Aké formy online podvodov ohrozujú najčastejšie podnikateľov a firmy? Ako sa môžeme brániť?

Akou najčastejšou formou podvodov sú ohrození podnikatelia a firmy?

Vojtěch Hájek: Najčastejšia forma podvodov sú tzv. „CEO fraudy“, kedy si najskôr podvodníci zistia informácie o fungovaní spoločnosti – kto je majiteľ/konateľ a kto vykonáva úhrady faktúr (napr. účtovník). Následne podvodníci zo sfalšovanej emailovej adresy (ktorá vyzerá rovnako alebo veľmi podobne ako emailová adresa manažéra) zasielajú žiadosť na účtovníka o urgentné zadanie platby do banky podľa inštrukcií v emaile.

Zaznamenali sme aj prípady, keď sa útočníkovi podarilo preniknúť do emailovej komunikácie medzi dodávateľom a odberateľom. V príhodný okamih potom útočník komunikáciu pozmenil - nahradil zaslanú faktúru vlastnú, kde bolo uvedené iné bankové spojenie s informáciou, že došlo k zmene. Jednoduchšia verzia je, keď podvodník iba zašle falošnú faktúru a čaká, či ju spoločnosť zaplatí.

Ľubica Sobihardová: Nabúranie sa do mailovej komunikácie s obchodnými partnerom (náhla zmena bankového účtu partnera); CEO/CFO fraud - sfalšovaný naliehavý mail od autority vo firme požadujúci vykonanie platobnej transakcie v čo najkratšej dobe; SMS/maily informujúce o tom, že účet/počítač je v ohrození alebo bol napadnutý.

Jaroslav Oster: Ak sa bavíme výslovne o podvodných aktivitách tak z mojich skúseností je to najmä zavlečenie infiltrácie, ktorá zašifruje používateľské dáta – za dešifrovanie požaduje následne útočník „výpalné“ (aktuálne často kombinované aj s odcudzením dát. Ale foriem s ktorými sa stretáva podnikateľský svet (nie len) je mnoho a vymenovať ich je nad rámec jedného rozhovoru.

Existuje prevencia?

Vojtěch Hájek: Základom prevencie je overovať zmeny bankového spojenia nezávislým kanálom (napr. telefonicky), že zmenu skutočne uskutočnil dodávateľ, prípadne že danú faktúru vôbec vystavil.

Aby podnikateľ alebo firma predchádzala týmto situáciám, kedy útočník pozmení emailovú komunikáciu a odberateľ túto podvodnú zmenu nerozpozná, je možné emaily vymieňané s protistranou šifrovať alebo podpisovať pomocou elektronického certifikátu.

Jaroslav Oster: Existuje, témou na diskusiu je jej účinnosť. V téme manipulatívnych podvodov sú základným stavebným kameňom prevencie vedomosti a skúsenosti. Každý používateľ IKT by mal mať základné vedomosti o potenciálnych rizikách a spôsobe ako im predchádzať. Samozrejme za tým nasleduje rad technologických opatrení, ktoré sú dnes nevyhnutnou súčasťou riadenia rizík v akomkoľvek type organizácie.

Čo môžem vo svojej firme urobiť, aby som znížil riziko?

Vojtěch Hájek: Používať sedliacky rozum, ak sa mi niečo nezdá, tak si to overiť. Je potrebné si všímať, či text emailu zodpovedá bežnej komunikácii (spôsob oslovenia, spôsob vyjadrovania, podpis emailu). Nastaviť si pravidlá vopred, aby bolo jasné, ako postupovať. Pokiaľ dorazí neočakávaná faktúra alebo dôjde k zmene bankového spojenia – akým spôsobom prebehne overenie skutočnosti – napr. telefonickým zavolaním protistrane (ale nie na telefónne číslo uvedené na faktúre).

Ľubica Sobihardová: Venovať pozornosť vzdelávaniu seba a svojich zamestnancov v oblasti digitálnej bezpečnosti; Nastaviť si limity na maximálne prevody realizované jednou osobou/v rámci dňa/jednou transakciou; Byť prirodzene obozretný v prípade náhlej zmeny čísla účtu, naliehavosti druhej strany - overiť si tieto fakty nezávislým spôsobom (telefonické kontaktovanie obch. partnera, nadriadeného, majiteľa).

