Bądź czujny korzystając z internetu i chroń swoje dane. Jak surfować w sieci w sposób bezpieczny i świadomy oraz unikać cyberzagrożeń?
Oszustwa fakturowe, określane również jako „invoice fraud” nie są zjawiskiem nowym. Proceder związany z rozsyłaniem za pomocą poczty e-mail do firm fałszywych faktur w celu wyłudzenia płatności ma miejsce już od dawna. I chociaż główny zamysł oraz cel oszustów jest niezmienny, scenariusze i metody stosowane przy oszustwach fakturowych, są cały czas doskonalone. Cały proces to dobrze zaprojektowany i skoordynowany podstęp, w którym atakujący próbuje nakłonić firmę do zapłacenia fałszywej faktury.
W ostatnim czasie coraz częściej oszustwa te polegają na podszywaniu się pod rozpoznawalne firmy, uznane marki, co ma na celu uwiarygodnienie przestępcy. Atakujący zbierają za pomocą ogólnodostępnych źródeł np. stron internetowych, rejestrów publicznych – KRS, CEIDG, ale także poprzez phishing lub socjotechnikę, informacje o firmie, której tożsamość planują wykorzystać. Zebrane dane – kontaktowe, osoby i ich stanowiska, nazwy działów, styl czy szablony dokumentów firmowych np. faktury czy oferty handlowej, wygląd e-maili służbowych, są wykorzystywane do sporządzenia fałszywej wiadomości oraz załączonej do niej faktury.
Najprostszym sposobem wprowadzenia w błąd odbiorcy co do autentyczności wiadomości jest manipulacja nagłówkiem nadawcy. Z reguły oszust podszywa się pod osoby zajmujące kierownicze stanowiska – dyrektor wysokiego szczebla, prezes zarządu, właściciel firmy. Do tej metody nie potrzeba tak naprawdę specjalistycznej wiedzy informatycznej, ale jest to atak łatwy do wykrycia, bo wystarczy rozwinąć opcję pełnego adresu mailowego i wtedy pokaże się nam prawdziwa domena nadawcy. Inny sposób to włamanie się na skrzynkę pracownika/szefa danej organizacji i wysyłanie maili z jego skrzynki. Włamać się można za pomocą socjotechniki, nierozwagi ofiary spowodowanej np. nadmiarem zadań lub poprzez łamanie haseł. W innych przypadkach z kolei, oszuści rejestrują domeny o bliźniaczo podobnej nazwie i wysyłają maila. Dla przykładu wykorzystanie brak różnicy pomiędzy dużym “i” a małym “L” w prawdziwym adresie. Innym powodem czy też raczej źródłem ataku może być włamanie się na stronę danej organizacji (PHP) i wysyłanie wiadomości bezpośrednio z jego strony. Źródłem ataku mogą być także otwarte przekaźniki SMTP klienta. O ile w przypadku dwóch ostatnich metod, ochronić możemy się za pomocą odpowiednio skonfigurowanych protokołów bezpieczeństwa dla poczty e-maila (DMARC, DKIM), o tyle w pozostałych przypadkach podstawa to inwestycja w świadomość i wiedzę pracowników na temat cyberataków (szkolenia, testy socjotechniczne, audyty).
Adresatem fałszywej wiadomości są zazwyczaj pracownicy działu księgowości, backoffice. W wiadomości, otrzymują oni od szefa polecenie, pilnego dokonania płatności za załączoną fakturę. Na załączonej fakturze pracownik widzi dane autentycznej firmy, jej logo, nazwiska osób, dane adresowe, nie zgadza się z reguły tylko jedna informacja – numer konta bankowego tej firmy – na które ma być dokonana płatność, ale tego nieświadomy zagrożenia pracownik już niestety nie wie. Nieprzypadkowa jest również kwota do zapłaty, poniżej 15 tys. zł. W przypadku dokonywania płatności poniżej 15 tys. zł nie narażamy się na sankcje związane z dokonaniem płatności na inny rachunek niż podany na białej liście płatników VAT, prowadzonym przez szefa Krajowej Administracji Skarbowej, co dodatkowo może zachęcić pracownika do dokonania szybkiej operacji, bez weryfikacji numeru rachunku na „białej liście”.
Ofiarami padają zarówno duże firmy jak i mniejsze organizacje. Firmy tracą w ten sposób setki tysięcy złotych oraz swoją reputację i wiarygodność u partnerów biznesowych.
Dlaczego takie metody wciąż są skuteczne i nie potrafimy się przed nimi ustrzec? Oszustwa fakturowe wykorzystują pochopne reakcje i błędy. Presja czasu, nadmiar obowiązków, krótkie terminy płatności – tak to również, ale nie tylko.
