Sute de mii de angajați au primit „un mesaj de la șef”. Ce a urmat
Sute de mii de companii devin anual victime ale unei fraude online de tipul „Mesaj de la şef”, iar apariţia pandemiei şi limitările aduse au generat un context favorabil pentru autorii unor astfel de fraude.
Lunar, pierderile sunt de peste 300 milioane de dolari, arată o analiză EY.
"Anual, sute de mii de companii devin victime ale unei fraude cu un mod de operare îndrăzneţ, fraudă pentru care specialiştii au oferit nume diferite, precum Mesaj de la şef, CEO Fraud, Business Email Compromise, Email Account Compromise sau Invoice Fraud. Indiferent de denumire, potrivit statisticii, se estimează că în fiecare lună pierderile sunt de peste 300 milioane de dolari. Apariţia pandemiei COVID-19 şi limitările aduse au generat un context favorabil pentru autorii unor astfel de fraude, motiv pentru care, în această perioadă, numărul acestora a cunoscut o explozie fără precedent" spune Claudiu Chiriţă, senior manager, Forensic, EY România, citat de News.ro.
Astfel, prin spoofing, atacatorul pretinde că e CEO-ul companiei, impersonând adresa de e-mail folosită de acesta, şi anunţă că tocmai a fost infectat cu Covid-19. Drept urmare, susţine că are nevoie de ajutorul angajatului „victimă” pentru finalizarea unei tranzacţii sensibile, urgente şi confidenţiale.
Atacatorul, care pretinde că este liderul companiei, solicită departamentului financiar efectuarea unei plăţi urgente pentru achiziţionarea de medicamente, teste sau echipament de protecţie, cu „maximă urgenţă”.
Atacatorul, folosind o adresă de email care pare să aparţină unui CEO sau altei persoane cu autoritate din cadrul companiei, transmite un mesaj „Stay safe!” (specific acestei perioade), urmat de solicitarea disponibilităţii angajatului “victimă” de a-i oferi sprijin pentru finalizarea unor tranzacţii.
Atacatorul, care pretinde că e angajat al companiei, anunţă departamentul HR sau financiar despre schimbarea contului pentru plata drepturilor sale, având în vedere limitările de deplasare impuse de pandemie.
Atacatorul, care pretinde că e CEO sau altă persoană cu autoritate în companie, solicită finalizarea urgentă şi confidenţială a unei tranzacţii (investiţie, depozit, achiziţie, fuziune, etc) care a fost întârziată de pandemie.
Pe scurt, făptuitorul pretinde, în mod credibil şi prin diverse metode, a fi CEO sau o altă persoană cu autoritate din cadrul companiei, pentru a determina efectuarea unei plăţi autorizate către un cont aflat sub controlul său, spune EY România.
"În România, în fiecare săptămână, departamentele antifraudă şi de conformitate din cadrul băncilor sunt confruntate cu solicitări ale autorităţilor de aplicare a legii sau ale clienţilor legate de tranzacţii efectuate ca urmare a acestui tip de fraudă, în condiţiile în care nu este neobişnuit ca o singură asemenea tranzacţie să aibă o valoare de mai multe sute de mii de euro", adaugă el.
De exemplu, în 2013 reprezentanţa din România a unei companii multinaţionale din domeniul telecomunicaţiilor a fost prejudiciată cu 1,8 milioane euro. În 2016, o altă companie care activează şi în România a efectuat plăţi în valoare de 40 milioane euro prin una dintre modalităţile de comitere a acestei fraude.
"Acest tip de fraudă speculează cea mai vulnerabilă verigă din lanţul de apărare împotriva fraudei: omul. Prin verificări şi testări specializate şi preferabil independente ale cadrului intern de prevenire şi identificare a fraudei, prin pregătire periodică şi de substanţă a personalului companiei, se poate preveni cu succes apariţia unui astfel de caz care ar putea să ameninţe însăşi sustenabilitatea afacerii", adaugă reprezentantul EY.
El subiniază că dacă tocmai am aflat că am fost victima unei astfel de fraude, în primul rând, se va încerca cât mai repede oprirea plăţii respective.
"Se va contacta urgent banca prin care s-a ordonat transferul şi i se va solicita sprijin pentru oprirea plăţii în banca corespondentă. Este de avut în vedere faptul că o întârziere de câteva ore poate face acest demers inutil. Atacatorii vor redirecţiona sumele încasate către o altă jurisdicţie, de îndată ce banii au intrat în contul aflat în controlul lor", menţionează el.
