CEO fraud ir sąskaitų klastojimas: realūs pavyzdžiai
CEO fraud (Business Email Compromise) — tai tikslinė ataka, kai sukčius apsimeta vadovu, tiekėju ar buhalteriu, kad priverstų atlikti mokėjimą ar pakeisti sąskaitos rekvizitus. Kadangi laiške dažnai nėra nei nuorodos, nei priedo, techniniai filtrai jos nesustabdo — apsaugo tik procesai (patvirtinimas kitu kanalu) ir budrūs finansų darbuotojai.
CEO fraud ir sąskaitų klastojimas (angl. Business Email Compromise, BEC) — tai tikslinė sukčiavimo forma, kai užpuolikas apsimeta vadovu, tiekėju ar buhalteriu ir bando priversti darbuotoją atlikti mokėjimą arba pakeisti sąskaitos rekvizitus. Skirtingai nuo masinio phishing, čia dažnai nėra nei nuorodos, nei priedo — tik įtikinamas tekstas. Todėl daugelis techninių filtrų tokių laiškų nesustabdo, o žala būna didelė, nes kalba eina apie realius pinigų pervedimus.
Kaip atrodo tipinės schemos
Pavyzdys 1: skubus vadovo prašymas
Buhalterė gauna laišką neva nuo direktoriaus: „Esu susitikime, negaliu kalbėti telefonu. Reikia skubiai pervesti 8 400 EUR naujam partneriui, rekvizitai priede. Sutvarkyk iki 15 val., paskui paaiškinsiu." Adresas panašus į tikrąjį, tonas autoritetingas ir skubus. Spaudimas ir baimė nuvilti vadovą išjungia įprastą patikrą.
Pavyzdys 2: pasikeitę tiekėjo rekvizitai
Ilgametis tiekėjas „praneša", kad pasikeitė banko sąskaita: „Nuo šio mėnesio prašome mokėti į naują sąskaitą." Laiškas ateina įprastos sąskaitos gavimo metu, todėl atrodo natūralus. Realybėje sukčius arba klastoja adresą, arba jau yra įsilaužęs į tiekėjo paštą. Kitas mokėjimas iškeliauja apgavikui.
Pavyzdys 3: dovanų kortelių prašymas
„Vadovas" prašo darbuotojo skubiai nupirkti dovanų korteles klientams ir atsiųsti jų kodus. Suma neatrodo didelė, prašymas asmeniškas, o darbuotojas nori padėti. Kodai, kartą atsiųsti, nebeatšaukiami.
Kodėl šios atakos tokios sėkmingos
- checkAutoritetas: prašymas neva iš vadovo, todėl vengiama klausti ir tikrinti.
- checkSkuba: „iki šiandien", „dabar susitikime" neleidžia sustoti ir pagalvoti.
- checkKontekstas: laiškas ateina tuo metu, kai toks prašymas atrodo logiškas (mokėjimų diena, sąskaitos gavimas).
- checkNėra techninių požymių: dažnai jokios nuorodos ar priedo, todėl filtrai praleidžia.
- checkTyrimas iš anksto: užpuolikai stebi įmonės struktūrą socialiniuose tinkluose ir svetainėje.
Kaip apsisaugoti: procesai
Nuo CEO fraud stipriausiai apsaugo ne technologija, o aiškios mokėjimų taisyklės, kurių laikomasi be išimčių, net kai spaudžia skuba.
- checkAntrojo kanalo patvirtinimas: bet koks mokėjimas ar rekvizitų pakeitimas patvirtinamas telefonu ar gyvai, ne el. paštu.
- checkDviejų asmenų taisyklė didesniems pervedimams: tvirtina du žmonės.
- checkFiksuota rekvizitų keitimo tvarka: pasikeitusi tiekėjo sąskaita tikrinama žinomu, ne iš laiško paimtu numeriu.
- checkAiškus leidimas klausti: darbuotojas turi jaustis saugus perklausti vadovą, net jei prašymas atrodo skubus.
- checkRiboti viešai skelbiamą informaciją apie finansų darbuotojus ir vidines procedūras.
Kaip apsisaugoti: žmonės
Procesai veikia tik tada, kai darbuotojai atpažįsta pavojų ir nebijo stabtelėti. Būtent finansų, buhalterijos ir vadovų asistentų rolės turėtų būti mokomos su tikslingais CEO fraud scenarijais. Saugios simuliacijos, atkartojančios būtent tokį „skubų vadovo prašymą", parodo, kas užkimba, dar prieš tai atsitinkant realiai.
Ką daryti įvykus incidentui
Jei mokėjimas jau atliktas, veikite greitai: nedelsdami skambinkite savo bankui ir prašykite stabdyti ar atšaukti pervedimą, informuokite vadovybę ir kreipkitės į policiją. Kuo greičiau reaguojama, tuo didesnė tikimybė susigrąžinti lėšas. Vėliau peržiūrėkite, kuriame procese atsirado spraga, ir sustiprinkite patvirtinimo tvarką.
Dažni klausimai
Kuo CEO fraud skiriasi nuo paprasto phishing?add
Paprastas phishing dažniausiai turi nuorodą ar priedą ir siunčiamas masiškai. CEO fraud yra tikslinis, dažnai be nuorodos — vien įtikinamu tekstu siekiama išgauti mokėjimą ar rekvizitų pakeitimą, todėl techniniai filtrai jį sunkiau pagauna.
Kaip patikrinti skubų vadovo prašymą pervesti pinigus?add
Visada patvirtinkite kitu kanalu — paskambinkite vadovui žinomu numeriu arba pasitikslinkite gyvai. Niekada nesiremkite vien el. laišku, net jei adresas atrodo teisingas.
Tiekėjas atsiuntė naujus rekvizitus — ką daryti?add
Nekeiskite mokėjimo duomenų vien pagal laišką. Susisiekite su tiekėju anksčiau žinomu kontaktu ir patvirtinkite pakeitimą, nes jo paštas galėjo būti nulaužtas.
Ką reiškia BEC?add
BEC yra Business Email Compromise — verslo el. pašto kompromitavimas. Tai platesnis pavadinimas atakoms, kur apsimetama vadovu ar partneriu, siekiant išgauti mokėjimą arba pakeisti rekvizitus. CEO fraud yra viena BEC formų.
Jau pervedėme pinigus sukčiams — ką daryti pirmiausia?add
Nedelsdami skambinkite savo bankui ir prašykite stabdyti ar atšaukti pervedimą, informuokite vadovybę ir kreipkitės į policiją. Kuo greičiau reaguojama, tuo didesnė tikimybė susigrąžinti lėšas.