„Nusikaltėlių taikiniu įmonės tampa taip pat dažnai kaip ir privatūs klientai. Piktadariai supranta, kad įmonių sąskaitose galima rasti didesnį grobį, todėl šioje srityje jie veikia atkakliau ir pasitelkia platų įvairių priemonių ir sukčiavimo technikų arsenalą. Sukčiai nuolat atakuoja organizacijas įvairiais būdais, siekdami išvilioti jautrius duomenis ar tiesiog iškart pasisavinti pinigus.
Dirbtinis intelektas sukčių rankose tampa grėsmingu įrankiu, todėl ir įmonės turėtų stiprinti atsparumą ir investuodamos į informacinės saugos sistemas, ir nuolat šviesdamos savo darbuotojus. Praktika rodo, kad žmogiškasis veiksnys dažniausiai yra silpniausia sistemos grandis. Daugiausia sukčiavimo bandymų būna nukreipta į darbuotojus“, – teigia Daiva Uosytė, SEB banko Prevencijos departamento direktorė.
D.Uosytė atkreipia dėmesį, kad viliodami į pinkles privačius asmenis sukčiai beveik visada apsvarsto galimybes pasiekti ir įmones, kuriose dirba potencialios aukos. Pasitaiko atvejų, kai fiziniai asmenys apgavikams suteikia prieigą ir prie savo asmeninių sąskaitų, ir prie įmonių, kuriose yra atsakingi už mokėjimus.
SEB banko Lietuvoje duomenimis, per nepilnus aštuonis šių metų mėnesius sukčiai iš įmonių pasisavino beveik 978 tūkst. eurų – daugiau negu dešimtadaliu (apie 12 proc.) didesnę sumą už tą, kurios banko verslo klientai dėl sukčių neteko per visus 2023 metus.
Sukčiai išnaudoja ir technologijas, ir emocijas
Nusikaltėliai sugeba pasitelkti vaizdo ir garso įrašų klastotes, kad paveiktų asmenis, kurie įmonėje atsakingi už mokėjimus. Taip pat apgavikai stengiasi sukelti emocijas, kad aukos priimtų spontaniškus, neapgalvotus sprendimus ir suteiktų prieigą prie mokėjimo duomenų ir sąskaitų, kurias kėsinamasi apvogti.
„Todėl kartais kaip geriausias saugiklis suveikia laikas, skirtas emocijoms nurimti ir pasitikrinti, ar sukčių nupiešta situacija atitinka tikrovę“, – pastebi D.Uosytė. Laimėti laiko ir atidžiau patikrinti situaciją padeda sukčiavimo prevencijos mechanizmai, kuriuos taiko SEB bankas ir kitos finansų institucijos Lietuvoje. Šių mechanizmų paskirtis – apsaugoti verslo ir privačių klientų lėšas. Todėl kai kurios mokėjimo operacijos gali būti net sustabdomos, jei yra požymių, kad pinigai gali nukeliauti į sukčių sąskaitas.
Vis dėlto, pasak ekspertės, sukčiavimo prevencijos mechanizmai gali nesuveikti, jeigu įmonės darbuotojas aklai laikosi apgavikų instrukcijų.
Viešai prieinama informacija padeda sukurti įtikinamą pasakojimą
Stabtelėti, pažvelgti situaciją iš šalies ir neįkliūti į pinkles gali padėti kolegos. Apgaulę padeda atskleisti tiesioginis skambutis įmonės vadovui ar specialistui, kuris įmonėje yra atsakingas už duomenų ir kibernetinį saugumą.
Pasirodo, kad pastangos apsimesti įmonės vadovu (angl. CEO fraud) ar suklastotų sąskaitų faktūrų siuntimas (angl. Fake invoice fraud) yra viena dažniausiai šiuo metu naudojamų apgaulių. Sukčiai stengiasi pasinaudoti tuo, kad kai kuriuos veiksmus (pavyzdžiui, apmokėti sąskaitas faktūras) įmonės darbuotojai įpratę atlikti automatiškai.
Teisėsauga atkreipia dėmesį, kad rengdami nusikaltimą piktadariai apie įmonę ir jos darbuotojus sugeba surinkti daug informacijos, visų pirma, viešai prieinamos socialiniuose tinkluose. Jie kruopščiai analizuoja darbuotojų santykius, pareigas, funkcijas ir atsakomybes. Į melagingą pasakojimą įterpti kolegų vardai ir pavardės, pareigos ir net projektų pavadinimai padeda sukurti įspūdį, kad apsimetėlis tikrai priklauso organizacijai.
Nusikaltėliai siekia gauti konfidencialią informaciją, prisijungimo prie el. pašto ar interneto banko slaptažodžius arba įtikinti pervesti pinigus pagal pateiktus prašymus ar sąskaitas faktūras.
Saugumą stiprina tinkami įpročiai
Nuolatinis apgavikų pastangų palydovas – skuba. Pervesti pinigus ar gauti prieigą reikia tuojau pat. Skuba ir raginimais siekiama sužadinti emocijas. Sukčiaus iš vėžių išmuštas darbuotojas gali nepastebėti svarbių detalių: gramatikos ir rašybos klaidų, nebūdingų vadovo laiškams, kitokio el. pašto adreso, kitokių, negu įprasta, banko sąskaitos duomenų.
Taigi, pasak D.Uosytės, išsiugdytas kolektyvinis įprotis tikrinti gaunamų laiškų siuntėjo adresus, neatidarinėti nežinomų siuntėjų laiškų, nespausti laiškuose esančių nuorodų organizacijai padeda savotiškos saugumo sienos pamatus. Siena aukštyn kyla ir tvirtėja, kai organizacijoje įdiegiamos, naudojamos ir periodiškai atnaujinamos informacinės saugumo sistemos, perspėjančios darbuotojus apie gaunamus laiškus iš išorės ir iš adresatų, iš kurių anksčiau nebuvo gaunami laiškai, taip pat kai prisijungdami prie įmonės el. pašto ar sistemų darbuotojai naudoja kelių veiksnių autentifikavimą.
SEB banko Prevencijos departamento direktorė D.Uosytė papildomai rekomenduoja:
- reguliariai peržiūrėti darbuotojų, turinčių prieigą prie įmonės interneto banko, sąrašą, įsitikinti, kad prieigos teises turi tik tie įmonės darbuotojai, kuriems reikia pagal užimamas pareigas ir atliekamas funkcijas,
- apsvarstyti dviejų interneto banko administratorių skyrimą ir numatyti „4 akių“ principo taikymą mokėjimams ir interneto naudotojų teisėms bei limitams tvirtinti, t. y. užtikrinti, kad vienas interneto banko administratorius negalės pakeisti teisių be kito administratoriaus patvirtinimo,
- nustatyti įmonės maksimalų dienos limitą, kurio suma atitiktų kasdienius verslo poreikius,
- patikrinti, ar atliekamo mokėjimo lėšų gavėjo sąskaita sutampa su ankstesnių mokėjimų duomenimis,
- skubias ar netikėtas užklausas el. laiškais patikrinti kitais būdais (pavyzdžiui, tiesiog paskambinti adresatui turimu telefono numeriu, parašyti žinutę per socialinius tinklus arba paprastai naudojamu el. pašto adresu).
„Apsauga nuo sukčių geriausiai veikia tada, kai visi darbuotojai supranta, kad kiekvienas gali tapti sukčių taikiniu ir susidurti su įvairiais sukčiavimo būdais. Todėl labai svarbu mokėti atpažinti apgavysčių požymius, nuolat atnaujinti žinias ir saugumo įrankius“, – apibendrina D.Uosytė.