Jaroslav Oster: V prvom rade spoznať riziká. Zrealizovať niečo, čo sa v odbornej terminológií nazýva analýza rizík. A na základe takéhoto prehľadu „čo nám hrozí“ prijať opatrenia na to, aby sme toto riziko znížili. Minimálna úroveň čo môže každá firma nezávisle na veľkosti urobiť ihneď je hľadať cesty, aby za zamestnanci mohli v problematike rizík zorientovať.

Nie sú ohrozené napríklad aj platformy pre tímovú spoluprácu?

Vojtěch Hájek: Nemyslím si, že by boli ohrozené platformy pre tímovú spoluprácu, ale aj tu môže dochádzať k podvodnému konaniu. Stretli sme sa s prípadom, keď CEO spoločnosti bol oslovený (falošným) CEO celej skupiny s informáciou, že prebehne veľmi utajovaná akvizícia novej spoločnosti.

Následne mal prebehnúť video-konferenčný hovor za prítomnosti poradenskej spoločnosti a právnikov, kde sa mal diskutovať ďalší postup. Pokiaľ CEO nepozná osobne jednotlivých účastníkov a neoverí si nezávisle daný prípad, môže útočníkom podľahnúť. Predpokladáme, že cieľom malo byť presvedčiť lokálneho CEO, aby previedol finančné prostriedky s plánovanou akvizíciou.

Ľubica Sobihardová: Aj tu platí základné pravidlo - narábať s citlivými údajmi tak, aby k nim mali prístup iba oprávnené osoby.

Jaroslav Oster: Tieto platformy sú témou samou o sebe. Ich nesprávne používanie je samozrejme rizikom. Príkladom môžu byť prípady zo začiatku pandémie kedy školstvo nabiehalo na hromadné využívanie týchto platforiem pri zabezpečovaní diaľkového vyučovania. Často nesprávne zavedenie do vyučovacieho procesu, používanie spojené s ignorovaním základných bezpečnostných zásad boli zdrojom radu incidentov.

Sú online podvody významný ekonomický problém?

Vojtěch Hájek: Online podvody (ich počty a objemy škôd) neustále narastajú. Likvidačné môžu byť ako pre jednotlivcov (kedy môžu prísť nielen o svoje úspory, ale útočník si napr. môže v mene podvedeného požiadať aj o úver), tak aj pre spoločnosti (úhrada podvrhnutej faktúry vo významnej sume).

Aby dochádzalo k obmedzeniu finančných podvodov, je priebežne aktualizovaná a doplňovaná ako regulácia, tak sú posilňované mechanizmy v jednotlivých bankách i úradoch (napr. Finančný analytický úrad, Finančná spravodajská jednotka) najmä v oblasti prania špinavých peňazí. Kľúčová rola je ale stále na používateľoch, aby podvod dokázali rozpoznať a podvodníkom odolať.

Ľubica Sobihardová: Online je dobrý sluha, ale zlý pán. - Bežný občan môže prísť o všetky svoje financie resp. aj iný majetok; Firma môže utrpieť významné finančné škody vedúce k dočasnej, ale v mnohých prípadoch aj k trvalej platobnej neschopnosti a krachu.

Jaroslav Oster: Sú vážnym ekonomickým problémom s ktorým sa borí a hľadá efektívne riešenia celý svet. Len pre ilustráciu – na podvodoch nazvaných Romance Scam (útočník kontaktuje potenciálnu obeť, vytvorí často veľmi dôverný vzťah zameraný na získanie finančnej pomoci, pôžičky, spoločnej investície od obete) podľa odhadov Federálnej obchodnej komisie USA len na území USA narástol objem strát spôsobených týmto podvodom medziročne o 80 percent (2020: 307 miliónov USD – 2021: 547 miliónov USD).

Celá diskusia o online podvodoch, manipulácii, prevencii a o tom, aká je podstata phishingových útokov:

Jiří Ščobák

Tvorca diskusných webinárov a rozhovorov o finančnej gramotnosti. Organizátor súťaže finančných produktov Zlatá minca. Zakladateľ najväčšej slovenskej facebookovej skupiny o financiách.

Upozornenie

Upozornenie: Redakcia sa nemusí stotožňovať s názorom autora