Esame įpratę, kad technologijos palengvina gyvenimą ir padeda sutaupyti laiko. Dar daugiau lūkesčių žadina įspūdingos dirbtinio intelekto technologijų galimybės.
Tačiau pažangias technologijas dažnai naudoja ir sukčiai, pavyzdžiui, automatizuodami ir personalizuodami suklastotų elektroninių laiškų siuntimą, platindami kenkėjišką programinę įrangą, kurdami suklastotas paskyras ir atlikdami kitas užmačias, kad pasiektų kuo daugiau aukų. Pavyzdžiui, vis dažniau kuriamos vaizdo ir garso įrašų, kurie naudojami bendrovės vadovo ir darbuotojų nuotoliniuose susitikimuose, klastotės.
Kolegų pagalba ar banko prašymas yra tarsi saugos diržai
Potencialiai didesnius lėšų likučius negu fiziniai asmenys einamosiose sąskaitose valdančios įmonės yra vienas iš geidžiamiausių sukčių taikinių. Kad pasiektų įmonių pinigus, nusikaltėliai pirmiausia taikosi į jose dirbančius žmones.
Išlikti atspariems ir tinkamai reaguoti į grėsmes padeda kryptingas darbuotojų ir visos visuomenės švietimas. Nusikaltimų tyrimai rodo, kad ne saugumo sistemų pažeidimai, o būtent žmonės dažniausiai atveria prieigą prie mokėjimo duomenų ir sąskaitų, kurias sukčiai kėsinasi apvogti.
Savo ruožtu SEB bankas, kaip ir kitos finansų institucijos Lietuvoje, taiko sukčiavimo prevencijos mechanizmus, kurių paskirtis – padėti apsaugoti verslo ir privačių klientų lėšas. Dėl to kai kurios mokėjimo operacijos gali būti sustabdytos, jei yra požymių, kad pinigai gali nukeliauti į sukčių sąskaitas.
Bankas gali paprašyti pateikti papildomų dokumentų ir informacijos – visa tai yra tarsi priminimas užsisegti saugos diržus prieš leidžiantis į kelionę automobiliu.
Sukčių pinkles neretai atpažįsta ir patys įmonių darbuotojai. Tačiau ne visi. Dėl to kai kuriems praverčia greita kolegų pagalba išaiškinant apgaulę, tiesioginis skambutis įmonės vadovui ar specialistui, kuris įmonėje yra atsakingas už informacijos ir kibernetinį saugumą.
Taip daugelis įmonių įgyja gerosios patirties ir apsisaugo, bet sukčiai sugalvoja vis naujų būdų ir metodų, kaip galėtų išvilioti duomenis ir pinigus. Tad, siekiant apsisaugoti nuo finansinės apgaulės, informacinės saugos sistemas, žinias ir įgūdžius labai pravartu periodiškai atnaujinti.
Gali nukentėti ne tik įmonė
Kalbėdami su savo klientais ir teisėsaugos pareigūnais, pastebime, kad šiuo metu sukčiai dažniausiai naudoja apgaulę apsimesdami įmonės vadovu (angl. CEO fraud) ar siųsdami suklastotas sąskaitas faktūras (angl. Fake invoice fraud).
Ne mažiau aktyviai vyksta duomenų viliojimo (angl. Phishing) operacijos, taip pat – duomenų vagystės siekiant išpirkos (angl. Ransomware), nuo kurios prieš kelis mėnesius nukentėjo ir Vilniaus rajono savivaldybė. Šis atvejis rodo, kad nuo kibernetinių piktadarių gali nukentėti ne tik pati organizacija, bet ir jos klientai, tiekėjai ir kitos susijusios šalys.
Sukčiai mėgsta veikti greitai
Kaip nutinka panašūs incidentai? Šiuolaikinės technologijos, socialiniai tinklai nusikaltėliams leidžia surinkti daug informacijos apie įmonę ir jos darbuotojus. Kitaip tariant, sukčiai skiria nemažai laiko analizei, kol pasirenka tinkamą taikinį – įmonę ir net konkrečius jos darbuotojus, dažniausiai tuos, kurie yra atsakingi už mokėjimo operacijas.
