Oszustwo „na prezesa" (BEC) - jak firmy tracą pieniądze i jak temu zapobiec?

Oszustwo „na prezesa" (BEC) - jak firmy tracą pieniądze i jak temu zapobiec?

Dostałeś wiadomość od szefa z prośbą o pilny przelew? To może być oszustwo „na prezesa", które kosztuje firmy miliony złotych. Sprawdź, czy zespół poprawnie reaguje na fałszywe prośby o przelew, zanim będzie za późno.

Czym jest i jak działa oszustwo BEC?

Jak może wyglądać przeciętny dzień w dziale finansów? Nagle przychodzi e-mail, niby od prezesa lub dyrektora finansowego. Wiadomość jest krótka, ponaglająca i dotyczy poufnej transakcji, którą trzeba zrealizować natychmiast, omijając standardowe procedury. Tak właśnie działa Business Email Compromise (BEC), czyli oszustwo „na prezesa".

W tym scenariuszu atakujący nie włamują się do systemów, lecz manipulują pracownikiem, wykorzystując presję czasu i autorytet przełożonego. Nie jest to więc problem techniczny, a psychologiczny. A oszuści są tak skuteczni dlatego, że dokładnie się przygotowują - często wcześniej badają strukturę firmy i panujące w niej relacje, aby ich wiadomość wyglądała jak najbardziej wiarygodnie.

Więcej o tym, jak działają takie manipulacje, przeczytasz w artykule: Czym jest phishing?

Jak rozpoznać oszustwo „na prezesa"?

Oszuści liczą na pośpiech i brak czujności, ale ich metody mają słabe punkty. Pracownik wprowadzony w błąd działa pod wpływem stresu, więc przestaje analizować sytuację. Dlatego trzeba nauczyć zespół, jak rozpoznawać sygnały ostrzegawcze, które powinny zapalić czerwoną lampkę i zatrzymać spiralę zdarzeń, zanim pieniądze opuszczą firmowe konto.

W oszustwach "na prezesa" typowe jest to, że przestępcy:

• naciskają na pilność - zawsze starają się sprawiać wrażenie, że przelew musi zostać wykonany natychmiast, często podając bardzo wiarygodne, choć fałszywe uzasadnienie;
• proszą o poufność - pojawia się prośba, aby nie rozmawiać o transakcji z innymi osobami w firmie, co ma uniemożliwić naturalną weryfikację;
• wydają nietypowe polecenie - prośba o przelew jest nietypowa, na przykład dotyczy nieznanego kontrahenta, celu transakcji lub odbywa się poza standardowymi godzinami pracy;
• używają podobnego adresu e-mail - adres nadawcy może wyglądać poprawnie na pierwszy rzut oka, ale zawierać literówkę (np. prezes@firrna.com) lub pochodzić z domeny publicznej (np. gmail.com);
• sugerują, by ominąć procedury - polecenie wprost sugeruje, aby zignorować standardowe kroki weryfikacji, co jest absolutnym sygnałem alarmowym;
• niespodziewanie zmieniają numer konta - prośba dotyczy opłacenia znanej faktury, ale na zupełnie nowy numer rachunku; taki scenariusz to klasyczny atak ransomware, który często zaczyna się od przejęcia korespondencji;
• używają bezosobowego tonu - wiadomość, mimo że od szefa, jest napisana w sposób ogólny, co może świadczyć o tym, że została stworzona z szablonu.

Jak stworzyć procedury, które chronią finanse firmy?

Sama wiedza o zagrożeniach nie wystarczy, jeśli nie idą za nią konkretne działania. Aby skutecznie bronić się przed atakiem „na prezesa", trzeba wdrożyć proste, ale istotne zasady, które muszą być bezwzględnie przestrzegane w całej organizacji.

Przede wszystkim należy wprowadzić zasadę weryfikacji drugim kanałem. Każde niespodziewane polecenie przelewu, szczególnie to obarczone presją czasu lub prośbą o dyskrecję, trzeba potwierdzić w inny sposób niż mailowo. Wystarczy krótki telefon do rzekomego nadawcy na znany numer z książki kontaktowej (nigdy ten z maila!) lub wiadomość na wewnętrznym komunikatorze, aby zdemaskować oszustwo.

Następnie trzeba ustalić progi kwotowe i stosować zasadę „czterech oczu". Ważne jest to, aby określić kwoty, powyżej których każdą transakcję muszą zaakceptować co najmniej dwie upoważnione osoby. Ułatwi to ochronę finansów, a jednocześnie zdejmie z pojedynczego pracownika ogromną presję. Warto też prowadzić i regularnie aktualizować „białe listy" rachunków bankowych, czyli bazę zweryfikowanych numerów kont stałych kontrahentów. Każda prośba o płatność na rachunek spoza tej listy powinna automatycznie uruchamiać dodatkową weryfikację.

Nawet najlepsze procedury zawiodą, jeśli pracownicy nie będą umieli ich zastosować w praktyce. Dlatego warto regularnie sprawdzać ich czujność. Na blogu Exea dowiesz się, jak wyglądają testy socjotechniczne w praktyce. Pozwalają one zobaczyć, jak zespół reaguje na próby manipulacji w bezpiecznym, kontrolowanym środowisku i podnieść świadomość pracowników znacznie skuteczniej niż za pomocą teoretycznych szkoleń.​

Pieniądze wyszły z konta - co robić?

Jeśli mimo wszystko dojdzie do pomyłki, liczy się każda minuta. Szybka reakcja daje szansę na odzyskanie środków, dlatego każdy pracownik działu finansowego powinien znać poniższe kroki i mieć odwagę natychmiast je podjąć.

Przede wszystkim niezwłocznie skontaktuj się z bankiem. Zadzwoń na infolinię instytucji, z której wyszedł przelew, i zgłoś transakcję jako potencjalne oszustwo, prosząc o jej zablokowanie. Jednocześnie zgłoś sprawę na policję, składając formalne zawiadomienie o podejrzeniu popełnienia przestępstwa. Potwierdzenie będzie potrzebne w dalszych kontaktach z bankiem. Na koniec zabezpiecz wszystkie dowody cyfrowe - zapisz całą fałszywą korespondencję mailową, a zwłaszcza pełne nagłówki wiadomości, które zawierają techniczne informacje o prawdziwym źródle maila.

Oszustwo „na prezesa" opiera się na manipulacji i pośpiechu, a nie na zaawansowanej technologii. Aby skutecznie się bronić, trzeba oprzeć się na jasnych procedurach i świadomym zespole, który potrafi je stosować w praktyce.​