Apie metodus, kuriais dirba „rimti“ finansiniai sukčiai, technologijų festivalyje „Login“ papasakojo SEB banko finansinių nusikaltimų prevencijos skyriaus vadovas Andrius Varnelis.
Anot jo, „rimti“, socialinės inžinerijos gudrybes įvaldę sukčiai yra be galo išradingi, jų sukčiavimai yra priderinti prie įvairiausių gyvenimiškų situacijų, jie prisitaiko prie valstybių, įmonių ar atskirų žmonių gyvenimo pokyčių, todėl ant sukčiaus kabliuko pasimauti gali bet kuris žmogus. A.Varnelis netgi savęs, 15 metų kovos prieš sukčius srityje dirbančio specialisto, nevadina visiškai atspariu apgavystėms.
Pagrindinis sukčių ginklas – socialinė inžinerija. A.Varnelis ją trumpai apibūdino kaip psichologinį spaudimą, sukeliantį arba labai teigiamas, arba labai neigiamas emocijas, dėl kurių blokuojamas blaivus žmogaus mąstymas ir iš tokioje būsenoje atsidūrusio žmogaus išviliojama svarbi informacija arba jis įkalbamas atlikti tokius veiksmus, kurių, būdamas jam įprastinėje emocinėje būsenoje, žmogus greičiausiai niekados nepadarytų.
Telefoninius sukčius A.Varnelis pavadino klasikiniais, chrestomatiniais socialinės inžinerijos taikytojais: jie arba išgąsdina žmones, kad jų artimuosius ištiko kokia nors nelaimė, arba nudžiugina juos kokiais nors neva loterijoje laimėtais prizais.
A.Varnelis pristatė tris „pelningesnius“ ir sudėtingesnius sukčiavimo modelius – jie labai paplitę užsienyje, tačiau kartais su jais susiduriama ir Lietuvoje.
Direktoriaus tapatybės pasisavinimas
Tai, anot SEB atstovo, yra paprasčiausias, daug laiko ir investicijų nereikalaujantis sukčiavimo būdas. Ir tikrai veikiantis – per pastaruosius 7 mėnesius užfiksuoti 7 atvejai, per kuriuos įmonės patyrė apie 70 000 eurų žalą.
„Įsivaizduokite situaciją – esate buhalterė Gražina. Įprastinė darbo diena. Biuras. Kavos puodelis. Naršote internete, skaitote naujienas, galvojate, ką gero dar galima būtų nuveikti per dieną. Ir – op – į el. pašto dėžutę laiškas nuo direktoriaus, kuris aiškiai nurodo: Gražina, man reikia kuo greičiau padaryti pavedimą į Jungtinę Karalystę. Paaiškinama, už ką tas pavedimas turi būti padarytas – už tam tikras paslaugas.
Ir Gražinai net nespėjus pirmojo laiško perskaityti iki galo, ateina antras laiškas – prašau pervesti 10 000 eurų į sąskaitą, kuri yra nurodyta žemiau. Vėl taikomas spaudimas kuo greičiau atlikti pervedimą ir informuoti, kada jis bus padarytas. Po jo iškart dar vienas laiškas. „Ar jūs gavote mano atsiųstą sąskaitą-faktūrą ir banko sąskaitos numerį?“ Kas vyksta? Vyksta buhalterės spaudimas. Spaudimas, kad ji atliktų mokėjimo nurodymą. Ir visą susirašinėjimą lydi pridedami dokumentai“, – tipinę tokių sukčių ataką nupasakojo saugumo specialistas.
SEB Finansinių nusikaltimų prevencijos skyrius sukaupė nemenką kolekciją panašių laiškų – kai kurie jų yra beveik identiški, skiriasi tik naudojami įmonių logotipai.
Ar sudėtinga gauti visą informaciją, reikalingą tokiam sukčiavimui vykdyti – sužinoti, kas yra įmonės vadovas, kas yra buhalteris, kokiais elektroniniais adresais jie susirašinėja? Dažniausiai tai būna vieša informacija, kurią nesunku rasti įmonės interneto svetainėje – ten neretai rasite ir vadovų, ir buhalterių vardus bei pavardes bei jų elektroninio pašto adresus. Kita vertus, net jeigu interneto svetainėje buhalterės kontaktinių duomenų nėra, juos paprasta sužinoti – skambutis arba elektroninis laiškas bet kuriam įmonės darbuotojui ir bent kažkiek įtikinamos istorijos sukurpimas padės tai sužinoti.
Pasitaiko ir kuriozinių situacijų – sėdi buhalteris ir direktorius viename kabinete, o „direktoriaus“ laišką gavęs buhalteris klausia direktoriaus – kaip skubiai tą pavedimą reikia padaryti. O direktorius klausia: kokį dar pavedimą? Arba būna, kad „direktorius“ laišką parašo anglų kalba, o buhalterė puikiai žino, kad direktorius angliškai visiškai nekalba.
