Príde e-mailom, vyzerá ako skutočný účet, ale číslo CBU sa nezhoduje. Bez škodlivého softvéru a zložitých hackerských metód podvodníci dokážu ukradnúť veľké sumy od firiem a súkromných osôb.
Nový druh phishingu vyvoláva obavy spoločností, malých a stredných podnikov a súkromných používateľov. Ide o podvod s „falšovanými faktúrami“, digitálny podvod, ktorý sa zdá byť neškodný, ale už spôsobil v regióne škody v miliónovej výške.
Mechanizmus je jednoduchý, ale účinný. Podvodníci sa vydávajú za dodávateľov alebo internetové obchody a e-mailom zasielajú falošnú faktúru. Menia len CBU alebo pseudonym príjemcu.
„Účinnosť tohto útoku je veľmi vysoká. Na jeho realizáciu nie sú potrebné žiadne škodlivé programy, vírusy ani technické zraniteľnosti. Stačí dobrá kópia dizajnu a nepozorná obeť,“ vysvetlil TN Tecno Alan Mai, generálny riaditeľ spoločnosti Bloka, ktorá sa zaoberá kybernetickou bezpečnosťou.
Ako funguje podvod
Podvod začína e-mailom, ktorý vyzerá, ako keby bol odoslaný zo spoľahlivého zdroja, napríklad od stálého dodávateľa, internetového obchodu alebo dodávateľa. Príloha je PDF súbor, ktorý kopíruje originál faktúry s logami, číslami objednávok a príslušnými sumami. Jediný rozdiel spočíva v tom, že číslo CBU, na ktoré má byť platba prevedená, bolo zmenené.
Dôverčivý príjemca povolí transakciu a prevedie peniaze na účet kontrolovaný zločincami. Podvod sa zvyčajne odhalí, keď zákonný dodávateľ požaduje platbu, a v mnohých prípadoch už nie je možné peniaze vrátiť.
Týka sa to aj bežných používateľov
Tento druh phishingu sa neobmedzuje len na spoločnosti. Stále viac ľudí padá do pasce po nákupoch v internetových obchodoch. Kyberzločinci posielajú e-maily, ktoré imitujú faktúry alebo potvrdenia o odoslaní, s odkazom na problémy s údajmi alebo meškanie dodávky.
V netrpezlivosti dostať objednávku mnoho obetí klikne na odkazy alebo otvorí súbory a bez toho, aby to tušili, poskytnú svoje bankové údaje alebo stiahnu škodlivý softvér, ktorý umožňuje ukradnúť heslá.
Prečo je to tak ťažké odhaliť
„Falošný účet“ je klasický príklad sociálneho inžinierstva: apeluje na dôveru, zvyky a naliehavosť. V e-mailoch sa používajú domény podobné originálnym (s rozdielom jedného písmena), priložené sú dôveryhodné dokumenty a nie je potrebné spúšťať súbory ani inštalovať programy. Ide o phishing bez škodlivého softvéru, čo sťažuje jeho odhalenie tradičnými bezpečnostnými systémami.
Okrem toho mnohé spoločnosti nemajú interné kontrolné postupy na autorizáciu platieb, čo uľahčuje ľudské chyby v podmienkach vysokého pracovného zaťaženia.
Ako sa chrániť pred podvodmi s falošnými účtami
Odborníci odporúčajú kombinovať digitálne vzdelávanie a kontrolné protokoly na prevenciu tohto druhu útokov.
- Vždy skontrolujte bankové údaje pred prevodom finančných prostriedkov, aj keď je dodávateľ známy.
- Pozorne skontrolujte odosielateľa e-mailu: jedna zmenená písmená môže byť známkou pokusu o falšovanie.
- Zavádzajte vnútornú kontrolu, napríklad akékoľvek zmeny bankového účtu musí schváliť druhá osoba.
- Zaškolte administratívnych a účtovných zamestnancov v oblasti bežných foriem kybernetického podvodu.
- Nainštalujte pokročilé filtre e-mailov, ktoré odhalia podozrivé domény alebo falošné súbory.
