Jaké formy online podvodů ohrožují nejčastěji podnikatele a firmy? Jak se bránit? VIDEO

Diskutují:

Vojtěch Hájek, šéf security UniCredit Bank,
Ľubica Sobihardová, řiditelka odboru firemních klientů Tatra banky,
Jaroslav Oster, soudní znalec, zakladateľ a predseda občanského združení Preventista.

Uslyšíte odpovědi na otázky:

Setkáváte se s praktikami podvodníků často? Kterou z těchto praktik považujete aktuálně za nejnebezpečnější? Jaká je podstata phishingových útoků? Kdy by měla člověku zablikat bezpečnostní kontrolka? Jaké se staly podvody na Slovensku v reálném, fyzickém světě? S jakými konkrétními případy jste se setkali v poslední době? Podařilo se získat peníze zpět? Jak dělat prevenci? Není problém ve zvyku lidí poslouchat autority? Jaké jsou základní atributy manipulativního útoku? Jaké jsou trendy? S čím se dalo setkat v minulosti a s čím dnes? Zvýšil covid as ním spojený home office množství lidí poškozených phishingem? Existují otázky, které si mohu položit a které indikují, zda nejsem náchylnější se nechat podvést? Záleží na technologiích, které používáme?

Jakou nejčastější formou podvodů jsou ohroženi podnikatelé a firmy?

Vojtěch Hájek:
Nejčastější forma podvodů jsou tzv. „CEO fraudy“, kdy si nejdříve podvodníci zjistí informace o fungování společnosti – kdo je majitel/jednatel a kdo provádí úhrady faktur (např. účetní). Následně podvodníci ze zfalšované emailové adresy (která vypadá stejně nebo velmi podobně jako emailová adresa manažera) zasílají žádost na účetní o urgentní zadání platby do banky dle instrukcí v emailu.
Zaznamenali jsme i případy, kdy se útočníkovi podařilo proniknout do emailové komunikace mezi dodavatelem a odběratelem. V příhodný okamžik pak útočník komunikaci pozměnil – nahradil zaslanou fakturu vlastní, kde byl uvedeno jiné bankovní spojení s informací, že došlo ke změně. Jednodušší verze je, když podvodník pouze zašle falešnou fakturu a čeká, zda ji společnost zaplatí.

- Nabúranie sa do mailovej komunikácie s obchodnými partnerom (náhla zmena bankového účtu partnera);
- CEO/CFO fraud - sfalšovaný naliehavý mail od autority vo firme požadujúci vykonanie platobnej transakcie v čo najkratšej dobe;
- SMS/maily informujúce o tom, že účet/počítač je v ohrození alebo bol napadnutý.

Jaroslav Oster:
Ak sa bavíme výslovne o podvodných aktivitách tak z mojich skúseností je to najmä zavlečenie infiltrácie, ktorá zašifruje používateľské dáta – za dešifrovanie požaduje následne útočník „výpalné“ (aktuálne často kombinované aj s odcudzením dát. Ale foriem s ktorými sa stretáva podnikateľský svet (nie len) je mnoho a vymenovať ich je nad rámec jedného rozhovoru.

Existuje prevence?

Vojtěch Hájek:
Základem prevence je ověřovat změny bankovního spojení nezávislým kanálem (např. telefonicky), že změnu opravdu prováděl dodavatel, případně že danou fakturu vůbec vystavil.
Aby podnikatel nebo firma předcházela těmto situacím, kdy útočník pozmění emailovou komunikaci a odběratel tuto podvodnou změnu nerozpozná, je možné emaily vyměňované s protistranou šifrovat nebo podepisovat pomocí elektronického certifikátu.

Jaroslav Oster:
Existuje, témou na diskusiu je jej účinnosť. V téme manipulatívnych podvodov sú základným stavebným kameňom prevencie vedomosti  a skúsenosti. Každý používateľ IKT by mal mať základné vedomosti o potenciálnych rizikách a spôsobe ako im predchádzať. Samozrejme za tým nasleduje rad technologických opatrení, ktoré sú dnes nevyhnutnou súčasťou riadenia rizík v akomkoľvek type organizácie.

Co mohu ve své firmě udělat, abych snížil riziko?

