Príde e-mailom, vyzerá ako skutočný účet, ale číslo CBU sa nezhoduje. Bez škodlivého softvéru a zložitých hackerských metód podvodníci dokážu ukradnúť veľké sumy od firiem a súkromných osôb.
Nový druh phishingu vyvoláva obavy u spoločností, malých a stredných podnikov a súkromných používateľov. Ide o podvody s „falšovanými faktúrami“, digitálny podvod, ktorý sa zdá byť neškodný, ale už spôsobil v regióne škody v miliónovej výške.
Mechanizmus je jednoduchý, ale účinný. Podvodníci sa vydávajú za dodávateľov alebo internetové obchody a e-mailom zasielajú falošné faktúry. Menia len CBU alebo pseudonym príjemcu.
„Účinnosť tohto útoku je veľmi vysoká. Na jeho realizáciu nie sú potrebné škodlivé programy, vírusy ani technické zraniteľnosti. Stačí dobrá kópia dizajnu a nepozorná obeť,“ vysvetlil TN Tecno Alan Mai, generálny riaditeľ spoločnosti Bloka, ktorá sa zaoberá kyberbezpečnosťou.
Ako funguje podvod
Podvod začína e-mailom, ktorý vyzerá, ako keby bol odoslaný z dôveryhodného zdroja, napríklad od stálého dodávateľa, internetového obchodu alebo dodávateľa. V prílohe sa nachádza PDF súbor, ktorý kopíruje originál faktúry s logami, číslami objednávok a príslušnými sumami. Jediný rozdiel je v tom, že číslo CBU, na ktoré má byť platba prevedená, bolo zmenené.
Dôverčivý príjemca povolí transakciu a prevedie peniaze na účet kontrolovaný zločincami. Podvod sa zvyčajne odhalí, keď zákonný dodávateľ požaduje platbu, a v mnohých prípadoch už nie je možné peniaze vrátiť.
Týka sa to aj bežných používateľov
Tento druh phishingu sa neobmedzuje len na spoločnosti. Stále viac ľudí padá do pasce po nákupoch v internetových obchodoch. Kyberzločinci posielajú e-maily, ktoré imitujú faktúry alebo potvrdenia o odoslaní, s odkazom na problémy s údajmi alebo meškanie dodávky.
V netrpezlivosti dostať objednávku mnoho obetí klikne na odkazy alebo otvorí súbory a bez toho, aby to tušili, poskytnú svoje bankové údaje alebo stiahnu škodlivý softvér, ktorý umožňuje ukradnúť heslá.
Prečo je to tak ťažké odhaliť
„Falošné faktúry“ sú klasickým príkladom sociálneho inžinierstva: apelujú na dôveru, zvyky a naliehavosť. V e-mailoch sa používajú domény podobné originálnym (s rozdielom jedného písmena), priložené sú dôveryhodné dokumenty a nie je potrebné spúšťať súbory ani inštalovať programy. Ide o phishing bez škodlivého softvéru, čo sťažuje jeho odhalenie tradičnými bezpečnostnými systémami.
Okrem toho mnohé spoločnosti nemajú interné kontrolné postupy na autorizáciu platieb, čo uľahčuje ľudské chyby v podmienkach vysokého pracovného zaťaženia.
Ako sa chrániť pred podvodmi s falošnými účtami
Odborníci odporúčajú kombinovať digitálne vzdelávanie a kontrolné protokoly na prevenciu tohto druhu útokov.
- Vždy skontrolujte bankové údaje pred prevodom finančných prostriedkov, aj keď je dodávateľ známy.
- Pozorne skontrolujte odosielateľa e-mailu: jedna zmenená písmená môže byť známkou pokusu o falšovanie.
- Zavádzajte vnútornú kontrolu, napríklad akékoľvek zmeny bankového účtu musí schváliť druhá osoba.
- Zaškolte administratívnych a účtovných zamestnancov v oblasti bežných foriem kybernetického podvodu.
- Nainštalujte pokročilé filtre e-mailov, ktoré odhalia podozrivé domény alebo falošné súbory.
