Cele mai recente stiri


Cele mai citite stiri


Ultimele cautari

ANALIZA: Sute de mii de companii devin anual victime ale unei fraude online de tipul "Mesaj de la sef" sau “CEO Fraud”. Lunar, pierderile sunt de peste 300 milioane de dolari

publicat 2020-09-11 14:30:11 (Money.ro)

ANALIZA: Sute de mii de companii devin anual victime ale unei fraude online de tipul "Anual, sute de mii de companii devin victime ale unei fraude cu un mod de operare indraznet, frauda pentru care specialistii au oferit nume diferite, precum Mesaj de la sef, CEO Fraud, Business Email Compromise, Email Account Compromise sau Invoice Fraud. Indiferent de denumire, potrivit statisticii, se estimeaza ca in fiecare luna pierderile sunt de peste 300 milioane de dolari. Aparitia pandemiei COVID-19 si limitarile aduse au generat un context favorabil pentru autorii unor astfel de fraude, motiv pentru care, in aceasta perioada, numarul acestora a cunoscut o explozie fara precedent" spune Claudiu Chirita, senior manager, Forensic, EY Romania. Astfel, prin spoofing, atacatorul pretinde ca e CEO-ul companiei, impersonand adresa de e-mail folosita de acesta, si anunta ca tocmai a fost infectat cu Covid-19. Drept urmare, sustine ca are nevoie de ajutorul angajatului "victima" pentru finalizarea unei tranzactii sensibile, urgente si confidentiale. Atacatorul, care pretinde ca este liderul companiei, solicita departamentului financiar efectuarea unei plati urgente pentru achizitionarea de medicamente, teste sau echipament de protectie, cu "maxima urgenta". Atacatorul, folosind o adresa de email care pare sa apartina unui CEO sau altei persoane cu autoritate din cadrul companiei, transmite un mesaj "Stay safe!" (specific acestei perioade), urmat de solicitarea disponibilitatii angajatului "victima" de a-i oferi sprijin pentru finalizarea unor tranzactii. Atacatorul, care pretinde ca e angajat al companiei, anunta departamentul HR sau financiar despre schimbarea contului pentru plata drepturilor sale, avand in vedere limitarile de deplasare impuse de pandemie. Atacatorul, care pretinde ca e CEO sau alta persoana cu autoritate in companie, solicita finalizarea urgenta si confidentiala a unei tranzactii (investitie, depozit, achizitie, fuziune, etc) care a fost intarziata de pandemie. Pe scurt, faptuitorul pretinde, in mod credibil si prin diverse metode, a fi CEO sau o alta persoana cu autoritate din cadrul companiei, pentru a determina efectuarea unei plati autorizate catre un cont aflat sub controlul sau, spune EY Romania. "In Romania, in fiecare saptamana, departamentele antifrauda si de conformitate din cadrul bancilor sunt confruntate cu solicitari ale autoritatilor de aplicare a legii sau ale clientilor legate de tranzactii efectuate ca urmare a acestui tip de frauda, in conditiile in care nu este neobisnuit ca o singura asemenea tranzactie sa aiba o valoare de mai multe sute de mii de euro", adauga el. De exemplu, in 2013 reprezentanta din Romania a unei companii multinationale din domeniul telecomunicatiilor a fost prejudiciata cu 1,8 milioane euro. In 2016, o alta companie care activeaza si in Romania a efectuat plati in valoare de 40 milioane euro prin una dintre modalitatile de comitere a acestei fraude. "Acest tip de frauda speculeaza cea mai vulnerabila veriga din lantul de aparare impotriva fraudei: omul. Prin verificari si testari specializate si preferabil independente ale cadrului intern de prevenire si identificare a fraudei, prin pregatire periodica si de substanta a personalului companiei, se poate preveni cu succes aparitia unui astfel de caz care ar putea sa ameninte insasi sustenabilitatea afacerii", adauga reprezentantul EY. El subiniaza ca daca tocmai am aflat ca am fost victima unei astfel de fraude, in primul rand, se va incerca cat mai repede oprirea platii respective. "Se va contacta urgent banca prin care s-a ordonat transferul si i se va solicita sprijin pentru oprirea platii in banca corespondenta. Este de avut in vedere faptul ca o intarziere de cateva ore poate face acest demers inutil. Atacatorii vor redirectiona sumele incasate catre o alta jurisdictie, de indata ce banii au intrat in contul aflat in controlul lor", mentioneaza el. In al doilea rand, se va urmari limitarea pagubei. Mai precis, se va stabili daca sunt programate alte plati catre contul indicat de atacator si daca au fost schimbate recent si alte conturi ale furnizorilor sau angajatilor, catre care ar urma sa se efectueze plata. "In continuare, se impune o investigare exhaustiva a conditiilor care au determinat efectuarea platii. Investigatia trebuie facuta in cea mai profesionista maniera pentru a culege toate datele si a stabili cu precizie situatia de fapt si persoanele implicate, dar si pentru a nu contamina probele pentru actiunile legale ulterioare (fie penale, civile sau administrative). O atentie marita trebuie acordata mediului electronic care trebuie conservat fara a fi alterat (forensic data acquisition), dar si modului de sustinere a interviurilor cu personalul implicat (se va avea in vedere si scenariul in care, la comiterea fraudei, s-a oferit sprijin din interior)", precizeaza acesta. Investigatia va urmari stabilirea gravitatii atacului si identificarea tuturor datelor sensibile care au fost puse la dispozitia atacatorilor. Dupa ce au fost colectate toate probele din mediul digital, se va proceda la restaurarea si remedierea sistemelor afectate, schimbarea parolelor, imbunatatirea politicii de acces, adaugarea de noi controale, etc. Angajatii companiei si, indeosebi, cei din pozitii cheie, (contabilitate, financiar, resurse umane, etc) vor fi instruiti cu privire la modul in care s-a savarsit frauda pentru a se preveni aparitia unui atac similar (care va fi mai facil pentru atacator, avand in vedere ca deja a avut acces la multe date confidentiale). Impreuna cu specialistii, se va analiza existenta unei eventuale raportari a incidentului: in cazul in care au fost expuse date personale, obligatia de raportare catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal sau, in cazul unui atac informatic la un operator de servicii esentiale conform Directivei NIS, transpusa prin legea 362/2018, obligatia de raportare catre CERT-RO. Totodata, se va analiza si gestiona relatia cu partenerii de afaceri afectati de incident (de exemplu furnizori ale caror date au fost transmise atacatorilor), pentru ca, la randul lor, acestia pot deveni victime pe baza informatiilor sensibile transmise. Nu in ultimul rand, desi de cele mai multe ori exista o retinere in acest sens, se recomanda formularea unei plangeri penale. Chiar daca probabilitatea de recuperare a sumelor transferate nu este foarte mare, un astfel de demers legal va avea un efect de descurajare pe termen lung a autorilor unei astfel de fraude. Cea mai ingenioasa si aparent cea mai simpla metoda prin care un infractor poate determina o companie sa efectueze o plata neautorizata catre un cont pe care il controleaza este social engineering - ingineria sociala: atacatorul culege date despre companie si despre reprezentantii sai, dupa care interactioneaza telefonic sau prin email cu angajati din pozitii cheie (contabilitate, financiar, HR) pentru a obtine date sensibile (de exemplu, lista furnizorilor cu facturi de valoare mare ce urmeaza a fi scadente in perioada urmatoare) sau pentru a determina efectuarea unei plati pentru o achizitie urgenta. O alta metoda, mai tehnica, presupune trimiterea unor email-uri care urmaresc obtinerea accesului la sistemul informatic al companiei (phishing, spear phishing, executive whaling) in vederea schimbarii coordonatelor de plata ale principalilor furnizori sau pentru executarea unor noi plati. "Aceste modalitati de comitere au trei elemente comune: atacatorul pretinde a fi altcineva, in cadrul companiei (CEO, CFO) sau din afara acesteia (avocat, auditor, furnizor); se invoca urgenta si confidentialitate, respectiv plata trebuie efectuata in cel mai scurt timp in contul indicat, fara a fi informate alte persoane din companie; se solicita o plata catre un cont anume sau schimbarea contului pentru o plata ce urmeaza sa fie facuta catre un furnizor existent", arata analiza EY. EY este una dintre cele mai mari firme de servicii profesionale la nivel global, cu 284.000 de angajati in peste 700 de birouri in 150 de tari si venituri de aproximativ 37,2 miliarde de dolari in anul fiscal incheiat la 30 iunie 2020. Prezenta in Romania din anul 1992, EY are peste 800 de angajati din Romania si Republica Moldova furnizeaza servicii integrate de audit, asistenta fiscala, strategi si tranzactii, consultanta catre companii multinationale si locale. Avem birouri in Bucuresti, Cluj-Napoca, Timisoara, Iasi si Chisinau.

