A legtöbb vállalat ma már szinte kizárólag elektronikus formában intézi pénzügyeit. Éppen ezért nem számít ritkaságnak, ha egy pénzügyi vezető e-mailben kap felszólítást egy nagyobb, akár milliós nagyságrendű összeg átutalására. Miért is lenne gyanús, ha maga a cégvezető, vagy valamelyik felsővezető e-mail címéről érkezik egy teljesen átlagos, üzletileg indokoltnak látszó kérés? Pedig könnyen előfordulhat, hogy egy kiberbűnözőkből álló profi csapat áll a háttérben. Egy rossz döntéssel a megtévesztett áldozat az állását, a cég pedig a jóhírét, vagy akár üzletfolytonosságát is kockára teheti. (A vállalatok több mint háromnegyedét érte valamilyen támadás egy év alatt!)
Az üzleti e-mailekhez kapcsolódó csalások, más néven a Business E-mail Compromise (BEC) támadások száma világszerte nő: az FBI által azonosított áldozatok száma sokkoló mértékben, mintegy 270 százalékkal nőtt 2015 eleje óta, míg az egy esetre jutó kár összege ugyanezen időszakban átlagosan 140 ezer dollár volt. A Trend Micro adatai szerint az elmúlt két évben a csalók az esetek jelentős részében, 40 százalékában a vállalatok pénzügyi vezetőit (Chief Financial Officer - CFO) célozták meg, és 31 százalékukban az üzleti döntéshozó, illetve ügyvezető nevében szólították fel pénzügyi tranzakció indítására a gyanútlan munkatársat.
Az európai esetek közül az utóbbi időszakban a legnagyobb nyilvánosságot a német Leoni AG esete kapta. A kontinens legnagyobb kábel- és vezetékgyártójának számító vállalat idén augusztusban mintegy 40 millió eurós kárt szenvedett el: a cég romániai leányvállalatának egyik pénzügyi munkatársát vezették félre BEC támadás során. Illetve ilyen volt például az ausztriai FACC repülőalkatrész gyártó cég esete, ahol a közel 42 millió eurót kitevő anyagi veszteség mellett komoly személyi következményei is voltak a támadásnak – az ügyvezetőt elbocsátották.
Megtévesztés mesterfokon
A BEC támadások során a bűnszervezetek a cégek elektronikus levelezésének feltörésével és bizalmas tartalmak felhasználásával követik el a csalásokat. Komolyan megtervezett támadással akár a kiszemelt cégvezető, illetve felsővezető valódi postafiókjához is hozzáférést tudnak szerezni. Így például lehetőségük nyílik arra, hogy az áldozat nevében e-mailt küldjenek, egy nagyobb összeg átutalására szólítva fel a címzettet, többnyire a cég pénzügyi vezetőjét. A hamis levél többnyire nagyon meggyőző, mivel a csalók arra is gondot fordítanak, hogy a feltört fiók levelezését alaposan áttanulmányozzák, és szinte tökéletesen utánozzák az álcának használt cégvezető, illetve felsővezető stílusát, jellemző szófordulatait. Így sokszor nem ébred gyanú a kiszemelt cég pénzügyi munkatársában. Az e-mail tárgya a legtöbb esetben tartalmazza az „átutalás”, a „kérés”, illetve a „sürgős” szavakat, és kiküldését gyakran a munkaidő végére időzítik, hogy az esetleges kapkodásban ne legyen idő mindent ellenőrizni. Egy cég átlagosan 25-75 ezer dollárt veszíthet, de volt már példa több tízmillió dolláros kárra is.
A Business E-mail Compromise (BEC) támadások nem elsősorban a nagyvállalatok számára jelentenek fenyegetést, hiszen ezeknél a cégeknél általában többlépcsős ellenőrzési folyamaton kell keresztülmennie minden pénzügyi kérelemnek. Sokkal inkább a kis- és középvállalatokat érinti a probléma, ahol a belső folyamatokat csak kisebb mértékben szabályozzák. (Ráadásul a magyar vállalatok körében még mindig nem kap elég hangsúlyt az IT-biztonság kérdésköre.) Közülük is könnyebben célponttá válhatnak azok a cégek, amelyek nemzetközi partnerek számára indítanak rendszeresen online pénzügyi tranzakciókat, mivel a hamis levelekben sokszor külföldi bankszámlára kérik az összeg átutalását.
KKV pályázati ügyfélnap (2016.11.15.):
Nélkülözhetetlen tudnivalók az uniós forrásokról, kedvező KKV ajánlatok a Lenovo és Microsoft támogatásával.
- Alaposan vizsgáljunk meg minden e-mailt, amely a cégvezetőtől, illetve üzleti döntéshozótól érkezik, és valamilyen pénzügyi tranzakcióra irányul, és ha bármi gyanúsat észlelünk, inkább ellenőrizzük több forrásból!
- Fordítsunk figyelmet a munkatársak megfelelő tájékoztatására, képzésére az internetbiztonság területén!
- Az informatikai biztonság nagymértékben függ az emberi tényezőktől, így érdemes időről időre felülvizsgálni a cég biztonsági politikáját, illetve megfelelő biztonsági szabályokat bevezetni.
- Amennyiben a megszokott gyakorlattól eltérő módon kérvényez pénzügyi tranzakciót valamelyik beszállítónk, illetve partnerünk, hitelesítésképpen kérjük az adott cég egy másik munkatársának is az aláírását!
- Ellenőrizzük a beszállítói, partneri pénzátutalási kérelmeket, és a megadott érték elfogadásához kérjünk telefonon keresztül történő kétlépcsős hitelesítést!
- Az e-mailben megadott elérhetőség helyett a saját adatbázisunkban tárolt telefonszámot hívjuk!
- Amennyiben komolyan fennáll annak gyanúja, hogy cégünket támadás érte, azt azonnal jelezzük az illetékes szerveknél!