În al doilea rând, se va urmări limitarea pagubei. Mai precis, se va stabili dacă sunt programate alte plăţi către contul indicat de atacator şi dacă au fost schimbate recent şi alte conturi ale furnizorilor sau angajaţilor, către care ar urma să se efectueze plata.
"În continuare, se impune o investigare exhaustivă a condiţiilor care au determinat efectuarea plăţii. Investigaţia trebuie făcută în cea mai profesionistă manieră pentru a culege toate datele şi a stabili cu precizie situaţia de fapt şi persoanele implicate, dar şi pentru a nu contamina probele pentru acţiunile legale ulterioare (fie penale, civile sau administrative). O atenţie mărită trebuie acordată mediului electronic care trebuie conservat fără a fi alterat (forensic data acquisition), dar şi modului de susţinere a interviurilor cu personalul implicat (se va avea în vedere şi scenariul în care, la comiterea fraudei, s-a oferit sprijin din interior)", precizează acesta.
Investigaţia va urmări stabilirea gravităţii atacului şi identificarea tuturor datelor sensibile care au fost puse la dispoziţia atacatorilor.
După ce au fost colectate toate probele din mediul digital, se va proceda la restaurarea şi remedierea sistemelor afectate, schimbarea parolelor, îmbunătăţirea politicii de acces, adăugarea de noi controale, etc.
Angajaţii companiei şi, îndeosebi, cei din poziţii cheie, (contabilitate, financiar, resurse umane, etc) vor fi instruiţi cu privire la modul în care s-a săvârşit frauda pentru a se preveni apariţia unui atac similar (care va fi mai facil pentru atacator, având în vedere că deja a avut acces la multe date confidenţiale).
Împreună cu specialiştii, se va analiza existenţa unei eventuale raportări a incidentului: în cazul în care au fost expuse date personale, obligaţia de raportare către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal sau, în cazul unui atac informatic la un operator de servicii esenţiale conform Directivei NIS, transpusă prin legea 362/2018, obligaţia de raportare către CERT-RO.
Totodată, se va analiza şi gestiona relaţia cu partenerii de afaceri afectaţi de incident (de exemplu furnizori ale căror date au fost transmise atacatorilor), pentru că, la rândul lor, aceştia pot deveni victime pe baza informaţiilor sensibile transmise.
Nu în ultimul rând, deşi de cele mai multe ori există o reţinere în acest sens, se recomandă formularea unei plângeri penale. Chiar dacă probabilitatea de recuperare a sumelor transferate nu este foarte mare, un astfel de demers legal va avea un efect de descurajare pe termen lung a autorilor unei astfel de fraude.
Cea mai ingenioasă şi aparent cea mai simplă metodă prin care un infractor poate determina o companie să efectueze o plată neautorizată către un cont pe care îl controlează este social engineering – ingineria socială: atacatorul culege date despre companie şi despre reprezentanţii săi, după care interacţionează telefonic sau prin email cu angajaţi din poziţii cheie (contabilitate, financiar, HR) pentru a obţine date sensibile (de exemplu, lista furnizorilor cu facturi de valoare mare ce urmează a fi scadente în perioada următoare) sau pentru a determina efectuarea unei plăţi pentru o achiziţie urgentă.
O altă metodă, mai tehnică, presupune trimiterea unor email-uri care urmăresc obţinerea accesului la sistemul informatic al companiei (phishing, spear phishing, executive whaling) în vederea schimbării coordonatelor de plată ale principalilor furnizori sau pentru executarea unor noi plăţi.
"Aceste modalităţi de comitere au trei elemente comune: atacatorul pretinde a fi altcineva, în cadrul companiei (CEO, CFO) sau din afara acesteia (avocat, auditor, furnizor); se invocă urgenţă şi confidenţialitate, respectiv plata trebuie efectuată în cel mai scurt timp în contul indicat, fără a fi informate alte persoane din companie; se solicită o plată către un cont anume sau schimbarea contului pentru o plată ce urmează să fie făcută către un furnizor existent", arată analiza EY.
EY este una dintre cele mai mari firme de servicii profesionale la nivel global, cu 284.000 de angajaţi în peste 700 de birouri în 150 de ţări şi venituri de aproximativ 37,2 miliarde de dolari în anul fiscal încheiat la 30 iunie 2020.
Prezentă în România din anul 1992, EY are peste 800 de angajaţi din România şi Republica Moldova furnizează servicii integrate de audit, asistenţă fiscală, strategi şi tranzacţii, consultanţă către companii multinaţionale şi locale. Avem birouri în Bucureşti, Cluj-Napoca, Timişoara, Iaşi şi Chişinău.