#07 Карабосс Барабосс
Відповідальність – це не тільки професійна перевага, але і великий ризик для персоналу компанії. У першу чергу, – менеджерів та фахівців середньої ланки в сфері
надання фінансових послуг та матеріально-технічного забезпечення. Саме відповідальність може стати вразливим місцем і відкрити вікно можливостей для шахраїв, що працюють у корпоративному секторі злочинності.
Атака на персонал компанії може здійснюватися за різними сценаріями. Розглянемо три:
Алло, це директор!
“Алло, це директор!” – дзвінок з підмінного номера, що належить керівнику компанії. “У нас проблеми! Податкова приїхала. Зараз маскі-шоу буде! Негайно перекажіть усі гроші з нашого рахунку 2600…”
“Йди до біса, директор!” – було б найправильнішою і найкращою відповіддю. Але не усі працівники здатні у такій стресовій ситуації зберегти спокій, холодний розум та самостійно перетелефонувати особі, від імені якої вам надійшов дзвінок.
Поспіх, нерви та бажання працівника відзначитися роблять свою чорну справу.
Зміна реквізитів
Цей сценарій передбачає повідомлення від постачальника про зміну реквізитів і необхідність терміново сплатити рахунок. Усе може виглядати правдоподібно. І назва компанії, що є стратегічним партнером або постачальником, і документи, що містять логотип, підписи та печатку. Фальшивий лист може нічим не відрізнятися від справжнього. До того ж шахраї нерідко підробляють адреси електронної пошти відправників.
Якщо постачальник повідомляє про зміну реквізитів рахунку, обов’язково зв’яжиться з ним, щоб підтвердити отриману інформацію, – за телефоном з попередніх комунікацій, оскільки в адресу електронної пошти або номер телефону, що зазначені в електронному листі або рахунку, можуть бути внесені зміни.
Злам системи
Шахрай телефонує співробітнику, видаючи себе за IT-спеціаліста компанії. Повідомляє про здійснення зламу системи компанії. Вимагає надати фінансову інформацію під приводом перевірки
або налаштування програми віддаленого адміністрування, терміново завантажити якесь програмне забезпечення або вимкнути антивірусний захист.
Не піддавайтеся тиску. Не завантажуйте та не встановлюйте жодних програм та не вимикайте систем захисту! Спершу власноруч зателефонуйте IT-службі вашої компанії.
Ознаки атаки:
- Особисте спілкування з керівником вищої ланки, з яким ви зазвичай не підтримуєте взаємні стосунки, діловий або дружній зв’язок
- Незвичайне розпорядження, що суперечить внутрішнім процедурам компанії
- Вимога щодо збереження конфіденційності
- Погрози або непритаманні лестощі / обіцянка відзнаки
- Тон мовлення ІТ-співробітника / співробітника служби безпеки, що має викликати тривогу, занепокоєння
- Вимога завантажити програмне забезпечення з підключенням до зовнішньої мережі (напр., під приводом перевірки та/або налаштування програми віддаленого адміністрування)
- Пропозиція переказати кошти на інший «безпечний» рахунок
- Несподівана зміна контактної інформації / реквізитів рахунку підрядної компанії (як водиться, про зміну реквізитів рахунку повідомляється заздалегідь, за декілька тижнів / місяців)
- Зміна реквізитів рахунку відбувається невдовзі після отримання великого замовлення або напередодні здійснення
оплати
Як захиститися:
- Дотримуйтесь політики безпеки компанії щодо здійснення платежів та постачань. Точно, без відхилень виконуйте всі вимоги, не оминаючи виконання жодної. Не піддавайтеся тиску.
- У разі виникнення будь-яких сумнівів щодо платіжного доручення, завжди звертайтесь за порадою до колег, навіть якщо вас просили зберігати конфіденційність.
- Будьте обізнаними із ризиками та розповсюдьте цю інформацію серед своїх колег.
- Будьте обачними, використовуючи соціальні мережі: поширюючи інформацію про своє місце роботи та посадові обов’язки, ви власноруч збільшуєте ризик стати мішенню для шахрайської атаки.
Корисні посилання:
Шахрайські атаки, мішенью яких є персонал компанії
Здолай шахрая, Карабос Барабос, фішинг