Niezależnie czy chodzi o ochronę pieniędzy prywatnych czy w firmie, to człowiek jest najsłabszym ogniwem. Dlatego przestępcy posługują się znanymi od lat socjotechnikami. W tym przypadku najskuteczniejszą bronią jest uwrażliwienie pracowników i odpowiednie ich przygotowanie na taką sytuację. Warto więc poznać najczęściej spotykane oszustwa na polu firmowym.
Zdarzają się ataki precyzyjnie ustawione na wybraną firmę. Jednak dotyczą one zazwyczaj tajemnicy przedsiębiorstwa, kradzieży własności intelektualnej itd. Najczęściej jednak jest to typowo statystyczne zjawisko, czyli – zarzucamy sieć najszerzej jak się da i patrzymy, kto się złapie.
Na czym polegają oszustwa wobec firm i czy różnią się one od tych, na które narażeni są klienci indywidualni?
Najczęściej spotykanym scenariuszem oszustwa stosowanego w przypadku firm, jest sposób „na fałszywą fakturę”. Przestępcy wysyłają dokument z podmienionym numerem rachunku docelowego i jeżeli atakowany nie poświęci uwagi, by zweryfikować numer rachunku, tylko wprowadzi od razu dyspozycję w serwisie banku, to pieniądze wędrują na konta przestępców.
„Na fakturę” to chyba najbardziej znana metoda. A o jakich innych możemy mówić?
Pewnym rozszerzeniem metody „na fałszywą fakturę” jest podszywanie się pod kontrahenta. Wspomniany wcześniej sposób to zjawisko jednorazowe, faktura przychodzi, ktoś płaci i koniec. Prawie nie było interakcji między podmiotami.
Inaczej jest w sytuacji, gdy przestępcy wchodzą w posiadanie dostępu do zawartości skrzynek mailowych klientów korporacyjnych. W efekcie mają wgląd w to, co się dzieje w organizacji, z jakimi firmami dany podmiot współpracuje itp. Dzięki temu mogą też kontaktować się z pracownikami. Podszywają się pod jakiegoś kontrahenta, ustalają detale, korespondują z firmą, po czym zgodnie z ustaleniami wystawiają fakturę (oczywiście fałszywą). Natomiast klient-ofiara ma cały czas wrażenie, że rozmawiał z rzeczywistym kontrahentem i dostał fakturę, na którą się umówił, więc płaci bez żadnych wątpliwości.
Czy te metody, zmieniają się w czasie, ewoluują?
Nieznacznie. Schemat jest dość stary, opiera się na czystej socjotechnice i ona, mimo upływu czasu, nadal działa. To znaczy, że najsłabszym ogniwem niestety pozostaje człowiek. Przestępcy też mają swój rachunek zysków i strat. W związku z tym starają się realizować takie scenariusze, które są dla nich najkorzystniejsze i dają gwarancję łatwego zarobku. W końcu zawsze się znajdzie jakaś firma, która zapłaci.
Czyli to nie działa tak, że przestępca upiera się na jedną firmę, tylko zarzuca sieć najszerzej jak się da?
Zdarzają się ataki precyzyjnie ustawione na wybraną firmę. Jednak dotyczą one zazwyczaj tajemnicy przedsiębiorstwa, kradzieży własności intelektualnej itd. To jest zupełnie inny obszar i rządzi się innymi technikami. Natomiast w przypadkach, o których rozmawiamy, jest to typowo statystyczne zjawisko, czyli jak pan wspomniał – zarzucamy sieć najszerzej jak się da i patrzymy, kto się złapie.
Właśnie – kto się złapie, czyli znów czynnik ludzki. Zatrzymajmy się tutaj na chwilę i powiedzmy, w jaki jeszcze sposób przestępcy wykorzystują tu naturę człowieka.
Takim najbardziej jaskrawym przykładem w firmach jest atak „na prezesa”, gdzie do pracowników dzwoni lub pisze ktoś, kto podaje się za prezesa. Rzekomy prezes twierdzi, że jest do zrobienia deal stulecia, trzeba szybko domknąć transakcję. Nie ma jednak na miejscu osoby odpowiedzialnej, która mogłaby to zrobić, więc wykonanie transakcji powierza temu jednemu, wybranemu pracownikowi. Taka osoba otrzymuje również polecenie, by zrobić to teraz, natychmiast i co ważne – by nie dzielić się tą informacją z nikim, bo ta okazja jest poufna i gdyby ktoś się o tym dowiedział, to firma mogłaby mieć kłopoty.
Mamy tu do czynienia z próbą wpłynięcia na pracowników z wykorzystaniem autorytetu szefa i z wytworzeniem wrażenia, że ta transakcja jest super-korzystna i dzieje się tu i teraz. Jeżeli ją odpuścimy, to później nie będzie już możliwości jej przeprowadzenia.
W takim razie co powinien zrobić szef, żeby jego pracownicy nie dawali się nabrać na tego typu działania? Jak się ustrzec?
