Képzeljük el, hogy egy rohanós keddi napon érkezik egy email a főnöktől, akivel ritkán beszélünk személyesen, és most arra kér minket, hogy dobjunk már át egy adott bankszámlára 2 millió forintot, mert egy beszállítónk már nagyon nyavalyog az elmaradt utalás miatt.

Mit teszünk mi? Főleg, ha a cégnél mindez szokásos, és ez része a mindennapi rutinnak?

Nem zavar elsőre az sem, hogy a levél úgy tűnik, mintha a főnöktől jött volna, de mondjuk a levelezőkliens nem ismeri fel azonnal. A rendszeresség és a főnökben való feltétlen bizalom (illetve a félelem) miatt az összeget elutaljuk…

Egy csalónak.

“Higgy nekem, hisz a főnököd vagyok…”

Két és fél év alatt potom 2,3 milliárd dollárt (azaz mintegy 625 milliárd forintot) loptak el a különböző cégektől a felsővezetős emailes átverés segítségével.

Az összeg önmagában is elég nagy, de az FBI adatai szerint a 2015-ös sikeres próbálkozások száma majd’ 270 százalékkal emelkedett az egy évvel korábbihoz képest.

De hogy mi is pontosan a felsővezetős emailes átverés?

Az, amikor a csalók az adott cég felsővezetőit, ügyvédeit vagy megbízható beszállítóit játsszák el egy adott emailben. Ügyesen, pontosan ismerve a másikkal kapcsolatos levelezési szokásokat, nyelvezetet.

Ráadásul nemcsak az amerikai cégek vannak veszélyben, hiszen az FBI adatai szerint 2013 év végétől 2016 év elejéig 79 országban majdnem 18 ezer vállalatot kopasztottak meg ilyen módszerekkel.

Csak a józan ész segíthet, a hagyományos védelem már nem játszik

A hagyományos kiberbiztonsági megoldások az ilyen esetekben sajnos nem sokat segítenek, mivel a csalók nem olyan módszerekhez nyúlnak, amelyek elakadhatnak a különböző biztonsági rendszereken.

A bűnözők inkább nyilvánosan elérhető információkkal dolgoznak (céges emailcímek, stb.), és súrlódásmentesen szerzik be a legfontosabb tudnivalókat. Képesek kifigyelni a belső kommunikációs kultúrát, valamint gyakran belső emberük is akad a szokásosnál nagyobb összegek megszerzésére.

Amikor pedig bejutnak egy adott emailfiókba, akkor egyből a pénzügyi tranzakciókkal kapcsolatos levelek után kezdenek kutatni. Ez pedig egy riasztórendszer nélkül akár észrevétlen is maradhat.

Aztán jöhet az emailírás

Gyakori, hogy a megszerzett információ segítségével egy adott felső vezető vagy beszállító emailjéhez nagyon hasonló címről írnak, ami egy naponta sok levelet lebonyolító cégnél néha fel sem tűnik.

A hasonló kérések rendszeressége vagy a feltétlen bizalom ilyenkor hátrány, hiszen a munkatársak (főleg jóváhagyási igény nélkül) ezeket a hamis kéréseket azonnal és utánajárás nélkül teljesítik.

Egy belső jóváhagyási folyamatok terén hiányosságokkal küzdő cégnél pedig a bajra sem kell sokat várni ilyenkor, és a csalók több ezer dolláros összegeket is ki tudnak maguknak utaltatni.

Átlagosan 25-75 ezer dollárra rúg egy cég vesztesége, de volt már példa ennél nagyobb összegekre.

(forrás: HWSW)