Kita vertus, pasitaiko ir atvejų, kai buhalteriai pasiduoda spaudimui. Dažnai buhalteriai praranda budrumą dėl to, kad sukčiaus elektroninio pašto adresas atrodo lygiai taip pat, kaip ir tikrojo direktoriaus. Dažnai skiriasi tik viena, dėmesio nepatraukiančia raidele. Kita priežastis, dėl kurios buhalteriai atiduoda įmonės pinigus nepažįstamiems žmonėms – direktoriaus autoritetas, baimė kvestionuoti jo veiksmus, baimė antrąkart, ne elektroniniu paštu, o telefonu patikrinti, ar tikrai jis nori atlikti tuos veiksmus, apie kuriuos kalbama laiškuose.
Tokiai operacijai įvykdyti sukčiams nereikia nei kokių nors finansinių išteklių, nei didelių pastangų – pakanka elementarios informacijos, kurią lengva rasti internete. Tuo tarpu antrasis sukčiavimo modelis yra gerokai sudėtingesnis.
Sukčiavimas apsimetus motininės bendrovės vadovu
Tokio sukčiavimo tiesiogine auka pasirenkamas dukterinės įmonės finansų direktorius. Prieš tokią ataką sukčiai labai kruopščiai atlieka namų darbus. Išanalizuoja visą įmonės vidinėje svetainėje skelbiamą informaciją apie kokius nors esminius pokyčius, susižino, kas yra motininės kompanijos vadovas, išsiaiškina, kas yra buhalteriai, kiti atsakingi asmenys, kokie el. pašto adresai naudojami susirašinėjimui, kokie telefono numeriai – susiskambinimui. Susirinkus tą informaciją sukuriamas įtikinamas sukčiavimo scenarijus.
Tokio pobūdžio sukčiavimai, anot A.Varnelio, dažniau organizuojami prieš finansiškai stiprias, dideles kompanijas, kurių padaliniai veikia skirtingose valstybėse, nei motininė kompanija. Šio metodo taikymą jis iliustravo realiu pavyzdžiui, kai prieš kelerius metus nukentėjo užsienio kompanija, o pinigai – apie pusė milijono eurų – buvo pervesti į SEB banke Lietuvoje esančią sąskaitą.
Ta kompanija vėlai vakare paskelbė apie planus parduoti padalinius, esančius Europoje. Kitos dienos 11 val. – likus valandai iki pietų pertraukos – dukterinės kompanijos finansų direktorė susilaukia motininės įmonės „prezidento“ (karjeros atžvilgiu – dievo) skambučio, kurio metu „prezidentas“ išaiškino, kad jis dabar Šveicarijoje, derasi su potencialiais pirkėjais dėl padalinių pardavimo, jo komandoje – ne vienas pasamdytas teisininkas, tad reikia apmokėti teisininkų paslaugas. Tuo pačiu nurodoma buhalterei laikytis visų konfidencialumo reikalavimų – niekam nei įmonės viduje, nei išorėje nesakyti, niekam neskambinti, su niekuo nesikonsultuoti. Jokiu būdu nerašyti į prezidento darbinį elektroninį paštą, jokiu būdu neskambinti jo telefono numeriu – viskas konfidencialumo sumetimais, kad niekas kitas nesužinotų. Ir iš „teisininkų“ gaunama sąskaita-faktūra ir pašto paskyros, registruotos domene „lawyers.com“ – taip siekiama panaikinti bet kokias abejones.
Dukterinės įmonės direktorius tuo metu jau pietavo, tad su juo pasitarti nebuvo įmanoma. Kitas saugiklis – vidinė įmonės tvarka visus didesnius pervedimus tvirtinti dviejų žmonių parašais – taip pat nesuveikė. Finansų vadovė laišku parašo prezidentu prisistačiusiam asmeniui, kad direktorius šiuo metu išvykęs, bet netrukus grįš, pasirašys, pavedimas pasieks adresatą ir viskas bus gerai. Akimirksniu susilaukė skambučio iš „prezidento“ – daryti pavedimą tučtuojau, nes kitaip sandoris gali žlugti.
Finansų direktorė pasidavė, atliko pavedimą, o grįžusiam vietiniam direktoriui pasigyrė, kokį gerą darbą atliko. Direktorius sukluso ir puolė tikrinti – ar tikrai motininės kompanijos prezidentas yra Šveicarijoje? Savaime suprantama, atsakymas buvo neigiamas, todėl galų gale aplankė suvokimas, kad tai buvo sukčių ataka.
