Vzhľadom na stále sa rozširujúce správy o podvodoch si dovoľujeme aj takouto formou informovať našich členov a širokú verejnosť o hrozbe podvodných emailov s cieľom získať neoprávnene finančné prostriedky spoločnosti.
Policajný zbor upozorňuje občanov, najmä zamestnancov finančných oddelení, učtární súkromných spoločností, ale aj štátnych a verejných inštitúcií (mestských a obecných úradov) na útoky podvodov páchaných elektronickou formou (e-mailom), v rámci ktorého je predstieraný pokyn vysoko postaveného predstaviteľa spoločnosti na prevod finančných prostriedkov (tzv. CEO podvod – z anglického prekladu Chief Executive Officer). Páchateľ, ktorý disponuje internými informáciami o spôsobe fungovania organizácie, tieto zmanipuluje a vydávajúc sa za autoritu alebo vysoko postaveného predstaviteľa spoločnosti osloví subjekt (pracovníka učtárne alebo účtovníčku) a požaduje naliehavý spôsobom vykonať prevod finančnej čiastky na neznámy účet (väčšinou v zahraničí). Požiadavka sa javí ako legitímna, no v skutočnosti je jediným cieľom uviesť jej príjemcu do omylu a získať finančné prostriedky.
Totožnosť manažéra (jeho e-mailová adresa) je v elektronickej podobe buď maskovaná (je poslaná prostredníctvom webovej služby, ktorá umožňuje zadávanie ľubovoľnej adresy), prípadne je vytvorená pozmenená adresa, ktorá sa výrazne podobá na adresu nadriadeného. Nezriedka je falošná žiadosť poslaná z pravej adresy nadriadeného. Text správy je stručný a vo väčšine prípadov direktívny („Urobte urgentnú platbu, rýchlu platbu, prípadne prevod na účet …, Môžete urobiť prevod na účet … dnes?“ Prevažne s dotazom na výšku zostatku bankového účtu spoločnosti).
Ďalšou formou uvedeného podvodu je spôsob, pri ktorom sa páchateľ vydáva za iného obchodníka (spoločnosť), s ktorou je obeť v kontakte z dôvodu práve prebiehajúceho obchodu. Konanie páchateľa spočíva v pozmenení údajov na faktúre (najmä čísla účtu kam majú byť odoslané finančné prostriedky, alebo pošle falošnú faktúru s novými bankovými údajmi). V týchto prípadoch dostane účtovník spoločnosti správu z e-mailovej adresy obchodníka, s ktorým už bol v kontakte, čo zvyšuje jeho dôveru v oprávnenosť uvedenej zmeny.
Páchatelia používajú na získanie osobných, prípadne bezpečnostných údajov (prístupových hesiel) najmä metódy sociálneho inžinierstva. Sociálne inžinierstvo[1]) je spôsob získavania dôverných informácií pomocou manipulácie. Metóda bežne používa komunikáciu cez telefóny alebo internet, pričom zneužíva dôverčivosť ľudí vydávaním sa za známe a existujúce spoločnosti či inštitúcie.
V tejto súvislosti Policajný zbor odporúča:
- oboznámiť zodpovedné osoby (hlavne účtovné, finančné oddelenie) s existenciou vyššie uvedeného protiprávneho konania, prípadne prijať opatrenia za účelom pravidelných školení zameraných na aktuálne kybernetické hrozby,
- zavedenie technických opatrení ako aj bezpečnostných (administratívnych) vnútorných postupov týkajúcich sa zadávania platieb a overenie príkazcov, pri udeľovaní pokynov na akýkoľvek prevod alebo platbu finančných prostriedkov prostredníctvom e-mailu, najmä na neznáme, prevažne zahraničné účty, zväčša sa jedná o bankové účty v krajinách Veľkej Británie, Švédsko, Španielsko a Ukrajiny (bezodkladne o tom informovať svojho manažéra, starostlivo kontrolovať emailové adresy pri žiadostiach o prevod prostriedkov, overiť si legitímnosť požiadavky pomocou známeho kontaktného čísla a nepoužívať kontakty z emailov požadujúcich úhradu alebo pri náhlej zmene čísla účtu na faktúre a pod.),
- v prípade ak spoločnosť zistí, že išlo o podvod po odoslaní finančných prostriedkov na požadovaný účet, by o tomto mala bezodkladne informovať banku, v ktorej má vedený účet, ako aj políciu, aby prijali všetky dostupné opatrenia.
[1]) https://www.csirt.gov.sk/socialne-inzinierstvo-812.html