urobiť spoločnosti:
- Informovať zamestnancov o týchto rizikách – najmä účtovné a finančné oddelenie;
- stanoviť si vnútorné postupy týkajúce sa zadávania platieb a pre overovanie príkazov zadávaných prostredníctvom e-mailu.
Čo môžu urobiť zamestnanci:
- Starostlivo kontrolovať emailové adresy pri žiadostiach o prevod prostriedkov;
- byť ostražití: pri požiadavkách na urgentné a dôverné platby, v prípadoch ktoré nie sú v súlade s internými postupmi a ak transakcie smerujú do krajín s ktorými spoločnosť neobchoduje;
- overiť si legitímnosť požiadavky / telefonicky / pomocou známeho kontaktného čísla.
Podvod typu invoice fraud
Varovné signály:
- Požiadavka o zmenu bankových údajov;
- neznámy účet príjemcu, väčšinou v zahraničí.
Čo môžu urobiť spoločnosti:
- Informovať svojich zamestnancov o týchto rizikách – najmä účtovné a finančné oddelenie;
- stanoviť si vnútorné postupy týkajúce sa zadávania platieb;
- skontrolovať verejne dostupné informácie o spoločnosti – hlavne o dodávateľoch, prípadne zverejnené zmluvy.
Čo môžu urobiť zamestnanci:
- Skontrolovať údaje v žiadosti a porovnať so staršími bankovými prevodmi, či sú informácie konzistentné – vrátane mena príjemcu, čísla účtu a mesta / krajiny, na ktoré boli uskutočnené predchádzajúce prevody;
- overovať všetky žiadosti od dodávateľov, najmä v prípadoch, ak ide o požiadavku na zmenu bankových údajov;
- nepoužívať kontaktné údaje z emailov požadujúcich zmenu a určiť si kontaktné osoby so spoločnosťami, s ktorými sú vykonávané pravidelné platby.