Konkrečiai nagrinėjamu atveju nukentėjusios įmonės darbuotojai pasielgė labai tinkamai – nedelsiant susisiekė su banku reikalaudami atšaukti pavedimą. Tas buvo padaryta per maždaug pusvalandį nuo operacijos atlikimo. Tačiau pinigai jau buvo iškeliavę – jie atsidūrė SEB banke Lietuvoje, vieno kliento sąskaitoje. SEB specialistai stebėjo, kas darėsi su šiais pinigais: per 20 minučių jie buvo išdalinti po įvairias sąskaitas užsienio bankuose – į Kiprą, Rumuniją, Izraelį ir Tailandą. Bet dėl veiksmų operatyvumo lėšas pavyko susigrąžinti. Pinigai grįžo į SEB sąskaitą ir buvo užšaldyti, kol vyko ikiteisminis tyrimas, tačiau galų gale jie buvo grąžinti teisėtiems savininkams.
„Kodėl toks sukčiavimas veikia? Todėl, kad finansų direktorė gavo elektroninius laiškus iš vizualiai taip pat, kaip prezidento atrodančios pašto dėžutės adreso, prisistatymas buvo tikruoju prezidento vardu ir pavarde, kreipiamasi buvo į tą asmenį, kuris galėjo atlikti tokius mokėjimo pavedimus, taip pat scenarijus buvo pagrįstas ta informacija, kuri buvo paviešinta įmonės svetainėje – jis buvo sukurtas pagal žinią, kad kompanija ketina parduoti padalinius“, – aiškino A.Varnelis.
Taikant tokį sukčiavimo modelį įvykdomos pačios didžiausios vagystės – Belgijos bankas „Crelan“ tokiu būdu prarado 76 mln. eurų, įmonė ACC, tiekianti detales tokiems gigantams, kaip „Boeing“ ir „Airbus“, neteko 54 mln. eurų, ir tai – toli gražu ne vienintelės tokių sukčių aukos.
Susirašinėjimo tarp verslo partnerių perėmimas
Šis sukčiavimo būdas yra labai populiarus ir santykinai dažnai taikomas Lietuvoje. „Ant to pasimovė nemažai įmonių“, – sakė A.Varnelis.
Partneriai bendrauja elektroniniu paštu – vieni siunčia užsakymus, kiti siunčia sąskaitas-faktūras apmokėjimui. Ir kartais nutinka, kad į kažkurio iš partnerių pašto dėžutę įsilaužia programišiai. Ji pradeda filtruoti susirašinėjimo turinį. Ir kai jau pradedama kalbėti apie atsiskaitymus už kažkokias prekes ar paslaugas, programišius perima siunčiamą laišką, pakoreguoja jo turinį jam reikiamu būdu (pvz., rekvizitus sąskaitoje-faktūroje) ir laiką siunčia vienam iš partnerių.
Adresatui siunčiamame laiške būna ir paaiškinimas, kad banko sąskaita pakeista neva dėl vykdomo audito, todėl visos lėšos, kurios pateks į tą sąskaitą bus užšaldytos arba banko sąskaitą nuspręsta keisti dėl geresnių paslaugų įkainių. Į minimalius el. pašto adreso skirtumus dėmesį nedaug kas atkreipia.
Statistika, kurią turi SEB bankas Lietuvoje, sako, kad per 2016 metus dėl tokio sukčiavimo nukentėjo 14 įmonių, kurios prarado daugiau nei 260 tūkst. eurų, vien per 2017 metus – 6 apgautos įmonės ir 92 tūkst. eurų nuostoliai.
Pasauliniai skaičiai dar įspūdingesni. JAV Federalinių tyrimų biuras, vertindamas duomenis, plūstančius iš viso pasaulio, suskaičiavo, kad nuo 2015 m. sausio iki 2016 m. birželio dėl trijų aprašytų sukčiavimo būdų pasaulyje nukentėjo 22 tūkst. įmonių, o bendri jų patirti nuostoliai – daugiau nei 3 mlrd. eurų.
Kaip apsisaugoti?
A.Varnelis pasiūlė po paprastą patarimą, galintį padėti apsisaugoti nuo kiekvieno iš šių sukčiavimo būdų.
Direktoriaus tapatybės atveju – įmonės darbo vidaus kultūra turi būti tokia, kad buhalteriai neturi bijoti paskambinti direktoriui ir paklausti, ar tikrai jis pateikė nurodymą atlikti pervedimą. Ypač jeigu nurodymas pateikiamas elektroniniu paštu ir kyla bent menkiausių įtarimų.
Antruoju atveju – sukčiavimo sėkmė tiesiogiai priklauso nuo to, kiek įmonių informacijos yra prieinama viešai. Todėl įmonėms verta pagalvoti, kiek ir ko apie savo veiklą verta viešinti.
Verslo partnerių susirašinėjimo perėmimo atveju nederėtų aklai kliautis partnerio el. paštu pateikiama informacija ir nurodymais.
„Pagrindinis patarimas, ne kartą padėjęs apsisaugoti nuo tokio sukčiavimo – pasiskambinti partneriui ir pasitikslinti, ar tikrai keičiamas sąskaitos numeris. Ir skambinti ne tuo numeriu, kuris pateiktas elektroniniame laiške, o tuo, kuriuo bendravimas jau yra įprastas“, – sakė finansinių nusikaltimų prevencijos ekspertas.