Sve više e-krađa – usmjerene na građane, računovodstvene urede, trgovačka društava i tijela državne vlasti

Policija je u posljednje vrijeme primila više prijava o tzv. phishing kampanji, koja se širi porukama elektroničke pošte, a usmjerena je na građane, računovodstvene urede trgovačkih društava, tijela državne vlasti i pravnih osoba s javnim ovlastima. Cilj je krađa financijskih sredstava, poručuju iz MUP-a.

Dva su različita tipa napada. Jedan je CEO, a radi se o prijevari koja se provodi na način da zaposlenik ovlašten za provođenje plaćanja plati lažni račun ili provede neovlašteni prijenos s računa tvrtke. Adresa pošiljatelja je lažirana na način da se primatelju prezentira da je poruka elektroničke pošte pristigla s adrese osobe nadređene tom zaposleniku ili čelnika tijela. Tekst poruke u velikoj je mjeri prilagođen hrvatskom jeziku, što ukazuje na to da je kampanja pripremana i usmjerena na konkretne mete.

Počinitelji potencijalnim žrtvama šalju poruke predstavljajući se kao direktor ili član uprave tvrtke. Dobro poznaju organizaciju tvrtke i traže od djelatnika računovodstva hitno provođenje plaćanja. Od zaposlenika se traži da ne slijedi redovne autorizacijske postupke. Zaposlenik zatim, po nalogu počinitelja, prenosi sredstva na račun u inozemstvu koji kontrolira počinitelj. Ako primatelj odabere opciju odgovora (Reply), pažljivim pregledom zlonamjerne poruke elektroničke pošte može se uočiti da je kao „Reply-To“ navedena adresa  koja pripada napadaču, a ne direktoru tvrtke ili čelniku tijela državne vlasti.

Druga vrsta prijevare je prijevare s računima. One se provode  na način da djelatnicima trgovačkog društva netko tko se pretvara da predstavlja dobavljača, davatelja usluga ili vjerovnika elektroničkom poštom dostavi phishing poruku. Počinitelji u poruci traže da se podaci o bankovnom računu primatelja budućih računa promijene i da se plaćanja obavljaju na  novi broj računa koji kontroliraju počinitelji.

Odgovornim osobama i djelatnicima trgovačkih društava iz MUP-a savjetuju da budu svjesni rizika te da se pobrinu da zaposlenici budu informirani i upoznati s ovim pojavnim oblicima internetskih prijevara. Važno je i potaknuti zaposlenike da budu oprezni sa svim zahtjevima za plaćanje.

Striktno i bez iznimaka provesti interne protokole vezane uz plaćanja kao i provjeriti izravno kod vjerovnika i poslovnih partnera sve zahtjeve koji se čine da dolaze od vjerovnika, posebno ako zatraže promjenu bankovnih podataka za buduća plaćanja.

Potrebno je odrediti osobe koje će biti jedinstvene kontaktne točke za rad s tvrtkama kojima redovito plaćate.Pregledavati informacije objavljene na internetskim stranicama vašeg trgovačkog društva i društvenim mrežama, ograničite javnu dostupnost informacija poput imena i prezimena zaposlenika i adresa elektroničke pošte koje sadrže osobna imena zaposlenika.

Uvijek pažljivo provjeravati adrese e-pošte koja je zaprimljena kada se radi o osjetljivim informacijama ili prijenosu sredstava. Izbjegavajte dijeljenje informacija o internoj organizaciji tvrtke, sigurnosti i procedurama.