Fake President Fraud | KPMG | PL

Fake President Fraud – aby Twoja firma nie stała się ofiarą oszustwa socjotechnicznego „na fałszywego prezesa”

Fake President Fraud

“Fake president fraud”, czyli oszustwo “na fałszywego prezesa” to jedna z popularniejszych obecnie metod socjotechnicznych, w której przestępca podając się za zarządcę spółki nakłania pracownika do dobrowolnego przelania dużej sumy pieniężnej bezpośrednio na rachunek przestępcy (podany przez oszusta). Choć wydaje się to nieprawdopodobne, aby pracownik dobrowolnie i świadomie zlecił przelew na nieznany rachunek bankowy, to organy ścigania notują w ostatnich kilku latach znaczny wzrost tego rodzaju przestępstw.

Powiązane treści

Omawiany schemat bazuje na manipulacji psychologicznej. Wykorzystuje typowe psychologiczne słabości i z góry założone wyobrażenia na temat zwierzchnictwa i stosunków społecznych, w celu skłonienia ludzi do pewnych działań. Często sposoby wykorzystania tych automatycznych i podświadomych schematów działania są tego rodzaju, iż ich ofiara może nawet nie zdawać sobie sprawy, że była im poddana aż do momentu ich ujawnienia po fakcie.

Zastosowanie metod socjotechnicznych jest tym skuteczniejsze im większa wiedza oszusta o środowisku w którym funkcjonuje ofiara. Nie jest zbytnio utrudnione, uwzględniając, iż większość menadżerów przedstawianych jest na stronach internetowych zarządzanych
przez nich spółek, gdzie załącza się zwykle ich notki biograficzne i adresy e-mail. Oszust nie ma więc trudności ze stworzeniem fałszywego adresu e-mail osoby, pod którą się podszywa. Poza tym strony internetowe spółek często ujawniają informacje o klientach, z którymi współpracują i inne użyteczne szczegóły, które pomagają oszustowi uwiarygodnić prośbę o wykonanie przelewu. Dodatkowo, szereg informacji, które mogą służyć do wiarygodnego przedstawienia się przez oszusta może od zdobyć dzięki ustawowym obowiązkom informacyjnym ciążącym na spółkach, w szczególności publicznych.

Jak wygląda typowy scenariusz oszustwa „na fałszywego prezesa”?
„Fake President Frauds” mogą różnić się co do pewnych szczegółów, jednak zawsze obejmują cztery podstawowe elementy.

1. Zainicjowanie kontaktu. Osoba podająca się za menadżera wysokiego szczebla w spółce – zwykle prezesa, dyrektora zarządzającego czy dyrektora finansowego (niekiedy też współpracującego ze spółką notariusza, prawnika z kancelarii obsługującej spółkę, księgowego) – kontaktuje się z wytypowanym („namierzonym”) pracownikiem. Są to wyłącznie pracownicy odpowiedzialni za dokonywanie przelewów bankowych. Ponieważ osoby takie zwykle muszą uzyskać potwierdzenie lub zgodę na wykonanie przelewu, przestępca poddaje się za prezesa lub inną innego przełożonego tej osoby osobę, na stanowisku uprawniającym do dokonywania pilnych płatności.

Kontakt nawiązywany jest zwykle poprzez e-mail z domeny łudząco podobnej do prawdziwej domeny przedsiębiorstwa lub poprzez „osobiste konto”. Niekiedy, zwłaszcza gdy osoba „zaatakowana” nie zna głosu osoby, pod którą podszywa się oszust, kontakt nawiązywany jest przez telefon.

2. Prośba o wykonanie przelewu - oszust podszywając się pod członka kierownictwa spółki (lub inną podobną osobę), skłania pracownika działu finansowego spółki do dobrowolnego wykonania przelewu znacznej sumy pieniężnej bezpośrednio z rachunku firmy na rachunek podany przez oszusta z pominięciem standardowych procedur, z powołaniem się nagłe, pilne bądź wyjątkowe przyczyny. Uzasadnieniem takiej prośby może być szereg pozornie uzasadnionych powodów (np. niedawne nabycie, spłata długów, zaplata sprzedawcom itp.)

3. Wywieranie presji. Ma zapobiec kwestionowaniu przez pracownika nietypowej prośby albo wyłamaniu się z rutynowych procedur. W tym celu wdraża psychologiczną presję na pracownika, aby przyjął przedstawioną historię jako wiarygodną i zastosował się do prośby. Presja taka może opierać się na wielu różnych czynnikach psychologicznych, w tym:

- Autorytet zwierzchnika: w tym przypadku w celu przekonania pracownika przestępca podkreślać będzie swoje stanowisko. Czynnik ten daje oszustowi wiele możliwości wpływu na pracownika, w tym używanie pozycji zwierzchnika w celu onieśmielenia pracownika czy żerowanie na chęci pracownika aby zrobić dobre wrażenie na przełożonym

- Presja czasu: Oszuści będą też często twierdzić, że przelew dotyczy wyjątkowo pilnej sprawy i naciskać na pracownika, aby zignorował obowiązujące procedury bezpieczeństwa w celu wyeliminowania niebezpieczeństwa, iż pracownik opowie innej osobie o przelewie albo sprawdzi uzyskane informacje przed dokonaniem przelewu.

