Kradzież na prezesa

Lis 26th Kradzież na prezesa
Dodano niedziela 26th 9:26:00

Temat nie jest nowy i był już poruszany na naszym blogu to jednak warto się nad nim pochylić ponownie, gdyż skala problemu wzrasta w niepokojącym tempie. Według ostatnich statystyk Federalnego Biura Śledczego USA straty spowodowane oszustwem tego typu wzrosły o 1 300% licząc rok do roku. Jak widać prostota i skuteczność metody przyciąga coraz to nowych oszustów, którzy wciąż mogą liczyć na nieostrożne ofiary.

Scenariusz pozostaje podobny i nie odbiega od następującego schematu. Dyrektor finansowy (CFO) otrzymuje pilny email od prezesa swojej firmy, który akurat w tym czasie jest w podróży służbowej.  Treść brzmi: „Paweł, ustaliłem z dostawcą XYZ, że jak zamówimy towar do 12.00 to dostaniemy specjalną cenę, dlatego trzeba pilnie przelać 100 000 EUR na konto nr 1234567890. Teraz idę na spotkanie, więc proszę potwierdź wysłanie przelewu mailem. Z góry dzięki. Pod koniec dnia prezes wraca do biura i zadowolony dyrektor finansowy informuje, że wszystko jest w porządku i przelew został wysłany z samego rana. Na co prezes z niedowierzaniem pyta „o czym ty mówisz? Ja cię nie prosiłem o żaden transfer…!”.

Podczas oszustwa „na prezesa” czy „na dyrektora generalnego” (ang. business email compromise, CEO fraud, president fraud), przestępca podszywa się pod prezesa firmy i z jego (lub bliźniaczo podobnego) adresu email wysyła wiadomość-przynętę, w której nakazuje osobom odpowiedzialnym za finanse w firmie dokonać przelewu na podstawiony numer konta. Proceder jest tak skuteczny, gdyż jego ofiarą padają zazwyczaj firmy, które współpracują z zagranicznymi dostawcami i wykonują dziesiątki przelewów dziennie. Atak poprzedza zazwyczaj faza przygotowania, polegająca na zebraniu danych kontaktowych i informacji o ofiarach, uzyskanych za pomocą prześwietlenia internetu (przede wszystkim mediów społecznościowych, ale nie tylko), socjotechniki i złośliwego oprogramowania. Dzięki analizie pozyskanych informacji można odpowiednio „sprofilować” ofiarę i dostosować odpowiednio treść maila.

Zgodnie ze wspominanymi danymi FBI z 2016 roku, oszustwo „na prezesa” kosztowało 22 000 firm, które padły jego ofiarą ok. 3 mld USD. Nawiązując do tych informacji władze Citibanku określiły ten typ wyłudzenia mianem najniebezpieczniejszego obecnie oszustwa internetowego. Zagrożenie nie omija też naszego kraju. W lipcu tego roku przestępcy próbowali wyłudzić od krakowskich firm 985 tys. USD i 985 tys. EUR. Miesiąc wcześniej oszukano tą metodą kilka firm na Opolszczyźnie. Policja nie ujawniła wysokości strat.

Studiując przypadki ataków specjaliści wyróżnili kilka najczęściej pojawiających się typów modus operandi:

  • „jestem nieosiągalny” – schemat przedstawiony w anegdocie powyżej. Trzeba zrobić pilny przelew, a prezes jest nieosiągalny, więc nie można potwierdzić autentyczności prośby,
  • „mail direct billing” – prezes przesyła maila zawierającego dane do przelewu: kwotę, numer konta, kod SWIFT i zdawkowy komentarz, że transfer ma być wykonany natychmiast,
  • mail zawierający złośliwe oprogramowanie – prezes wysyła maila zawierającego załącznik z rzekomą fakturą. Po otwarciu infekuje stacje robocze w sieci złośliwym oprogramowaniem, które np. podmienia numer konta przy zlecaniu przelewu.

Kluczem do skuteczności oszustwa „na prezesa” jest wykorzystanie nazwiska i adresu e-mail prezesa, które mają potężny wpływ psychologiczny na pracowników. Idąc w parze tworzą one efekt autorytetu i autentyczności. Jeśli jesteś typowym pracownikiem, który chce osiągnąć sukces w miejscu pracy, w większości przypadków bardzo poważnie potraktujesz takie polecenie. W psychologii takie zjawisko nazywa się „tendencyjnością autorytetu”. Polega na przypisywaniu większej wagi do opinii lub próśb autorytetów, bez względu na treść. Dzięki temu takie wyłudzenia są szczególnie skuteczne i znacznie bardziej niebezpieczne niż inne rodzaje oszustw wykorzystujących system email.

Ze względu na ogromne znaczenie czynnika ludzkiego nie da się wykluczyć ryzyka związanego z CEO fraud. Jednak przez zastosowanie odpowiednich środków prewencyjnych można ograniczyć prawdopodobieństwo jego zaistnienia:

  • Najprostszy i najskuteczniejszy sposób – budowanie świadomości poprzez szkolenie pracowników (szczególnie pionów finansowych). Chyba nie trzeba nikogo przekonywać, że zdecydowanie trudniej „podejść” osobę świadomą zagrożenia i przestrzegającą dobrych praktyk poruszania się w sieci,
  • Dodatkowo, zarząd powinien wdrożyć sztywne procedury autoryzacji płatności wykorzystujące różne metody potwierdzenia tożsamości (np. kwoty przekraczające dany pułap bezwzględnie wymagają pisemnego lub ustnego zatwierdzenia).
  • Należy też rozważyć dodatkowe zabezpieczenia kont email, aby uniemożliwić ich użycie przez oszustów. Dobrym sposobem jest podwójne uwierzytelnianie (np. hasło + kod SMS) lub też dodatkowe klucze uwierzytelniające (np. Yubikey).

Zagrożeń w otoczeniu biznesowym jest coraz więcej. Przestępczość ekonomiczna w Polsce sięga po nowe, coraz bardziej wyszukane formy działania wykorzystując do tego Internet. Sprawdzoną metodą ograniczenia ryzyka jest wdrożenie odpowiednich zasad oraz narzędzi z zakresu bezpieczeństwa biznesu.

Secution Sp. z o.o

  • ul. Grzybowska 87
  • 00-844 Warszawa
  • NIP 5272776846

 

Newsletter

Materiały eksperckie będą wysyłane w cyklach miesięcznych. Zapraszamy.