Vojtěch Hájek:
Používat selský rozum, pokud se mi něco nezdá, tak si to ověřit. Je potřeba si všímat, zda text emailu odpovídá běžné komunikaci (způsob oslovení, způsob vyjadřování, podpis emailu). Nastavit si pravidla předem, aby bylo jasné, jak postupovat. Pokud dorazí neočekávaná faktura nebo dojde ke změně bankovního spojení – jakým způsobem proběhne ověření skutečnosti – např. telefonickým zavoláním protistraně (ale ne na telefonní číslo uvedené na faktuře).
 

Ľubica Sobihardová:
- Venovať pozornosť vzdelávaniu seba a svojich zamestnancov v oblasti digitálnej bezpečnosti;
- Nastaviť si limity na maximálne prevody realizované jednou osobou/v rámci dňa/jednou transakciou;
- Byť prirodzene obozretný v prípade náhlej zmeny čísla účtu, naliehavosti druhej strany - overiť si tieto fakty nezávislým spôsobom (telefonické kontaktovanie obch. partnera, nadriadeného, majiteľa).

Jaroslav Oster:
V prvom rade spoznať riziká. Zrealizovať niečo, čo sa v odbornej terminológií nazýva analýza rizík. A na základe takéhoto prehľadu „čo nám hrozí“ prijať opatrenia na to, aby sme toto riziko znížili. Minimálna úroveň čo môže každá firma nezávisle na veľkosti urobiť ihneď je hľadať cesty, aby za zamestnanci mohli v problematike rizík zorientovať.

Nejsou ohrožené například platformy pro týmovou spolupráci?

Vojtěch Hájek:
Nemyslím si, že by byly ohrožené platformy pro týmovou spolupráci, ale i zde může docházet k podvodnému jednání. Setkali jsme se s případem, kdy CEO společnosti byl osloven (falešným) CEO celé skupiny s informací, že proběhne velmi utajovaná akvizice nové společnosti. Následně měl proběhnout video-konferenční hovor za přítomnosti poradenské společnosti a právníků, kde se měl diskutovat další postup. Pokud CEO nezná osobně jednotlivé účastníky a neověří si nezávisle daný případ, může útočníkům podlehnout. Předpokládáme, že cílem mělo být přesvědčit lokálního CEO, aby převedl finanční prostředky s plánovanou akvizicí.

Ľubica Sobihardová:
- Aj tu platí základné pravidlo - narábať s citlivými údajmi tak, aby k nim mali prístup iba oprávnené osoby.

Jaroslav Oster:
Tieto platformy sú témou samou o sebe. Ich nesprávne používanie je samozrejme rizikom. Príkladom môžu byť prípady zo začiatku pandémie kedy školstvo nabiehalo na hromadné využívanie týchto platforiem pri zabezpečovaní diaľkového vyučovania. Často nesprávne zavedenie do vyučovacieho procesu, používanie spojené s ignorovaním základných bezpečnostných zásad boli zdrojom radu incidentov.

Jsou online podvody významný ekonomický problém?

Vojtěch Hájek:
Online podvody (jejich počty a objemy škod) neustále narůstají. Likvidační mohou být jak pro jednotlivce (kdy mohou přijít nejenom o své úspory, ale útočník si např. může jménem podvedeného požádat i o úvěr), tak i pro společnosti (úhrada podvržené faktury ve významné částce). Aby docházelo k omezení finančních podvodů, je průběžně aktualizovaná a doplňovaná jak regulace, tak jsou posilované mechanismy v jednotlivých bankách i úřadech (např. Finanční analytický úřad, Finančná spravodajská jednotka) zejména v oblasti praní špinavých peněz. Klíčová role je ale stále na uživatelích, aby podvod dovedli rozpoznat a podvodníkům odolat.

Ľubica Sobihardová:
Online je dobrý sluha, ale zlý pán:
- Bežný občan môže prísť o všetky svoje financie resp. aj iný majetok;
- Firma môže útrpieť významné finančné škody vedúce k dočasnej, ale v mnohých prípadoch aj k trvalej platobnej neschopnosti a krachu.

Jaroslav Oster:
Sú vážnym ekonomickým problémom s ktorým sa borí a hľadá efektívne riešenia celý svet. Len pre ilustráciu – na podvodoch nazvaných Romance Scam (útočník kontaktuje potenciálnu obeť, vytvorí často veľmi dôverný vzťah zameraný na získanie finačnej pomoci, pôžičky, spoločnej investície od obete) podľa odhadov Federálnej obchodnej komisie USA len na území USA narástol objem strát spôsobených týmto podvodom medziročne o 80%  (2020: 307 miliónov USD – 2021: 547 miliónov USD).