Milliárdokat utalnak bűnözőknek a vállalati pénzügyesek

2016. november 04. péntek - 06:06 / piacesprofit.hu
  •    

Az üzleti emailekhez kapcsolódó csalások a kis-, közép- és nagyvállalatokat egyaránt érintik, az FBI adatai szerint az ilyen jellegű támadásokkal kapcsolatban azonosított áldozatok száma sokkoló mértékben, mintegy 270 százalékkal nőtt 2015 eleje óta. Idén Ausztriában és Romániában is történt ilyen csalás, és az így szerzett összegek számos ország bankszámláin, így Magyarországon is megjelentek – hívta fel a figyelmet a TrendMicro.

A legtöbb vállalat ma már szinte kizárólag elektronikus formában intézi pénzügyeit. Éppen ezért nem számít ritkaságnak, ha egy pénzügyi vezető e-mailben kap felszólítást egy nagyobb, akár milliós nagyságrendű összeg átutalására. Miért is lenne gyanús, ha maga a cégvezető, vagy valamelyik felsővezető e-mail címéről érkezik egy teljesen átlagos, üzletileg indokoltnak látszó kérés? Pedig könnyen előfordulhat, hogy egy kiberbűnözőkből álló profi csapat áll a háttérben. Egy rossz döntéssel a megtévesztett áldozat az állását, a cég pedig a jóhírét, vagy akár üzletfolytonosságát is kockára teheti. (A vállalatok több mint háromnegyedét érte valamilyen támadás egy év alatt!)

Az üzleti e-mailekhez kapcsolódó csalások, más néven a Business E-mail Compromise (BEC) támadások száma világszerte nő: az FBI által azonosított áldozatok száma sokkoló mértékben, mintegy 270 százalékkal nőtt 2015 eleje óta, míg az egy esetre jutó kár összege ugyanezen időszakban átlagosan 140 ezer dollár volt. A Trend Micro adatai szerint az elmúlt két évben a csalók az esetek jelentős részében, 40 százalékában a vállalatok pénzügyi vezetőit (Chief Financial Officer – CFO) célozták meg, és 31 százalékukban az üzleti döntéshozó, illetve ügyvezető nevében szólították fel pénzügyi tranzakció indítására a gyanútlan munkatársat.

egy teljes generációt fogunk elveszíteni

Kép: EU-OSHA

Az európai esetek közül az utóbbi időszakban a legnagyobb nyilvánosságot a német Leoni AG esete kapta. A kontinens legnagyobb kábel- és vezetékgyártójának számító vállalat idén augusztusban mintegy 40 millió eurós kárt szenvedett el: a cég romániai leányvállalatának egyik pénzügyi munkatársát vezették félre BEC támadás során. Illetve ilyen volt például az ausztriai FACC repülőalkatrész gyártó cég esete, ahol a közel 42 millió eurót kitevő anyagi veszteség mellett komoly személyi következményei is voltak a támadásnak – az ügyvezetőt elbocsátották.

A dühös alkalmazottakat keresik a bűnözők
A kiberbűnözők belső embereket használnak a telekommunikációs hálózatokhoz és felhasználói adatokhoz való hozzáféréshez: vagy alvilági csatornákon toboroznak elégedetlen alkalmazottakat, vagy nyilvános oldalakról szerzett kompromittáló információkkal zsarolják a személyzetet.

Sőt, az is előfordulhat, hogy egy tengerentúli BEC támadásból származó pénzt magyarországi bankszámlán helyeznek el. Egy egyesült államokbeli céget például arra utasítottak a csalók, hogy egy ciprusi bankszámlára utaljanak 98,9 millió dollárt. Szerencsére a ciprusi fiókot üzemeltető Eurobank felfedezte a csalást, és 74 millió dollárt sikerült befagyasztania, még mielőtt a csalók hozzáférhettek volna. A nyomozások szerint a maradék összeget, körülbelül 25 millió dollárt a bűnözők világszerte 20 ország bankszámláin helyezték el, köztük Magyarországon.