- Tajemnica: stosowana często w połączeniu z presja czas. W tym przypadku rzekomy prezes będzie podkreślał, że transakcja musi pozostać w tajemnicy ze względu na strategiczne lub prawne przyczyny. Dopuszczenie pracownika do tajemnicy może przy tym dowartościować pracownika, zrodzić w nim poczucie bycia kimś wyjątkowym i podnieść szansę, że przelew zostanie zlecony.

4. Zlecenie przelewu. Zazwyczaj następuje z pominięciem standardowych procedur, wg wyjątkowej procedury (na szczególne wypadki), najczęściej poprzez bezpośredni kontakt z bankiem. Jeżeli pracownik zlecający jest osobą upoważnioną, bank wykona zlecenie, nawet jeżeli jest on nietypowy.

Spektakularnym przykładem skali zagrożenia oszustwem „na fałszywego prezesa” z bieżącego roku jest przypadek, jaki zaistniał w spółce FACC – dostawcy Boeinga i Airbusa wskutek zdarzenia związanego z omawianym oszustwem. Przestępcy wprowadzili w nakłonili kontrolerów finansowych tej spółki do przelania na konto oszustów, w ciągu najprawdopodobniej kilku transakcji, łącznie kwoty 52,8 mln euro. Spółce udało się uchwycić jeszcze 10.9 mln euro w banku odbiorcy, gdzie kwota ta pozostaje nadal zamrożona. Reszta przelanych środków w kwocie 41,9 mln euro została bezpowrotnie utracona. Po ujawnieniu sprawy notowania akcji FACC spadły o 38%, a spółka odnotowała rekordową stratę w kwocie 23.4 milionów (w porównaniu z 18.6 mln euro zysku operacyjnego, który mogłaby osiągnąć gdyby opisane zdarzenie nie miało miejsca). W konsekwencji dyrektor operacyjny spółki utracił swoje stanowisko.

Jak ograniczyć ryzyka udanego ataku oszusta?

Podstawą do obrony przed działaniami socjotechnicznymi jest świadomość naturalnych procesów psychologicznych oraz zasad bezpieczeństwa. Jest wiele różnorakich działań, dzięki którym przedsiębiorstwa mogą ograniczyć ryzyko, iż padną ofiarą opisanego scenariusza. Należą do nich szkolenia pracowników czy przyjęcie powszechnego obowiązku weryfikowania tożsamości.

Szczególnie istotnym sposobem jest też wdrożenie odpowiednich procedur przeciwdziałających ryzyku udanego ataku socjotechnicznego i podkreślanie wagi ich stosowania. W szczególności chodzi tu o odpowiednie procedury autoryzowania przelewów.

Oszustwo „na fałszywego prezesa” ma wiele podobieństw do innych cyber przestępstw, jak np. spear phishing1. Jednak w przypadku Fake President Fraud, mimo że przestępstwo zostało zainicjowane poprzez e-mail, pracownik dobrowolnie i świadomie autoryzuje przelew środków na konto podane oszusta. Nie ma tu elementu bezprawnego dostępu i manipulacji danymi. Podstawowym czynem zabronionym jest wiec oszustwo z art. 280 §1 kodeksu karnego2. Obowiązujące ewentualnie w przedsiębiorstwie procedury polityki przeciwdziałania cyber przestępstwom, w tym spear pishingowi, nie stanowią zatem mechanizmów zabezpieczających przeciw omawianemu typowi oszustwa.

Jak reagować w przypadku odkrycia ataku i minimalizować straty?

Instrumenty prawne, które można wykorzystać w przypadku odkrycia ataku będą zależały od konkretnego przypadku. Podstawowym i najważniejszym krokiem, niezbędnym dla utrzymania szansy odzyskania utraconych środków jest zawiadomienie o zaistniałym przestępstwie swojego banku i a za jego pośrednictwem zagranicznego banku odbiorcy oraz organów ścigania.

Fundamentalne znaczenie ma tu szybkość działania, tak aby środki przelane udało się jeszcze uchwycić, zanim przestępcy dokonają dalszych transakcji w celu zatarcia śladów po przelanych pieniądzach. Istotne znaczenie ma też nawiązanie kontaktu z organami ścigania właściwymi dla miejsca położenia bank – odbiorcy.

 

 

1Atak typu „spear phishing” to wiadomość e-mail, która wygląda, jakby została wysłana przez osobę lub firmę znaną użytkownikowi. W rzeczywistości wiadomość pochodzi od przestępców, którzy chcą dokonać kradzieży numerów kart kredytowych i kont bankowych haseł oraz informacji finansowych przechowywanych w komputerze. Przestępca nakłania pracownika do otworzenia maila albo kliknięcia na link, co wywołuje ściągnięcie szkodliwego oprogramowania na komputer pracownika i umożliwia przestępcy dostęp do sieci przedsiębiorstwa.

 

Fatima Joanna Mohmand, doktor, adwokat w kancelarii prawnej D. Dobkowski sp.k. stowarzyszonej z KPMG w Polsce
 

Bądź z nami w kontakcie

 

Zapytanie ofertowe (RFP)

 

Prześlij