To sú typické príklady tzv. CEO fraudu a Invoice fraudu, ktoré sa objavujú čoraz častejšie už aj na Slovensku. ČSOB upozorňuje firmy, aby v takýchto prípadoch postupovali obzvlášť opatrne a o podobných pokusoch informovali aj svoju banku.
„Sme radi, že aj vďaka edukácii si klienti na Slovensku dávajú čoraz väčší pozor na tzv. phishingové podvody a podobné pokusy nahlasujú banke. Pokusy o tzv. CEO fraud alebo Invoice fraud nie sú zatiaľ až také časté, no ich počet na Slovensku stúpa a je nutné na ne upozorňovať. Sumy požadované v takýchto podvodných mailoch sú vysoké, rádovo sa pohybujú tisícoch až desať tisícoch eur,“ uvádza hovorkyňa ČSOB Anna Jamborová.
Podvodná komunikácia
Čo je teda „CEO fraud“? Je to forma podvodnej komunikácie, kedy sa podvodník vydáva za autoritu alebo vysoko postaveného predstaviteľa spoločnosti (generálneho riaditeľa, štatutára, spoločníka spoločnosti a pod.) a požaduje naliehavým spôsobom vykonať prevod finančnej čiastky. Požiadavka sa javí ako legitímna, no v skutočnosti je jediným cieľom uviesť jej príjemcu do omylu a získať finančné prostriedky.
V prípade „Invoice fraudu“ podvodníci vystupujú napríklad v mene dodávateľa a firme nahlásia zmenu svojho bankového účtu emailom, poštou alebo telefonicky. Prípadne môže ísť o urgentnú žiadosť o zaplatenie pohľadávky po lehote splatnosti. Podvodníci môžu tiež zachytiť originálne emailové správy, ktoré obsahujú faktúry a v nich zmeniť číslo účtu príjemcu alebo len pošlú falošnú faktúru s novými bankovými údajmi.
V oboch prípadoch pôsobia emaily dôveryhodne a sú formulované tak, aby vystavili príjemcu správy pod časový stres a zredukovali tak možnosť overenia správnosti požiadavky. Doména, z ktorej sú maily zasielané, je veľmi podobná originálnej doméne. Na rozdiel od bežného phishingu ide o emaily zasielané veľmi cielene danému príjemcovi s určitou znalosťou o fungovaní danej spoločnosti, napr. o osobách a útvaroch, ktoré môžu požadovaný prevod peňazí vykonať.
Nepozornosť zamestnancov
„Kybernetickí zločinci neustále hľadajú nové cesty, ako získať to, čo chcú. Pred útokmi si robia svoj prieskum, s cieľom získať informácie o dodávateľoch, o organizačnej štruktúre firmy. Navyše, prostredníctvom sociálnych sietí sa toho naozaj veľa dozvedia aj o samotných zamestnancoch. Hľadajú peniaze alebo citlivé informácie. Využívajú nepozornosť zamestnancov firmy alebo nedokonalosť interných procesov,“ dodáva Jamborová.
Čo by mali príjemcovia takejto správy robiť, keď im príde takýto email? Bezodkladne o tom informovať svojho manažéra. Odporúčame prehodnotiť, či ide o komunikáciu, ktorá svojím charakterom zapadá do bežnej praxe, a či sa už podobná urgentná požiadavka vyskytla v minulosti.
A čo v prípade, ak firma zistí, že išlo o podvod až po odoslaní predmetnej čiastky na požadovaný účet? Mala by o tom bezodkladne informovať tak banku, v ktorej má vedený účet, ako aj políciu, aby prijali všetky dostupné opatrenia. Mechanizmus ochrany je pri tomto type podvodov veľmi zložitý, nakoľko klient platbu riadne autorizuje a pošle, preto je prevencia v tomto prípade obzvlášť dôležitá.