Policija istražuje sumnju da je nepoznati računalni prevarant presreo elektroničku komunikaciju jedne zagrebačke tvrtke s poslovnim partnerom iz EU i naveo tvrtku na uplatu više milijuna kuna na njegov račun, priopćila je u petak zagrebačka policija.
Policija je precizirala kako je u kolovozu zaprimila prijavu odgovorne osobe zagrebačke tvrtke da je nepoznata osoba putem elektroničke pošte presrela njihovu komunikaciju s tvrtkom iz EU, nakon čega je nepoznati počinitelj zagrebačkoj tvrtki dostavio podatke o broju svojeg bankovnog računa na koji je potrebno izvršiti plaćanje usluge.
Na taj način izvršena je uplata više milijuna kuna na račun počinitelja, dodala je zagrebačka policija.
PU zagrebačka utvrđuje sve okolnosti događaja, a policija upozorava građane i tvrtke na prijevare s računima (BEC – Business Email Compromise) kod kojih se počinitelji predstavljaju kao klijenti ili dobavljači te navode djelatnike da izvrše uplate za određene usluge na bankovni račun kojeg kontrolira počinitelj.
U policiji savjetuju tvrtke da se pobrinu da im zaposlenici budu obaviješteni i svjesni ove vrste prijevare i upućeni kako ih izbjeći te da upute osoblje odgovorno za plaćanje računa da ih uvijek provjeravaju zbog mogućih nepravilnosti.
Tvrtkama se savjetuje i da uvedu postupak za provjeru legitimiteta zahtjeva za plaćanjem te da pregledaju informacije objavljene na stranici tvrtke, posebno ugovore i dobavljače. Uz to, savjetuje se da se pobrinu kako njihovi zaposlenici paze na sadržaj koji dijele na društvenim mrežama.
Policija posebno savjetuje i zaposlenike da provjere sve zahtjeve koji se čine da dolaze od tvrtkinih vjerovnika, posebno ako zatraže promjenu podataka za buduća plaćanja te da za isplate iznad određenog praga uspostave postupak potvrde ispravnosti bankovnog računa i primatelja.
Zaposlenicima savjetuju i da ne koriste detalje kontakta dobivenih pismom, faxom ili e-poštom koji traže izmjenu jer je sigurnije koristiti one iz prethodne korespodencije. Uz to, savjetuje se određivanje osoba koje će biti jedinstvene kontaktne točke za rad s tvrtkama kojima se redovito plaća, ali i ograničavanje informacija koje zaposlenici dijele o svojem poslodavcu na društvenim mrežama.
Policija savjetuje zaposlenicima da nakon plaćanja računa pošalju e-poruku kako bi obavijestili primatelja te da pritom kao mjeru sigurnosti navedu naziv banke i posljednje četiri znamenke računa na koji je uplaćen novac.
Opasnost i direktorske ili CEO prijevare
PU zagrebačka upozorava i na direktorske ili CEO prijevare koje se događaju kada je zaposlenik ovlašten za provođenje plaćanja računa prevaren na način da plati lažni račun ili provede neovlašteni prijenos s računa tvrtke.
Policija je pojasnila da u tom obliku prijevare prevarant zove ili šalje poruke predstavljajući se kao direktor ili član uprave koji traži hitno plaćanje koristeći pritom fraze o povjerljivosti i osjetljivosti situacije poput porezne kontrole te spajanja i preuzimanja poduzeća.
U policiji ističu da se takve vrste prijevara mogu prepoznati kroz neočekivane poruke i pozive, pristisak i uvjeravanje u hitnost, izravnim kontaktom s visokim dužnosnikom s kojim zaposlenici obično nisu u kontaktu, neuobičajenim zahtjevom u suprotnosti s internim postupcima, zahtjevom za apsolutnu povjerljivost i prijetnjama, neobičnim laskanjima ili obećanom nagradom.
Kako bi izbjegle direktorsku ili CEO prijevaru tvrtkama se savjetuje da budu svjesne rizika i da se pobrinu da zaposlenici budu informirani i oprezni sa svim zahtjevima za plaćanje. Savjetuje se i provođenje internih protokola za plaćanje te propisivanje postupka provjere legitimnosti zahtjeva za plaćanje primljenih putem e-pošte.
Uz to, savjetuje se uspostavljanja pravila za izvještavanje o prijevarama, ograničavanje informacija objavljenih na društvenim mrežama i nadogradnja te ažuriranje tehničke sigurnosti.
Zaposlenicima se savjetuje strogo poštivanje sigurnosnih postupaka za plaćanje i nabavu, provjeravanje adresa e-pošte kada je riječ o osjetljivim informacijama ili prijenosu novca, ograničavanje informacija i poseban oprez na društvenim mrežama. Savjetuje se i neotvaranje sumnjivih poveznica i privitaka e-pošte te izbjegavanje dijeljenja informacija o internoj organizaciji tvrtke, sigurnosti i procedurama. Za slučaj primitka sumnjive e-pošte ili poziva savjetuje se obavještavanje IT odjela tvrtke te policije.