W ostatnich latach stale rośnie liczba cyberataków. Przestępcy nieustannie wymyślają nowe sposoby wykradania informacji i pieniędzy. Jednym z najnowszych zagrożeń jest oszustwo zwane „Business Email Compromise” lub „na prezesa”. Poszkodowanymi najczęściej bywają małe i średnie przedsiębiorstwa, które przez jeden fałszywy e-mail mogą stracić ogromne sumy pieniędzy.
Oszustwo typu „Business Email Compromise”
Powrót do strony Ochrona dla Twojej firmyNa czym polega oszustwo „Business Email Compromise”?
Oszust kieruje maila do zespołu płatności w danej firmie, podając się za kontrahenta, dostawcę, wierzyciela, a nawet członka dyrekcji. Odbiorca może odnieść wrażenie, że pisze do niego prezes firmy z prośbą o pilną płatność, albo dostawca podaje mu nowy numer rachunku, na który należy dokonywać dalszych przelewów. Często odbiorca jest proszony poprzez wiadomość e-mail o nieomawianie tej sprawy z innymi osobami.
Ponieważ e-mail nadawcy jest bardzo podobny do znanego adresu, ten rodzaj oszustwa często pozostaje niezauważony, dopóki nie jest za późno. Cyberprzestępcy mogą nawet włamać się na prawdziwe konto poczty elektronicznej, a wtedy trudno jest dopatrzyć się oszustwa.
„Business Email Compromise” w prawdziwym świecie
Firma amerykańska: 400 tys. dolarów straty
Zespół ds. płatności otrzymał e-mail od prezesa, który poprosił o dokonanie płatności na rzecz nowych odbiorców. Jeden z członków zespołu utworzył i autoryzował te płatności. Zanim zespół zorientował się, że adres, z którego otrzymał prośbę, nie był dokładnie taki sam jak adres prezesa, minęły dwa dni, a sprawca zdążył ukraść niemal 400 tys. dolarów.
Dostawca światowej platformy obrotu towarowego: 920 tys. funtów straty
Pracownik otrzymał e-mail od prezesa z prośbą o dokonanie płatności. Płatność została autoryzowana i dokonana przez dwóch innych uprawnionych pracowników. Pierwszy z nich nawet potwierdził konieczność dokonania płatności u prezesa. Później okazało się, że ktoś włamał się do poczty elektronicznej prezesa, a prezes i pracownik mówili o dwóch różnych płatnościach. Firma straciła 920 tys. funtów.
Ryzyko dla firmy
- Istotne straty finansowe
- Utrata reputacji
Jak uchronić firmę przed oszustwem „Business Email Compromise”?
- Upewnij się, że pracownicy obługi klientów są świadomi istnienia tego rodzaju oszustw.
- Wprowadź dwuetapowy proces weryfikacji płatności obejmujący sprawdzenie płatności inną drogą niż e-mail (np. przez telefon/SMS) z osobą wnioskującą o płatność.
- Na prośby otrzymywane w postaci wiadomości e-maile zawsze odpowiadaj korzystając z posiadanych danych teleadresowych, ale przy tym:
- nie odpowiadaj bezpośrednio na otrzymany e-mail;
- nie korzystaj z numerów telefonów ani innych danych kontaktowych podanych w wiadomości e-mail.
- Sprawdzaj adresy e-mail.
Coś, co na pierwszy rzut oka wygląda prawdziwie, może równie dobrze być oszustwem
Dowiedz się więcej
Phishing
Phishing to jedna z najpowszechniejszych form cyberataków. Wykorzystywane są tu e-maile, które często są przekonujące i sprawiają wrażenie wysyłanych przez rzetelnych nadawców. Wiadomości te zachęcają odbiorców do otwierania linków lub załączników, aby utorować przestępcom drogę do kradzieży lub oszustwa.
Oszustwa przez SMS i telefon
Wiadomości SMS i rozmowy telefoniczne mogą być wykorzystywane przez przestępców do kradzieży i oszustw. „Vishing” to rozmowy, podczas których ofiara jest nakłaniana do dokonania płatności lub podania ważnych danych finansowych pod pozorem wystąpienia nadzwyczajnej sytuacji. Wiadomości „smishingowe” mogą dodatkowo zachęcać odbiorcę do otwarcia złośliwego linku, który aktywuje wirusa typu koń trojański, kradnącego hasła i inne cenne dane.
Złośliwe oprogramowanie
Złośliwe oprogramowanie tworzone jest z myślą o zaszkodzeniu ofierze. Za cel obiera sobie zarówno użytkowników prywatnych, jak i firmy. Oprogramowanie może wykradać informacje, uszkadzać dane, przekierowywać na niechciane strony internetowe czy szpiegować działania w internecie. Coraz częściej zdarzają się ataki przekierowujące użytkowników bankowości internetowej do fałszywych serwisów.
