Bežný phishing loví heslá od jednotlivcov. Vo firme ide útočníkom o oveľa viac, a preto sú aj prefíkanejší. Nepošlú vám zjavne falošný e-mail s preklepmi, ale dôveryhodne vyzerajúcu faktúru alebo pokyn na úhradu, ktorý sa tvári ako od vášho dodávateľa či šéfa. Stačí jeden zle overený prevod a z firmy odíde aj niekoľko tisíc eur. Tu sú tri najčastejšie scenáre a obrana proti nim.

1. Podvodná faktúra a zmenený IBAN

Najrozšírenejší firemný podvod. Útočník sa vydáva za vášho reálneho dodávateľa a pošle faktúru, ktorá vyzerá úplne štandardne, len je na nej iné číslo účtu (IBAN). Niekedy útočník predtým prenikne do e-mailovej komunikácie, prečíta si skutočnú faktúru a pošle jej upravenú kópiu so svojím účtom. Vy zaplatíte v dobrej viere a peniaze skončia u podvodníka.

Varovný signál: akákoľvek zmena čísla účtu oznámená e-mailom. Aj keď e-mail vyzerá pravý.

2. Podvod v mene konateľa (CEO fraud)

Účtovníčke alebo asistentke príde e-mail, ktorý sa tvári ako od konateľa alebo majiteľa: „Súrne prosím uhraď túto platbu, som na rokovaní, vybavíme to potom, je to dôverné." Správa hrá na autoritu a naliehavosť a zámerne vás odrádza od overenia. Útočník často pozná mená ľudí vo firme aj štýl komunikácie, lebo si predtým e-maily naštudoval. Tomuto sa odborne hovorí sociálne inžinierstvo.

Varovný signál: nezvyčajná, súrna a „tajná" žiadosť o platbu od nadriadeného, ktorá obchádza bežný postup.

3. „Zmenili sme banku, aktualizujte si naše údaje"

Variácia na prvý scenár. Príde e-mail od „dodávateľa", že prešiel do inej banky a budúce platby máte posielať na nový účet. Číslo účtu je, samozrejme, útočníkovo. Funguje to preto, lebo zmena banky je bežná a nevzbudzuje podozrenie.

Prečo to funguje aj na opatrných ľudí

Tieto podvody nestoja na technike, ale na psychológii. Útočník využíva dôveru, autoritu, naliehavosť a rutinu. E-mailová adresa býva takmer totožná s pravou (napríklad jedno písmeno navyše alebo zámena i za l), takže na prvý pohľad neprekáža. A keďže faktúry a platby sú každodenná rutina, ľahko prejdú bez druhého pohľadu.

Ako sa brániť

Obrana je našťastie jednoduchá a hlavne procesná, nie drahá:

  • Zmenu platobných údajov overte druhým kanálom. Vždy. Zavolajte dodávateľovi na známe telefónne číslo (nie na to z podozrivého e-mailu) a potvrďte si nový účet.
  • Zaveďte dvojitý súhlas pri platbách nad určitú sumu, aby prevod nikdy neschvaľoval len jeden človek.
  • Školte ľudí. Účtovníčka, ktorá pozná CEO fraud, ho odhalí za pár sekúnd. Pravidelné školenie je najlacnejšia poistka.
  • Zabezpečte e-maily proti podvrhnutiu odosielateľa (technológie SPF, DKIM, DMARC a kvalitný spam filter) a zapnite dvojfaktorové overenie na firemných schránkach, aby sa do nich útočník vôbec nedostal.
  • Majte písaný postup, čo robiť pri podozrivej žiadosti o platbu, aby ľudia nemuseli rozhodovať pod tlakom.

Pomôžeme vám to nastaviť

Vo firemnom IT tieto veci riešime denne. Nastavíme vám ochranu e-mailov a dvojfaktorové overenie, navrhneme bezpečný postup pri platbách a vašich ľudí naučíme rozpoznať podvodnú faktúru aj falošný pokyn „od šéfa". Ak vám práve teraz prišlo niečo podozrivé, neuhrádzajte to a ozvite sa nám, radi to s vami overíme.