Niedawno zespół naszej Kancelarii zakończył postępowanie karne, w sprawie w której nasz Klient padł ofiarą tzw. oszustwa BEC (z ang. ‘Business E-mail Compromise’). Odzyskaliśmy ponad 2,8 mln EUR, które wyłudzili oszuści. Warto wiedzieć, jak zabezpieczyć się przed takimi atakami i jak na nie reagować.
 

Oszustwa BEC – nadal popularne i skuteczne

Oszustwa typu BEC polegają na próbie wyłudzenia danych lub pieniędzy przez oszusta, który podaje się za zazwyczaj za kontrahenta lub klienta naszej firmy, który przeprowadza z nami transakcję, - rzeczywistą lub fikcyjną. Schematów może być oczywiście wiele, ale sprowadzają się one do wprowadzenia w błąd osoby zarządzającej rachunkiem bankowym firmy i przekonania jej do szybkiego wykonania transferu pieniężnego. Wg danych KPMG,  2022 r. minimum jedną próbę naruszenia bezpieczeństwa odnotowało 58% polskich przedsiębiorstw, a wzrost intensywności cyberataków zauważyło 33% firm.

Jak się zabezpieczyć?

• świadomość, że każda firma może paść ofiarą takiego ataku;
• polityka postępowania i procedura sprawdzająca w wypadku nagłych i niespodziewanych próśb (czy nawet poleceń) wykonania transferów pieniężnych;
• zasada podwójnej akceptacji albo kategoryczny zakaz zlecania przelewów w formie mailowej, smsowej, telefonicznej itp.;
• nawet polecenia wydawane w formie wideokonferencji nie są bezpieczne – oszuści potrafią posługiwać się tzw. deepfake i sztuczną inteligencją;
• wszelkie próby wywierania presji, powoływanie się na szczególne okoliczności, potrzebę wymagającą ominięcia normalnych zabezpieczeń, muszą budzić szczególną czujność;
• weryfikowanie wszelkiego rodzaju nietypowych próśb;
• dokładne weryfikowanie adresów mailowych (mogą różnić się jedną literą, np. l zamiast i);
• dokładne weryfikowanie numerów telefonów, z jakich przychodzą prośby.

Jak reagować? 

• każdą próbę wyłudzenia zgłaszać odpowiednim komórkom organizacyjnym firmy – audyt, IT, dział prawny czy Compliance;
• takie zdarzenia powinny skutkować wszczęciem procedury sprawdzającej;
• nawet, jeżeli próba okazała się nieudana, to warto podjąć próbę ustalenia, skąd oszuści wiedzieli, jak ją podjąć i usunąć nieszczelności systemu;
• jeżeli dojdzie do oszustwa i środki zostaną przelane, reagować bardzo szybko;
• od razu powiadomić (w formie elektronicznej) CSIRT NASK (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy); 
• nawiązać szybki kontakt z komórką bezpieczeństwa i AML (anti-money laundering) banku, z którego wykonaliśmy przelew – być może uda się go jeszcze zablokować.

Dopiero po tych działaniach zawiadomienie o przestępstwie. W śledztwie prokurator będzie mógł zatrzymać pieniądze i je zabezpieczyć – nawet, jeśli nie uda się znaleźć i ukarać sprawców, będzie można odzyskać stratę.  
 

Więcej artykułów o prawie HR w newsletterze – PRO HR Październik 2024