< Nazaj na blog

Direktorska prevara

Calendar icon 14 maja, 2021 Account icon OWASP

Kaj je direktorska prevara?

Direktorska prevara je prevara, pri kateri se kriminalci lažno predstavljajo za direktorja podjetja, da bi zaposlenega zavedli k nepooblaščenemu prenosu sredstev ali posredovanju zaupnih podatkov.

Kdo je tarča teh prevar?

Te prevare navadno ciljajo na podjetja:

  • ki sodelujejo s tujimi dobavitelji, saj tako prevaranti izkoristijo dolgoletno razmerje z dobaviteljem, vendar zahtevajo, da se sredstva pošljejo na drug, nov račun; in/ali
  • na podjetja, ki redno opravljajo plačila z bančnimi nakazili.

Zaradi svoje vloge in dostopa do sredstev oziroma informacij so najpogosteje neposredna tarča teh napadov zaposleni v računovodstvu, zaposleni na kadrovskem oddelku, uprava podjetja in IT osebje.

Finančni oddelek je še posebej ranljiv v podjetjih, ki redno opravljajo bančna nakazila. (Pre)pogosto se v takšnem poslovanju zahteva samo e-poštno sporočilo direktorja ali druge pooblaščene osebe, da se sproži prenos sredstev. Kriminalci navadno zrcalijo običajne protokole za avtorizacijo bančnih nakazil, prevzamejo ustrezen e-poštni račun in zahtevo za prenos sredstev pošljejo ustrezni osebi.

Prav tako so pogosta tarča zaposleni na kadrovskem oddelku, saj imajo dostop do vsake osebe v organizaciji, upravljajo z zbirko podatkov o zaposlenih in so zadolženi za zaposlovanje. Njihova glavna naloga je odpiranje življenjepisov tisočih potencialnih prosilcev. Vse, kar morajo storiti spletni kriminalci, je vključiti zlonamerno programsko opremo v življenjepis in že lahko prikrito začnejo z zgodnjim zbiranjem podatkov.

Nadalje ima tudi vsak član uprave visoko vrednost za kriminalce, saj ima pogosto pooblastila za upravljanje s sredstvi podjetja, poleg tega pa posedujejo zaupne informacije.

IT-osebje, ki ima pooblastila za nadzor dostopa, upravljanje gesel in e-poštne račune, so prav tako pogosta tarča, saj lahko preko njih kriminalci dobijo dostop do drugih delov organizacije in zaposlenih.

Kot navedeno bo prevarant najpogosteje uporabil e-poštni račun direktorja – ali e-poštni naslov, ki je zelo podoben temu -, da bi zaposlenega zvabil, naj mu nakaže denar. To pomeni, da je te prevare zelo težko opaziti.

Vendar pa kljub temu obstajajo načini za uspešno preprečevanje.

Kako poteka prevara?

Prevara se izvaja z ogrožanjem legitimnih poslovnih e-poštnih računov, s pomočjo tehnik socialnega inženiringa ali računalniškega vdora.

Napadalci za izvršitev te prevare pogosto uporabijo te metode napada:

  1. Spletno ribarjenje (phishing)

E-poštna sporočila se istočasno pošljejo velikemu številu uporabnikov, da bi poskusila »ujeti« občutljive podatke, tako da se predstavljajo kot legitimen vir – pogosto z uporabo logotipov uradnega podjetja ali organizacije. Spletno ribarjenje pa je lahko tudi bolj usmerjeno, tako da je vključena neka oblika personalizacije, zato vas naj to ne zavede.

Več o spletnem ribarjenju si lahko preberete v prejšnji objavi.

  1. »Kitolov«

»Whaling« je posebna oblika lažnega predstavljanja, ki cilja na »vodilne igralce«, managerje, izvršne direktorje in podobne. Za te prevare sta značilni personalizacija in podrobno poznavanje poslovnih področij. Prav tako zanje niso značilne pravopisne in slovnične napake.

  1. Socialni inženiring

V tem kontekstu socialni inženiring pomeni uporabo psiholoških manipulacij, da bi ljudi zavedli, da razkrijejo zaupne informacije ali omogočijo dostop do sredstev. Socialni inženiring lahko vključuje tudi pridobivanje informacij s socialnih omrežij, saj spletne strani, kot so LinkedIn, Facebook ipd. ponujajo veliko informacij o osebju.

Kako se zavarovati?

Ozaveščajte zaposlene!

Varnost je odgovornost vsakogar. To pomeni, da morajo vsi – ne glede na pozicijo ali vlogo – razumeti, kako izgleda direktorska prevara (oziroma se čim bolje seznaniti z vsemi aktualnimi tveganji na spletu).

Prav tako je pomembno opozoriti na pomanjkanje pravopisnih napak. Slabo črkovanje in slovnične napake sta lahko indikator spletnega ribarjenja, vendar je to danes v bolj izpopolnjenem okolju za kibernetski kriminal vse bolj malo verjetno.

Upoštevajte tudi osebne dotike – znani ton ali izrazi, ki jih sicer uporablja oseba, za katero se izdaja prevarant; omembe vašega imena; omembe, da delate od doma itd. Goljufi si močno prizadevajo raziskati svoje subjekte in svoje cilje, bodisi s hekanjem ali preprosto z uporabo javno dostopnih informacij.

Pozorni bodite tudi na te opozorilne znake:

  • E-poštni naslov pošiljatelja: Ime domene je na videz presenetljivo podobno legitimnemu imenu, zlasti pri mobilnih napravah). Lažno predstavljanje domene je običajna taktika goljufov. Preverite, ali je e-poštni naslov pošiljatelja neskladen.
  • Občutek nujnosti: Tema, tekoči sestanek, neporavnan račun. Ustvarjanje občutka nujnosti je pri napadih socialnega inženiringa skorajda univerzalno. Pod pritiskom se ljudje navadno slabo odločajo in nepremišljeno reagirajo.
  • Merodajni ton: »Prosim, plačajte takoj«: razlog je, da kibernetski kriminalci lažno predstavljajo izvršne direktorje – so ljudje z avtoriteto.
  • Igranje na zaupanje tarče: “Računam nate”. Vsi želijo biti izbrani, da šefu storijo uslugo.
  • Občutek pritiska? Vzemite si trenutek. Je to res nekaj, kar bo direktor verjetno tako nujno zahteval?
  • Novi podatki o računu? Vedno preverite plačilo. Ne plačujte računa, razen če veste, da gre denar na pravo mesto. Te goljufije običajno vključujejo informacije o novem računu, ki ga nadzorujejo prevaranti.

Vaš program usposabljanja osebja za kibernetsko varnost bi moral zaposlene poučiti o tem, kako prepoznati direktorsko prevaro in kaj storiti v tem primeru. Poslanstvo je zaščititi podjetje in njegovo poslovanje tako, da se zaposlene opolnomoči, da delajo po svojih najboljših močeh, ne da bi jih varnost pri tem ovirala.

/Podprto s sredstvi Programa ACF v Sloveniji 2014-2021./

 

infografike kampanja

Prejšnji

Piramidne prevare

Naslednji

Kriptovalute in prevare