RO EN
السلة فارغة

EY: Sute de mii de companii devin victime ale fraudelor ce aduc pagube de miliarde

Anual, sute de mii de companii devin victime ale unei fraude cu un mod de operare indraznet, frauda pentru care specialistii au oferit nume diferite, precum Mesaj de la sef, CEO Fraud, Business Email Compromise, Email Account Compromise sau Invoice Fraud. Indiferent de denumire, potrivit statisticii, se estimeaza ca in fiecare luna pierderile sunt de peste 300 milioane de USD.
Aparitia pandemiei COVID-19 si limitarile aduse au generat un context favorabil pentru autorii unor astfel de fraude, motiv pentru care, in aceasta perioada, numarul acestora a cunoscut o explozie fara precedent. Astfel, cu titlu de exemplu:
- prin spoofing, atacatorul pretinde ca e CEO-ul companiei, impersonand adresa de e-mail folosita de acesta, si anunta ca tocmai a fost infectat cu COVID-19. Drept urmare, sustine ca are nevoie de ajutorul angajatului „victima” pentru finalizarea unei tranzactii sensibile, urgente si confidentiale;
- atacatorul, care pretinde ca este liderul companiei, solicita departamentului financiar efectuarea unei plati urgente pentru achizitionarea de medicamente, teste sau echipament de protectie, cu „maxima urgenta”;
- atacatorul, folosind o adresa de email care pare sa apartina unui CEO sau altei persoane cu autoritate din cadrul companiei, transmite un mesaj „Stay safe!” (specific acestei perioade), urmat de solicitarea disponibilitatii angajatului “victima” de a-i oferi sprijin pentru finalizarea unor tranzactii;
- atacatorul, care pretinde ca e angajat al companiei, anunta departamentul HR sau financiar despre schimbarea contului pentru plata drepturilor sale, avand in vedere limitarile de deplasare impuse de pandemie;
- atacatorul, care pretinde ca e CEO sau alta persoana cu autoritate in companie, solicita finalizarea urgenta si confidentiala a unei tranzactii (investitie, depozit, achizitie, fuziune, etc) care a fost intarziata de pandemie.
Pe scurt, faptuitorul pretinde, in mod credibil si prin diverse metode, a fi CEO sau o alta persoana cu autoritate din cadrul companiei, pentru a determina efectuarea unei plati autorizate catre un cont aflat sub controlul sau.
In Romania, in fiecare saptamana, departamentele antifrauda si de conformitate din cadrul bancilor sunt confruntate cu solicitari ale autoritatilor de aplicare a legii sau ale clientilor legate de tranzactii efectuate ca urmare a acestui tip de frauda, in conditiile in care nu este neobisnuit ca o singura asemenea tranzactie sa aiba o valoare de mai multe sute de mii de euro. De exemplu, in 2013 reprezentanta din Romania a unei companii multinationale din domeniul telecomunicatiilor a fost prejudiciata cu 1,8 milioane EUR. In 2016, o alta companie care activeaza si in Romania a efectuat plati in valoare de 40 milioane EUR prin una dintre modalitatile de comitere a acestei fraude.
Acest tip de frauda speculeaza cea mai vulnerabila veriga din lantul de aparare impotriva fraudei: omul. Prin verificari si testari specializate si preferabil independente ale cadrului intern de prevenire si identificare a fraudei, prin pregatire periodica si de substanta a personalului companiei, se poate preveni cu succes aparitia unui astfel de caz care ar putea sa ameninte insasi sustenabilitatea afacerii.
Ce trebuie facut daca tocmai am aflat ca am fost victima unei astfel de fraude?
In primul rand, se va incerca cat mai repede oprirea platii respective. Se va contacta urgent banca prin care s-a ordonat transferul si i se va solicita sprijin pentru oprirea platii in banca corespondenta. Este de avut in vedere faptul ca o intarziere de cateva ore poate face acest demers inutil. Atacatorii vor redirectiona sumele incasate catre o alta jurisdictie, de indata ce banii au intrat in contul aflat in controlul lor.
In al doilea rand, se va urmari limitarea pagubei. Mai precis, se va stabili daca sunt programate alte plati catre contul indicat de atacator si daca au fost schimbate recent si alte conturi ale furnizorilor sau angajatilor, catre care ar urma sa se efectueze plata.
