Atak „na fakturę" - jak zweryfikować numer konta i zlecić bezpieczny przelew?
Otrzymujesz e-mail od stałego partnera biznesowego z prośbą o opłacenie faktury. Wszystko wygląda jak zwykle, więc zlecasz przelew. Po kilku dniach kontrahent dzwoni z pytaniem o brakującą płatność. Co się stało? Pieniądze trafiły na konto oszusta, który podmienił numer rachunku w wiadomości. Czy Twoje procedury wytrzymają taką próbę? Sprawdź, jak zabezpieczyć firmowe finanse.
Jak działa atak „na fakturę"?
Oszustwa typu BEC (Business Email Compromise) wykorzystują zaufanie, a nie luki w oprogramowaniu bankowym. Przestępcy stosują dwie główne metody manipulacji.
- Przechwytują korespondencję
Włamują się do skrzynki e-mail - Twojej lub kontrahenta. Czekają, aż partner wyśle fakturę, przechwytują ją i wpisują własny numer konta. Podrobiony dokument trafia do Ciebie jako ciąg dalszy znanej rozmowy, by uśpić Twoją czujność.
- Podszywają się pod domenę
Rejestrują adres łudząco podobny do domeny partnera (spoofing). Różnica bywa subtelna - jedna litera (przyklad.pl vs przklad.pl) lub znak z innego alfabetu. Z takiego adresu wysyłają fałszywą fakturę, a w pośpiechu łatwo przeoczyć ten detal.
Sygnały ostrzegawcze - na co uważać?
Zwracaj uwagę na sygnały, które zdradzają próbę oszustwa. Poniższa lista pomoże Ci szybko ocenić, czy wiadomość jest bezpieczna:
- nagła zmiana rachunku - informację o nowym koncie dostajesz w treści maila, bez wcześniejszego oficjalnego pisma;
- presja czasu - nadawca nalega na „natychmiastowy przelew", bo inaczej wstrzyma dostawy;
- różnice w domenie - adres nadawcy różni się od tego w Twojej bazie kontaktów (np. ma inną końcówkę);
- błędy w dokumencie - faktura ma nietypowe formatowanie, brak logotypu lub inny układ graficzny.
Procedury bezpiecznych płatności
Skuteczna ochrona opiera się na twardych zasadach. Jeśli wdrożysz poniższe mechanizmy, masz szansę odzyskać pełną kontrolę nad firmowymi pieniędzmi.
Potwierdzaj zmianę drugim kanałem
Zanim zaakceptujesz nowy numer konta, sprawdź go inną drogą niż e-mail. Na początek warto zadzwonić do opiekuna handlowego u kontrahenta. Wybierz numer z własnej bazy CRM, a nie ten ze stopki maila. Wtedy będziesz wiedzieć, że rozmawiasz z właściwą osobą.
Weryfikuj rachunek w Wykazie podatników VAT
Przed każdym przelewem sprawdź numer rachunku w oficjalnej bazie Ministerstwa Finansów (tzw. biała lista). Jeśli konto tam widnieje, masz pewność, że należy do firmy o danym numerze NIP. Płacąc na rachunek z białej listy, chronisz firmę i bez przeszkód zaliczysz wydatek do kosztów podatkowych.
Stosuj zasadę „czterech oczu"
Ustal progi kwotowe dla płatności wychodzących. Przelewy powyżej wyznaczonej sumy powinny akceptować dwie osoby (np. księgowa i dyrektor finansowy). Druga para oczu wyłapie ewentualne błędy, zanim pieniądze opuszczą konto.
Działaj według planu
Podejrzewasz oszustwo? Nie zwlekaj. Zadzwoń do banku, by zablokować środki, i zgłoś sprawę na policję. Poinformuj też urząd skarbowy na formularzu ZAW-NR (masz na to 7 dni). Im szybciej zareagujesz, tym większa szansa na to, że odzyskasz pieniądze i nie będą Ci grozić kary skarbowe.
Człowiek - fundament bezpieczeństwa
Ataki socjologiczne celują w ludzkie odruchy. Dlatego buduj odporność zespołu - szkol go i sprawdzaj reakcje na zagrożenia, np. poprzez testy socjotechniczne. Zadbaj też o techniczną weryfikację nadawców. Wdróż standardy SPF, DKIM i DMARC, by nikt nie mógł podszyć się pod Twoją firmową domenę.
Chcesz wiedzieć, jak hakerzy podszywają się pod kadrę zarządzającą? Przeczytaj:
Oszustwo „na prezesa" (BEC) - jak firmy tracą pieniądze i jak temu zapobiec?
Czy Twoja księgowość zauważyłaby podmieniony numer konta? Zweryfikujmy szczelność procedur bezpiecznym testem, zanim zrobią to oszuści.