Wiele firm nadal nie posiada zautomatyzowanych procedur weryfikacji i bazuje na ręcznym przetwarzaniu dokumentów, w tym finansowych. Kolejnym błędem jest nieprzestrzeganie procedur i ich naginanie dla nagłych potrzeb. Często pracownicy tłumaczą się w ten sposób po fakcie, że przecież takie sytuacje się zdarzały, że prezes czy dyrektor wysyłał już takie faktury z pominięciem procedur na ostatnią chwilę, bo terminy, bo ważny klient czeka itp., skąd miał wiedzieć że to akurat oszustwo…
Zgubić nas może również brak ostrożności czy nawet nadmierne zaufanie – księgowa zakłada, że faktura przeszła już przez kierownika czy dział zamówień, a dział płatności czy zamówień zakłada że skoro faktura przyszła już do nich, to księgowość na pewno już zrobiła swoje. Takie sytuacje mogą doprowadzić do tego, że faktura przechodzi przez system i nikt tak naprawdę dokładnie jej nie zweryfikował.
Na co powinniśmy być wyczuleni, żeby nie dać się oszukać?
Sytuacje z nagłymi zmianami numerów rachunku bankowego, nietypowy termin czy pora dnia otrzymania wiadomości od przełożonego, nietypowy styl komunikacji, drobne subtelne błędy w danych usługodawcy czy osób z nim powiązanych oraz brak naszej wiedzy na temat usługi, której faktura dotyczy, wszystko to powinno pobudzić naszą ostrożność.
Jak się przed tym ustrzec? Najprostszym sposobem na sprawdzenie autentyczności faktury jest skontaktowanie się z firmą, która teoretycznie ją wystawiła. Do kontaktu nigdy nie należy wykorzystywać kanałów wskazanych w podejrzanej wiadomości tylko zaufanych innych źródeł.
Tak jak to bywa w większości oszustw, niezależnie od metody, najsłabszym ogniwem jest człowiek, dlatego powinniśmy systematycznie inwestować w szkolenia personelu, także a może zwłaszcza osób na wysokich stanowiskach, dlatego, że to oni posiadają wiedzę o organizacji oraz dostępy do kluczowych zasobów i poufnych informacji. Ludzie tworzący organizację powinni być świadomi i znać wykorzystywane techniki ataków phishingowych oraz socjotechniki. Powinni umieć rozpoznać przesłanki i sygnały świadczące o tym, że dana wiadomość może być sfałszowana, powinni wiedzieć na co zwracać uwagę, aby rozpoznać fałszywą fakturę i jak ją zweryfikować. Doskonałą metodą zapobiegania, ale także badania skuteczności szkoleń są próby socjotechniczne. Testy socjotechniczne pokazują nam na ile pracownicy są świadomi zagrożeń oraz podatni na ataki z wykorzystaniem socjotechniki. W trakcie testu pracownicy są poddawania kontrolowanej próbie wyłudzenia od nich informacji lub nakłonienia ich do określonych czynności, które w praktyce mogły narazić firmę na określone ryzyko – utratę pieniędzy czy wyciek poufnych informacji.
Kolejną rzeczą, a może i najistotniejszą tutaj jest wprowadzenie odpowiednich procedur wewnętrznych, systematyczne kontrolowanie ich i przestrzeganie przez zaangażowany personel:
- wykorzystanie zautomatyzowanych systemów do zarządzania obiegiem i weryfikacji faktur,
- procedury weryfikacji kontrahentów w rejestrach publicznych tj. GUS, KRS czy białej liście płatników VAT, gdzie możemy potwierdzić numer rachunku bankowego, na który faktycznie powinniśmy zapłacić swojemu dostawcy.
W świecie biznesu codziennie dochodzi do wielu prób oszustwa z wykorzystaniem metody fałszywych faktur, a mimo to świadomość tego zagrożenia oraz wiedza na jego temat nie przebija się do świadomości osób, które mogą być bezpośrednio narażone. Metody oszustwa takie jak „na wnuczka” czy „na policjanta” są dobrze znane, każdy o nich słyszał, dużo się o nich mówi w mediach. Oszustwa fakturowe są mniej rozpoznawalne – dlaczego? Pewnie dlatego, że firmy nie chcą się przyznawać i o tym informować, że padły ich ofiarą. Czy to jako ta, która dała się oszukać i zapłaciła czy ta, pod którą się podszywano. Firmy boją się o własny wizerunek i reputację, nie chcą być kojarzeni z cyberatakami oraz postrzegani jako ci, od których wiadomości mogą być niebezpieczne lub których łatwo nabrać.
Piotr Kropidłowski | Dyrektor Projektu w CompNet