In continuare, se impune o investigare exhaustiva a conditiilor care au determinat efectuarea platii. Investigatia trebuie facuta in cea mai profesionista maniera pentru a culege toate datele si a stabili cu precizie situatia de fapt si persoanele implicate, dar si pentru a nu contamina probele pentru actiunile legale ulterioare (fie penale, civile sau administrative). O atentie marita trebuie acordata mediului electronic care trebuie conservat fara a fi alterat (forensic data acquisition), dar si modului de sustinere a interviurilor cu personalul implicat (se va avea in vedere si scenariul in care, la comiterea fraudei, s-a oferit sprijin din interior).
Investigatia va urmari stabilirea gravitatii atacului si identificarea tuturor datelor sensibile care au fost puse la dispozitia atacatorilor.
Dupa ce au fost colectate toate probele din mediul digital, se va proceda la restaurarea si remedierea sistemelor afectate, schimbarea parolelor, imbunatatirea politicii de acces, adaugarea de noi controale, etc.
Angajatii companiei si, indeosebi, cei din pozitii cheie, (contabilitate, financiar, resurse umane, etc) vor fi instruiti cu privire la modul in care s-a savarsit frauda pentru a se preveni aparitia unui atac similar (care va fi mai facil pentru atacator, avand in vedere ca deja a avut acces la multe date confidentiale).
Impreuna cu specialistii, se va analiza existenta unei eventuale raportari a incidentului: in cazul in care au fost expuse date personale, obligatia de raportare catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal sau, in cazul unui atac informatic la un operator de servicii esentiale conform Directivei NIS, transpusa prin legea 362/2018, obligatia de raportare catre CERT-RO.
Totodata, se va analiza si gestiona relatia cu partenerii de afaceri afectati de incident (de exemplu furnizori ale caror date au fost transmise atacatorilor), pentru ca, la randul lor, acestia pot deveni victime pe baza informatiilor sensibile transmise.
Nu in ultimul rand, desi de cele mai multe ori exista o retinere in acest sens, se recomanda formularea unei plangeri penale. Chiar daca probabilitatea de recuperare a sumelor transferate nu este foarte mare, un astfel de demers legal va avea un efect de descurajare pe termen lung a autorilor unei astfel de fraude.
Principalele modalitati prin care un infractor poate determina o companie sa efectueze o plata neautorizata catre un cont pe care il controleaza
Cea mai ingenioasa si aparent cea mai simpla metoda este social engineering - ingineria sociala: atacatorul culege date despre companie si despre reprezentantii sai, dupa care interactioneaza telefonic sau prin email cu angajati din pozitii cheie (contabilitate, financiar, HR) pentru a obtine date sensibile (de exemplu, lista furnizorilor cu facturi de valoare mare ce urmeaza a fi scadente in perioada urmatoare) sau pentru a determina efectuarea unei plati pentru o achizitie urgenta.
O alta metoda, mai tehnica, presupune trimiterea unor email-uri care urmaresc obtinerea accesului la sistemul informatic al companiei (phishing, spear phishing, executive whaling) in vederea schimbarii coordonatelor de plata ale principalilor furnizori sau pentru executarea unor noi plati.
Aceste modalitati de comitere au trei elemente comune:
- atacatorul pretinde a fi altcineva, in cadrul companiei (CEO, CFO) sau din afara acesteia (avocat, auditor, furnizor);
- se invoca urgenta si confidentialitate, respectiv plata trebuie efectuata in cel mai scurt timp in contul indicat, fara a fi informate alte persoane din companie;
- se solicita o plata catre un cont anume sau schimbarea contului pentru o plata ce urmeaza sa fie facuta catre un furnizor existent.
 
Un material de Claudiu Chirita, Senior Manager, Forensic, EY Romania

AGENDA CONSTRUCTIILOR

Vizualizaţi acum şi valorificaţi toate oportunităţile!
Ştiri de calitate și informaţii de afaceri pentru piaţa de construcţii, instalaţii, tâmplărie şi domeniile conexe. Articolele publicate includ:
- Ştiri de actualitate, legislaţie, informaţii statistice, tendinţe şi analize tematice;
- Informaţii despre noi investiţii, lucrări, licitaţii şi şantiere;
- Declaraţii şi comentarii ale principalilor factori de decizie /formatori de opinie;
- Sinteza unor studii de piaţă realizate de către organizaţii abilitate;
- Date despre noile produse şi tehnologii lansate pe piaţă.
AGENDA INVESTITIILOR
EURO-CONSTRUCTII
EURO-FEREASTRA
FEREASTRA

Abonare newsletter