Megtévesztés mesterfokon

A BEC támadások során a bűnszervezetek a cégek elektronikus levelezésének feltörésével és bizalmas tartalmak felhasználásával követik el a csalásokat. Komolyan megtervezett támadással akár a kiszemelt cégvezető, illetve felsővezető valódi postafiókjához is hozzáférést tudnak szerezni. Így például lehetőségük nyílik arra, hogy az áldozat nevében e-mailt küldjenek, egy nagyobb összeg átutalására szólítva fel a címzettet, többnyire a cég pénzügyi vezetőjét. A hamis levél többnyire nagyon meggyőző, mivel a csalók arra is gondot fordítanak, hogy a feltört fiók levelezését alaposan áttanulmányozzák, és szinte tökéletesen utánozzák az álcának használt cégvezető, illetve felsővezető stílusát, jellemző szófordulatait. Így sokszor nem ébred gyanú a kiszemelt cég pénzügyi munkatársában. Az e-mail tárgya a legtöbb esetben tartalmazza az „átutalás”, a „kérés”, illetve a „sürgős” szavakat, és kiküldését gyakran a munkaidő végére időzítik, hogy az esetleges kapkodásban ne legyen idő mindent ellenőrizni. Egy cég átlagosan 25-75 ezer dollárt veszíthet, de volt már példa több tízmillió dolláros kárra is.

A Business E-mail Compromise (BEC) támadások nem elsősorban a nagyvállalatok számára jelentenek fenyegetést, hiszen ezeknél a cégeknél általában többlépcsős ellenőrzési folyamaton kell keresztülmennie minden pénzügyi kérelemnek. Sokkal inkább a kis- és középvállalatokat érinti a probléma, ahol a belső folyamatokat csak kisebb mértékben szabályozzák. (Ráadásul a magyar vállalatok körében még mindig nem kap elég hangsúlyt az IT-biztonság kérdésköre.) Közülük is könnyebben célponttá válhatnak azok a cégek, amelyek nemzetközi partnerek számára indítanak rendszeresen online pénzügyi tranzakciókat, mivel a hamis levelekben sokszor külföldi bankszámlára kérik az összeg átutalását.

KKV pályázati ügyfélnap (2016.11.15.):

Nélkülözhetetlen tudnivalók az uniós forrásokról, kedvező KKV ajánlatok a Lenovo és Microsoft támogatásával.

A hagyományos megoldások nem használnak
Az általánosan alkalmazott IT-biztonsági védelmi megoldások sajnos kevéssé hatékonyak a BEC támadásokkal szemben. A kockázatok csökkentése érdekében a vállalatok számára érdemes követni az alábbi tanácsokat:
  • Alaposan vizsgáljunk meg minden e-mailt, amely a cégvezetőtől, illetve üzleti döntéshozótól érkezik, és valamilyen pénzügyi tranzakcióra irányul, és ha bármi gyanúsat észlelünk, inkább ellenőrizzük több forrásból!
  • Fordítsunk figyelmet a munkatársak megfelelő tájékoztatására, képzésére az internetbiztonság területén!
  • Az informatikai biztonság nagymértékben függ az emberi tényezőktől, így érdemes időről időre felülvizsgálni a cég biztonsági politikáját, illetve megfelelő biztonsági szabályokat bevezetni.
  • Amennyiben a megszokott gyakorlattól eltérő módon kérvényez pénzügyi tranzakciót valamelyik beszállítónk, illetve partnerünk, hitelesítésképpen kérjük az adott cég egy másik munkatársának is az aláírását!
  • Ellenőrizzük a beszállítói, partneri pénzátutalási kérelmeket, és a megadott érték elfogadásához kérjünk telefonon keresztül történő kétlépcsős hitelesítést!
  • Az e-mailben megadott elérhetőség helyett a saját adatbázisunkban tárolt telefonszámot hívjuk!
  • Amennyiben komolyan fennáll annak gyanúja, hogy cégünket támadás érte, azt azonnal jelezzük az illetékes szerveknél!
Info & tech
Kedves Olvasónk!
Ha érdekli ez a téma, és szeretne heti hírlevelet kapni a témában, vagy értesítést a megjelent új cikkekről, kérjük, adja meg nevét és e-mail címét!

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor