Svarbu įvertinti riziką
„Swedbank“ pranešime spaudai rašoma, jog į įmones nusitaikę sukčiai stebina savo išradingumu, psichologinių žinių išmanymu, jie taip pat pasitelkia technologijas ir kruopščiai planuoja pinigų viliojimo taktikas. Pasak „Swedbank“ operacinės rizikos eksperto Mindaugo Montvilo, šiai rizikai Lietuvos įmonės kol kas skiria nepakankamai dėmesio.
„Įmonės turėtų susipažinti su sukčiavimo mechanizmo principais ir rizikų valdymu. Kuo daugiau darbuotojai žinos apie pasitaikančius apgavysčių atvejus ir kuo labiau perpras sukčių taikomus socialinės inžinerijos triukus, tuo mažiau šansų, kad patys įklius į spąstus“, – sako M.Montvilas.
Ekspertas pastebi, kad dažniausiai nuo sukčių nukenčia vidutinio dydžio ir didelės įmonės, kuriose dirba nuo keliasdešimt iki kelių šimtų darbuotojų. Pinigams išvilioti daugeliu atveju taikomos dviejų pagrindinių apgaulės schemų variacijos.
Populiariausia ‒ apsimesti verslo partneriais
Pasak M.Montvilo, pirminis sukčių tikslas dažnai būna įsibrauti į įmonės elektroninį susirašinėjimą su partneriais. Tada jie gali informuoti apie esą pasikeitusią tiekėjo ar partnerio banko sąskaitą ir paprašyti į nurodytą sąskaitą atlikti mokėjimo pavedimą. Apgavystė išaiškėja, kai pervesti pinigai tikrųjų įmonės partnerių nepasiekia.
Kuo daugiau darbuotojai žinos apie pasitaikančius apgavysčių atvejus ir kuo labiau perpras sukčių taikomus socialinės inžinerijos triukus, tuo mažiau šansų, kad patys įklius į spąstus
„Įsibraunama dažniausiai dviem būdais: įsilaužiant į įmonės pašto dėžutę arba siunčiant laišką iš labai panašaus elektroninio adreso. Pavyzdžiui, jame būna praleista viena raidė. Dėl budrumo ar laiko stokos kartais į tokias smulkmenas neatkreipiame dėmesio ir tuo sukčiai pasinaudoja“, – sako M.Montvilas.
Pasitaiko atvejų, kai nukenčiama ir dėl neatsakingo požiūrio į duomenų apsaugą. Pavyzdžiui, pasinaudojus viešai prieinamu kompiuteriu pamirštama išsiregistruoti iš asmeninės paskyros. Sukčiai gali prieiti prie susirašinėjimų, pasigilinti į kontekstą, pasinaudoti kontaktų sąrašu. Tokiu atveju prie anksčiau išsiųsto laiško su prašymu atlikti mokėjimo pavedimą nusikaltėliams gali užtekti pridėti patikslinimą: „pamiršau paminėti, kad mūsų banko sąskaita pasikeitė.“
Netikro vadovo laiškas ar skambutis
Kitas Lietuvoje populiarėjantis apgaulės būdas – imituojamas vadovo nurodymas. Šiuo atveju taip pat įsilaužiama į įmonės elektroninio pašto sistemą arba laiškas siunčiamas iš panašaus į vadovo elektroninio pašto. Nurodant atlikti skubų mokėjimo pavedimą arba siekiant išgauti svarbią informaciją, dažnai pasitelkiamos ir psichologinės priemonės. Pavyzdžiui, verčiama pažeisti vidines įmonės procedūras ir nederinti pavedimo su finansų vadovu.
Apgavystė išaiškėja, kai pervesti pinigai tikrųjų įmonės partnerių nepasiekia
„Swedbank“ operacinės rizikos ekspertas atkreipia dėmesį, kad šį pinigų išviliojimo modelį nusikaltėliai dažnai taiko paskambindami telefonu.
„Sukčiai sugeba įtikinamai apsimesti vadovu paskambinę telefonu. Pavyzdžiui, apsimetėlis iš neva motininės įmonės paskambina dukterinės įmonės Lietuvoje finansų vadovui arba buhalteriui. Gavę nurodymą iš neva korporacijos vadovo, darbuotojai puola vykdyti sukčių pavedimų“, – pastebi „Swedbank“ atstovas.
Kaip padidinti įmonės atsparumą?
Praktika rodo, kad atakos dažniausiai būna kruopščiai suplanuotos. Sukčiai iš anksto renka informaciją ir ruošia nusikaltimą. Viena iš priežasčių, kodėl įmonių darbuotojai įkliūna į pinkles, yra nepakankama vidinė drausmė ir kontrolės mechanizmo trūkumas.
„Dauguma paskutiniu metu įvykusių atakų demaskuoja kontrolinių patikrinimų įmonėse nesilaikymą. Pavyzdžiui, gavę informacijos apie pasikeitusią sąskaitą, darbuotojai neperskambina partneriams savo turimu kontaktu ir nepatikrina informacijos patikimumo. Be to, reikia turėti omenyje, kad du žmones apgauti visada sunkiau, todėl pravartu taikyti „keturių akių principą“, kai vienas asmuo inicijuoja mokėjimą, kitas jį turi patvirtinti ir tik tada atliekamas mokėjimo pavedimas“, – pataria M.Montvilas.
Darbuotojai taip pat turėtų atidžiai įvertinti susirašinėjimą, kuriame derinamos finansinio sandorio detalės – patikrinti, ar nepakeistas elektroninis adresas, ar nekelia įtarimo rašančiojo stilius. Kilus abejonėms, su partneriais reikėtų susisiekti savo turimais, o ne atsiųstame laiške nurodytais kontaktais.
Pasak eksperto, įvykus nusikaltimui kiekviena uždelsta minutė yra aukso vertės. Todėl įkliuvus į sukčių spąstus svarbu nedelsiant informuoti kitus įmonės darbuotojus, pranešti bankui ir policijai bei tos įmonės, kurios vardu buvo atliktas sukčiavimas, šalies policijai.