Kluczowe jest budowanie świadomości o tego typu zagrożeniach wśród personelu. Bardzo dobrą praktyką w kulturze korporacyjnej jest gdy prezes czy przełożony, deklaruje: „Jeżeli ktokolwiek do was zadzwoni w moim imieniu i będzie naciskać na zrobienie czegoś pilnego, nie róbcie tego. Nawet jeśli w słuchawce usłyszycie mój głos (dzisiaj w dobie sztucznej inteligencji to przecież nie jest problem). Zróbcie wtedy coś odwrotnego: zadzwońcie na mój numer telefonu i potwierdźcie to ze mną. Jeżeli nie możecie się ze mną skontaktować – uważajcie”.
Często jest tak, że pracownicy łapią się na takie oszustwa, bo boją się zadzwonić do prezesa, czy jego bezpośrednich współpracowników, by nie zawracać mu głowy. I to właśnie wykorzystują przestępcy.
Czyli firmy powinny prowadzić jakieś konkretne szkolenia na ten temat?
Zdaję sobie sprawę, że często trudno znaleźć na to czas. Ale jest na to przynajmniej jeden prosty sposób – programy onboardingu pracownika, które funkcjonują w firmach. Powinny one zawierać sekcję poświęconą cyberbezpieczeństwu i zapobieganiu oszustwom. To temat na tyle kompaktowy, że można go dobrze wyjaśnić nawet w 15 minut.
Te zasady są stosunkowo stałe, nie trzeba będzie tego często uaktualniać. Najważniejsze to pamiętać, że przestępcom chodzi przede wszystkim o to, żeby wsadzić ofiarę na „emocjonalny rollercoaster”, bo wtedy łatwo nią sterować. W momencie kiedy ludzie byli poinformowani o możliwości takiej sytuacji na szkoleniu czy podczas onboardingu, to wiedzą, że taki emocjonalny stan to sygnał, by się zatrzymać i zastanowić, co się dzieje, czy nie mamy do czynienia z oszustami, bo to im właśnie zależy na wywoływaniu takiej emocjonalnej huśtawki.
Czy mBank edukuje w jakiś sposób w tej dziedzinie swoich klientów?
Regularnie edukujemy naszych klientów o zagrożeniach na różne sposoby, czy to przez aplikację mobilną, serwis bankowości elektronicznej, lub na naszej stronie internetowej. Oprócz tego od lat konsekwentnie prowadzimy kampanie społeczne w obszarze cyberbezpieczeństwa. W ostatniej z nich, „Samoobronie w sieci”, mówiliśmy m.in. o wspomnianej już wcześniej metodzie „na fałszywą fakturę”. Bez względu na to, czy chodzi o atak na klienta indywidualnego czy firmowego, zawsze trzeba pamiętać, by zachować spokój i rozsądek.
Naszą ostatnią dużą akcją jest kryminalny serial audio „Jazgot”, w którym opowiadamy historię oszustwa na fałszywą inwestycję. Pokazujemy jak krok po kroku przestępca manipuluje ofiarę. Scenariusz do serialu napisał ceniony pisarz Łukasz Orbitowski, a jej narratorem jest Jarosław Kuźniar. Dzięki temu słucha się tego jak dobrego kryminału.
Jaka nauka wynika z tej historii dla nas?
W „Jazgocie” zależało nam, by pokazać, jak oszuści budują relacje z ofiarami i do czego ich namawiają. Oszukani tracą pieniądze w kilku krokach, dopłacają do kolejnych „okazyjnych: transakcji. Czasem otrzymują nawet jakiś zwrot. To buduje zaufanie. Jednak gdy chcą wycofać się z inwestycji, to otrzymują informację, że trzeba jeszcze zapłacić podatek od zysku i nie można go odliczyć od „zarobionych” pieniędzy... Po pewnym czasie osoba jest tak przywiązana do swojej „inwestycji”, że wybicie jej ze świata iluzji, nawet przez bliskich, jest bardzo trudne.
To pokazuje, jaka jest siła w narzędziach socjotechnicznych i jak bardzo są one groźne w rękach przestępców. I to dotyczy każdego oszustwa – czy to wobec klienta detalicznego, czy firmy. Jak już wcześniej wspomniałem, w każdym przypadku skuteczną bronią będą zdrowy rozsądek i opanowanie. Trzeba powściągnąć emocje zanim oszust przejmie zupełną kontrolę nad tym, co się dzieje. I nad nami.
„Jazgot” to kryminalny serial audio o oszustwie „na fałszywą inwestycję”, wyprodukowany przez mBank i Voice House. Główny bohater produkcji – Piotr - prowadzi wspólnie z żoną klub jazzowy „Niebieski pociąg” we Wrocławiu. Piotr realizuje swoje marzenie, ale robi to z coraz większym trudem. Jednak na horyzoncie pojawia się wyjątkowa okazja. Postępowanie Piotra stanowi anty-poradnik – pokazuje konsekwencje nieprzemyślanych decyzji, a przy okazji obnaża triki przestępców. Scenariusz do serialu napisał Łukasz Orbitowski, a narratorem jest Jarosław Kuźniar. W produkcji wzięło udział 11 aktorów. Jazgot od lipcowej premiery szturmem zdobył popularność na platformach podcastowych. Od 25 sierpnia dostępny jest cały sezon serialu. Więcej informacji i platformy, na których można posłuchać „Jazgotu” na www.mbank.pl/jazgot.