Materiał powstał we współpracy z mBankiem
Mało która firma nie doświadczyła jakiejkolwiek próby oszustwa, uderzenia w swoje sieci komputerowe czy pracowników. A zdarza się przecież, że nawet tego nie zauważyła... Jak wynika z danych KPMG, w 2022 r. minimum jedną próbę naruszenia bezpieczeństwa odnotowało 58 proc. polskich przedsiębiorstw, a wzrost natężenia oszukańczych działań zauważyło 33 proc. firm.
Na fakturę lub na prezesa
– Najpopularniejsze, a zarazem najgroźniejsze cyberoszustwa to te z wykorzystaniem socjotechnik. Oszuści polegają głównie na manipulacji płatnikiem, doprowadzają do tego, że ofiara sama wysyła pieniądze na konto wskazane przez oszustów – mówi Ewa Kultys, starsza specjalistka ds. bezpieczeństwa antyfraudowego w mBanku.
Jak informuje, najczęściej spotykane scenariusze to ataki typu BEC (Business E-mail Compromise). Oszuści wysyłają fałszywe faktury z podmienionym numerem rachunku. Liczą na to, że pracownik w firmie, który wprowadza zlecenia do systemu, nie zwróci uwagi na nowy rachunek odbiorcy i wykona transakcję wprost na konto oszustów. Cyberprzestępcy mogą też uzyskać dostęp do skrzynki mailowej jednej ze stron. Wchodzą wówczas w posiadanie informacji o kontrahentach firmy. Wtedy informują o rzekomej zmianie numeru rachunku do rozliczeń. – Ofiara, która potraktuje taką wiadomość jak wiarygodną informację, może zmodyfikować w systemie rachunek do rozliczeń z tym kontrahentem dla zarówno oczekujących, jak i nadchodzących płatności – tłumaczy Ewa Kultys.
Mniej spotykany, ale bardzo niebezpieczny scenariusz to oszustwo na prezesa – podszywanie się pod prezesa firmy. Potencjalnie każdy pracownik może się stać ofiarą. Oszust dzwoni lub pisze do konkretnego pracownika z niespodziewanym i bardzo pilnym poleceniem realizacji płatności, sfinalizowania aktualnego kontraktu lub opłacenia firmowych faktur. – Często prosi również o zachowanie poufności i nieinformowanie o tym fakcie innych pracowników. Sprytnie wykorzystany jest tu autorytet szefa oraz presja czasu. Ofiarom nie pozostawia się przestrzeni na analizę sytuacji i zastanowienie się nad jej wiarygodnością – mówi specjalistka z mBanku. A mało który pracownik oprze się poleceniu „prezesa”.
Przestępcy wysyłają też „na ślepo”, do wielu firm, pisma rzekomo np. od Głównego Urzędu Statystycznego czy urzędu patentowego. Podszywają się też pod funkcjonariuszy policji, przekonując pracownika, że wiedzą o planowanym ataku hakerskim na firmę i aby uratować jej pieniądze, trzeba je wpłacić na specjalne konto.
Bank pomaga, ale to firma ma się chronić
Jak podkreśla Ewa Kultys, w firmach kluczowe powinno być budowanie świadomości o zagrożeniach wśród pracowników oraz wdrażanie odpowiednich procedur wewnętrznych i dobrych praktyk. – Zalecamy, by wszelkie zmiany rachunków kontrahentów były weryfikowane i potwierdzane poprzez inny kanał kontaktu, np. telefonicznie. To prosty krok, który może uratować firmę przed stratą pieniędzy. W dodatku dyrektorzy czy prezesi powinni jasno zadeklarować, jakich poleceń pracownicy mogą się od nich spodziewać. W celu zwiększenia bezpieczeństwa firmowych finansów warto rozważyć wdrożenie procesu wieloosobowej autoryzacji szczególnie dla wysokokwotowych transakcji.
Działania firm wspiera także bank. – Jako mBank dokładamy wszelkich starań, aby zabezpieczyć klientów przed oszustwami. Prowadzimy stały i całodobowy monitoring transakcji naszych klientów. W przypadku wykrycia anomalii na rachunku możemy się skontaktować z klientem, aby potwierdzić zlecaną operację oraz dodatkowo wskazać na możliwe scenariusze oszustw, które podejrzewamy, oraz ustalić, w jaki sposób firma weryfikowała daną płatność. Jednak to firma jest odpowiedzialna za bezpieczeństwo swoich pieniędzy oraz dochowanie tzw. należytej staranności. Banki nie mają bezpośredniego wpływu na to, jakie procedury bezpieczeństwa i zabezpieczenia stosuje klient. – Możemy jedynie przekazywać odpowiednie rekomendacje i zalecenia dla firm, a nawet proponować szkolenia z zakresu bezpieczeństwa – podkreśla specjalistka z mBanku.
Oszuści, którzy próbują ataków na firmowe finanse, wykorzystują głównie socjotechnikę i polegają przede wszystkim na manipulacji płatnikiem, doprowadzają do tego, że ofiara sama wysyła firmowe pieniądze na konto podane przez oszustów. To człowiek jest najsłabszym ogniwem, które próbują zmanipulować lub złamać.
Ewa Kultys - Starsza specjalistka ds. bezpieczeństwa antyfraudowego w mBanku
Materiał powstał we współpracy z mBankiem