Tada žengiamas antras žingsnis – duomenų ir laiškų klastojimas siekiant apsimesti, pavyzdžiui, įmonės vadovais (angl. spoofing). Apsimetėliai arba nori gauti konfidencialią informaciją, prisijungimo prie el. pašto ar interneto banko slaptažodžius, arba įtikinti pervesti pinigus pagal pateiktus prašymus ar sąskaitas faktūras.
Kas gali išduoti sukčius? „Greitai, greitai, labai reikia, dabar pat!“, – toks raginimas nuskamba kone kiekviename sukčių laiške įmonėms, kai bandoma apsimesti vadovu ir įsakmiai raginama kuo skubiau atlikti nenumatytą pinigų pervedimą.
Pirmasis sukčių uždavinys yra pažadinti žmogaus emocijas ir priversti joms pasiduoti. Emocijos neretai apakina, todėl auka nepastebi kai kurių neatitikimų: rašybos ir gramatikos klaidų, kurių paprastai vadovo laiškuose nebūna, prašymas pervesti lėšas atsiunčiamas iš šiek tiek kitokio el. pašto adreso negu įprastai, kitokie negu įprastai yra ir banko sąskaitos duomenys.
Įtarimą turėtų sukelti ir tai, kad el. laiškas turi slaptumo arba konfidencialumo žymą ir dažnai atkeliauja dienos pabaigoje ar artėjant savaitgaliui: kuomet stiprus noras atlikti pavestą užduotį laiku, nepaliekant kitai dienai, ypač jei prašomas atlikti veiksmas yra skubus.
Apsauga prasideda nuo žinojimo
Norint apsisaugoti, būtina įmonėje išsiugdyti kolektyvinį įprotį tikrinti bei domėtis galimomis rizikomis, turėti reguliarius mokymus apie finansinius bei kibernetinius nusikaltimus, galinčius paveikti įmonę ir jos darbuotojus. Būsite saugesni, jeigu:
- tikrinsite gaunamų laiškų siuntėjo adresus,
- neatidarinėsite laiškų iš nežinomų siuntėjų,
- nespausite laiškuose esančių nuorodų,
- įsidiegsite informacinės saugumo sistemas, perspėjančias darbuotojus apie gaunamus laiškus iš išorės ir iš adresatų, iš kurių anksčiau nebuvo gaunami laiškai,
- prisijungimui prie įmonės el. pašto ar sistemų, naudosite kelių veiksnių autentifikavimą,
- peržiūrėsite įmonėje nustatytus vienos operacijos, dienos bei mėnesio limitus operacijoms atlikti,
- sudėliosite mokėjimo operacijų tvirtinimo teises taip, kad operacijas, ypač didesnėmis sumomis, turėtų patvirtinti bent du atsakingi asmenys įmonėje,
- patikrinsite, ar atliekamo mokėjimo sąskaita sutampa su ankstesnių mokėjimų duomenimis,
- skubias ar netikėtas užklausas el. laiškais tikrinsite kitais būdais (pavyzdžiui, susisieksite su adresatu paskambindami jam ar parašydami įprastai naudojamu el. pašto adresu.
Informacijos patikra padės apsisaugoti ir nuo netikrų sąskaitų faktūrų – svarbu palyginti naujus mokėjimo nurodymo duomenis su žinomais kontaktais, reguliariai peržiūrėti tiekėjų sąrašus, naudoti skaitmenines sąskaitų faktūrų tvarkymo sistemas.
Kad kolektyvinė apsauga įmonėje būtų efektyvi, visi darbuotojai turėtų būti susipažinę su galimais sukčiavimo būdais. Įprotis naudoti sudėtingus slaptažodžius ir juos reguliariai keisti šiandien turėtų būti lyg higiena kiekvienoje įmonėje, kaip ir šlamštlaiškių filtrai ir antivirusinės programos.
