Firmy by si mali dávať pozor na CEO fraud a invoice fraud

Autor Juraj Štefanovič november 2018 -
Firmy by si mali dávať pozor na CEO fraud a invoice fraud Pixabay

Kybernetickí zločinci stále hľadajú nové cesty, ako obrať firmy o peniaze. Využívajú nepozornosť zamestnancov firmy a nedokonalosť interných procesov.

Čo je teda „CEO fraud“? Je to forma podvodnej komunikácie, kedy sa podvodník vydáva za autoritu alebo vysokopostaveného predstaviteľa spoločnosti – generálneho riaditeľa, štatutára, spoločníka a podobne – a požaduje naliehavým spôsobom vykonať prevod finančnej sumy. Požiadavka sa javí ako legitímna, no v skutočnosti je jediným cieľom uviesť jej príjemcu do omylu a získať finančné prostriedky.

V prípade „invoice fraudu“ podvodníci vystupujú napríklad v mene dodávateľa a firme nahlásia zmenu svojho bankového účtu emailom, poštou alebo telefonicky. Prípadne môže ísť o urgentnú žiadosť o zaplatenie pohľadávky po lehote splatnosti. Podvodníci môžu tiež zachytiť originálne emailové správy, ktoré obsahujú faktúry a v nich zmeniť číslo účtu príjemcu alebo len pošlú falošnú faktúru s novými bankovými údajmi.

Dobre pripravené podvody

V oboch prípadoch pôsobia emaily dôveryhodne a sú formulované tak, aby vystavili príjemcu správy časovému stresu a zredukovali tak možnosť overenia správnosti požiadavky. Doména, z ktorej sú maily zasielané, je veľmi podobná originálnej doméne. Na rozdiel od bežného phishingu ide o emaily zasielané veľmi cielene danému príjemcovi s určitou znalosťou o fungovaní danej spoločnosti, napr. o osobách a útvaroch, ktoré môžu požadovaný prevod peňazí vykonať.

„Kybernetickí zločinci neustále hľadajú nové cesty, ako získať to, čo chcú. Pred útokmi si robia svoj prieskum s cieľom získať informácie o dodávateľoch, o organizačnej štruktúre firmy,“ vysvetľuje hovorkyňa ČSOB Anna Jamborová. „Navyše, prostredníctvom sociálnych sietí sa toho veľa dozvedia aj o samotných zamestnancoch. Hľadajú peniaze alebo citlivé informácie. Využívajú nepozornosť zamestnancov firmy alebo nedokonalosť interných procesov,“ dodáva.

Podľa hovorkyne sa sumy požadované v podvodných mailoch uvedených typov rádovo pohybujú tisícoch až desiatkach tisíc eur.

Opatrenia môže urobiť firma aj jej banka

Čo by mali príjemcovia robiť, keď im príde takýto email? Bezodkladne o tom informovať príslušného manažéra. Odporúča sa prehodnotiť, či ide o komunikáciu, ktorá svojím charakterom zapadá do bežnej praxe a či sa už podobná urgentná požiadavka v minulosti vyskytla. Niektoré banky vrátane ČSOB majú pre takéto prípady k dispozícii pre klientov aj emailovú adresu helpdesku alebo telefonickú infolinku, kam môžu podozrivé požiadavky nahlásiť.

A čo v prípade, ak firma zistí, že išlo o podvod až po odoslaní predmetnej úhrady na požadovaný účet? Mala by o tom neodkladne informovať tak banku, v ktorej má vedený účet, ako aj políciu, aby prijali všetky dostupné opatrenia. Mechanizmus ochrany je pri tomto type podvodov veľmi zložitý, nakoľko klient platbu riadne autorizuje a pošle. Preto je v tomto prípade obzvlášť dôležitá aj prevencia.

Aj vďaka edukácii si klienti na Slovensku už dávajú čoraz väčší pozor na phishingové podvody a podobné pokusy nahlasujú banke. Napriek tomu sa takéto udalosti stále objavujú, dokonca vo väčšom počte ako v minulosti. „Pokusy o tzv. CEO fraud alebo invoice fraud nie sú zatiaľ až také časté, no ich počet na Slovensku rastie a je nutné na ne upozorňovať,“ uvádza Anna Jamborová.

Juraj Štefanovič, PR špecialista ČSOB

Podvod typu CEO fraud

Varovné signály:

  1. Urgentnosť – expresná/urgentná/rýchla platba (platba ešte dnes);
  2. neobvyklá žiadosť v rozpore s internými predpismi;
  3. psychologický nátlak (dôležitosť, dôvernosť);
  4. neznámy účet príjemcu, väčšinou v zahraničí;
  5. CEO, Generálny riaditeľ je neprítomný (pracovná cesta, dovolenka).

Čo môžu urobiť spoločnosti:

  1. Informovať zamestnancov o týchto rizikách – najmä účtovné a finančné oddelenie;
  2. stanoviť si vnútorné postupy týkajúce sa zadávania platieb a pre overovanie príkazov zadávaných prostredníctvom e-mailu.

Čo môžu urobiť zamestnanci:

  1. Starostlivo kontrolovať emailové adresy pri žiadostiach o prevod prostriedkov;
  2. byť ostražití: pri požiadavkách na urgentné a dôverné platby, v prípadoch ktoré nie sú v súlade s internými postupmi a ak transakcie smerujú do krajín s ktorými spoločnosť neobchoduje;
  3. overiť si legitímnosť požiadavky / telefonicky / pomocou známeho kontaktného čísla.

Podvod typu invoice fraud

Varovné signály:

  1. Požiadavka o zmenu bankových údajov;
  2. neznámy účet príjemcu, väčšinou v zahraničí.

Čo môžu urobiť spoločnosti:

  1. Informovať svojich zamestnancov o týchto rizikách – najmä účtovné a finančné oddelenie;
  2. stanoviť si vnútorné postupy týkajúce sa zadávania platieb;
  3. skontrolovať verejne dostupné informácie o spoločnosti – hlavne o dodávateľoch, prípadne zverejnené zmluvy.

Čo môžu urobiť zamestnanci:

  1. Skontrolovať údaje v žiadosti a porovnať so staršími bankovými prevodmi, či sú informácie konzistentné – vrátane mena príjemcu, čísla účtu a mesta / krajiny, na ktoré boli uskutočnené predchádzajúce prevody;
  2. overovať všetky žiadosti od dodávateľov, najmä v prípadoch, ak ide o požiadavku na zmenu bankových údajov;
  3. nepoužívať kontaktné údaje z emailov požadujúcich zmenu a určiť si kontaktné osoby so spoločnosťami, s ktorými sú vykonávané pravidelné platby.

Partneri

fintech blackmarketingovoeducationliga proti rakovinegebruder weisswustenrotSOPKKK blue1