citeste mai mult...
Alte stiri de la Money.ro:
AFP: Situatia pandemiei covid-19: lumea depaseste pragul de 40 de milioane de contaminari; repercusiuni majore asupra fluxului migratiei in primul semestru
Restrictiile din Capitala sunt NULE. Aurelian Badulescu explica situatia: Va dau o veste proasta
Oana Sirbu, vedeta incontestabila a intalnirilor promotiilor absolventilor din intreaga tara. "Toti vor sa auda melodiile din «Liceenii»"
STARE DE URGENȚA intr-o tara europeana. Cazurile de coronavirus au explodat
L-a demis! Orban a luat o decizie fara precedent. Prefectul Capitalei iese din functie
Se cere INCHIDEREA scolilor. PSD-ul se revolta: Au doar interese electorale
ALERTA! Masca de protectie devine obligatorie in aer liber si in acest judet
NEWS ALERT: Mastile devin obligatorii peste tot. Se inchid scolile, restaurantele si teatrele
Florin Ristei, juratul la X-Factor, da lectii particulare concurentei Naomi Hedman. Oficial, e prima lui iubita!
SURSE: Premierul Orban il demite pe prefectul Capitalei
Apple a lansat Apple Music TV, platforma de videoclipuri muzicale
STUDIU: Institutiile financiare traditionale vor trebui sa taie 25-50% din costuri in urmatorii 3-5 ani pentru a se mentine eficiente si relevante
Tanara, frumoasa si desteapta. O romanca s-a impus in domeniul constructiilor navale, in Italia
Asociatia Nationala a Agentiilor de Turism solicita Guvernului elaborarea unei scheme de ajutor, reducerea cotei de TVA pentru o perioada limitata si prelungirea acordarii voucherelor de vacanta
Romanul care a revolutionat traficul din New York vine cu solutii pentru Bucuresti. Va lucra gratis