prevara

U svom poslu često (jednom do dva puta mjesečno) nailazim na situacije u kojoj je neka tvrtka prevarena putem interneta. U ovom tekstu pokušati ću objasniti kako takva prevara izgleda i koje postupke možete napraviti da je u cijelosti onemogućite ili barem značajno otežate.

Ukratko, tvrtke imaju različite poslovne odnose s mnogobrojnim partnerima, te se mogu naći u ulozi kupca ili dobavljača. Ovaj konkretni tip prevare se najčešće događa kod prekograničnih transakcija i relativno ih je lagano za prepoznati.

Sve u pravilu počinje zaprimljenom email porukom koja je sadržajem, email adresom, imenima u mailu, svim bitnim podacima naizgled totalno autentična. U nekim situacijama sam uočio takve mailove kako se logično nadovezuju na prethodnu korespondenciju ili u nastavku maila imate korespondenciju koja je u cijelosti fiktivna ali daje mailu kojeg ste zaprimili dojam autentičnosti.

Primjer maila kojeg zaprimite (ovo je samo primjer), izgleda autentično, na istovjetnom mail templateu kao i prethodni mailovi vašeg klijenta.

Ukratko, vaš poslovni partner vas npr. pita hoćete li svoju obvezu podmiriti na vrijeme (i najčešće se referira na konkretne brojeve, konkretne datume dospijeća), te vam u prilogu dostavlja dokument u kojem vas partner obavještava da je promijenio bankovni račun te od vas traži da transakciju obavite na sasvim novi račun u drugoj banci.

Primjer pratećeg dopisa (iz stvarne prevare) koji je napravljen na vama prethodno poznatom memorandumu, potpisan od poznatih imena.

Ponekad, osim emaila i dopisa o promjeni bankovnog računa stigne i prateće pismo banke koje potvrđuje da je novi bankovni račun vašeg partnera od sada promijenjen. Kao i ostali dokumenti, i ovaj djeluje autentično i ni po čemu ne odudara od sličnih dokumenata koje ste dobili tijekom godina. Razlozi koji se navode mogu biti različiti, od toga da se konsolidira poslovanje, do toga da se kaže da je to račun nakon provedene akvizicije, račun koji je otvoren zbog nekog poreznog problema i slično.

Primjer bankovne potvrde o “promjeni” računa poslovnog partnera (iz stvarne prevare).

Sve što je potrebno napraviti je povjerovati da su dokumenti autentični i napraviti promjenu u vašem računovodstvenom sustavu i potom napraviti uplatu (naizgled, zašto ne bi bili kada dolaze od vama poznate osobe), no u pozadini su spretni prevaranti koji su se kompromitacijom mail sustava (vašeg ili vašeg klijenta) ubacili u vašu prepisku, poslali vam lažne dokumente i naveli vas da obavite transakciju. U času kada vi ili vaš partner shvatite da novac nije stigao gdje je trebao, račun je zatvoren a novac je odavno otišao kroz nekoliko koraka do svojeg krajnjeg primatelja.

Prevaranti kompromitiraju email račune i često znaju tjednima ili ponekad mjesecima čučati u prikrajku, proučavati vašu mail korespondenciju i čekati priliku kada da se ubace u komunikaciju. Moguće je da su već sada u vašem mail sustavu i pripremaju se poslati prevaru vašem kupcu, ili se nalaze u sustavu vašeg dobavljača pa vama spremaju gore navedeni set dokumenata. Kako god okrenuli, ili ćete svoje teško zarađene novce u najboljoj namjeri prebaciti prevarantu, ili će vaš klijent novce namijenjene vama prebaciti nekome tko ih definitivno ne zaslužuje. U oba scenarija ostajete bez svojeg novca pa je potrebno napraviti razumni napor da tako nešto spriječite.

Prekogranični poslovni odnosi su osobito osjetljivi jer malo tko zna ili brine o tome na koji račun se novac šalje ili doista razlikuje da vam je primjerice dobavljač iz Njemačke poslao uputstvo da mu novac platite na račun u Portugalu ili Velikoj Britaniji. Domaće transakcije su nam svima dobro poznate i internet bankarstvo odmah napiše tko je primatelj (ako je riječ o pravnoj osobi), a iskreno, standardi provjera i mogućnost otvaranja računa u našim bankama je bitno uredniji nego na nekim drugim tržiđtima. Kada smo već kod banaka “primatelja”, najčešće se pojavljuju banke u Velikoj Britaniji poput primjerice HSBC-a. Mnogi znaju da je HSBC velika banka, ali u stvarnosti riječ je o velikom broju malenih banaka (doslovce stotine sitnih banaka). U posljednje vrijeme sam naišao na nekoliko situacija gdje se traži plaćanje na banke u Portugalu, a tu su naravno i računi neo-banaka poput Revolut, Wise i sličnih (a kod kojih bankovni račun možete otvoriti u nekoliko klikova).

Dvije su taktike koje treba koristiti kako bi se značajno otežala ili u cijelosti onemogućila ovakva prevara, jedna je tehničke prirode a druga proceduralne.

Tehnička mjera

Morate napraviti napor da email sustav kojeg koristite bude siguran i onemogućava ili barem dramatično otežava mogućnost da se netko pogrešno prijavi. Te tehničke mjere se mogu svesti na nekoliko mogućih koraka:

odabir kvalitetnog email providera – iako vjerujem da ima ljudi koji će vas uvjeravati u suprotno, moje je osobno mišljenje da posao upravljanja vašim mail serverom u 2024. godini morate prepustiti nekome tko ima dobru reputaciju u tome. Solidni provideri su primjerice Google Workspace ili Microsoft Office 365 no vjerujem da ima i drugih reputabilnih providera osim ova dva (koja su po mom iskustvu najčešća, od čega će vam MS O365 riješiti i problem legalnosti office alata koje ionako vjerojatno dnevno koristite). Takvi dobavljači imaju superiorne spam filtere, te imaju cijeli niz alata koji provjeravaju autentičnost dolaznih mailova ali i “digitalno potpisuju” i jamče da je vaš mail odaslan od osobe koja je doista autorizirana za tako nešto. Dobri email provideri koštaju i postoji značajna razlika između hostanog maila od 20EUR godišnje i servisa poput Googlea ili Microsofta koji po korisniku koštaju od 6EUR mjesečno na više.
čak i ako ugovorite neki od gornjih servisa, potrebno ih je na adekvatan način konfigurirati, a to znači da je potrebno u DNS zoni vaše domene podesiti sve parametre koji su nužni za sigurni rad vaše domene u razmjeni email poruka. To primjerice znači da morate podesiti SPF record, DKIM i DMARC zapise. Ovo je korak koji se prečesto propušta i koji otvara prostor za manipulaciju i “proboj” sigurnosti. Slobodno testirajte vašu aktualnu domenu da vidite da li su ovi zapisi uopće konfigurirani – ne očekujem da razumijete objašnjenja, ali već sama činjenica da dobijete odgovor od ovih alata da zapis postoji i da je ispravan je korak naprijed (iako, ne mora značiti, treba provjeriti da je sve ažurno a to može napraviti vaš informatičar).
Nadalje, svi mail accounti (i općenito svi accounti) moraju biti zaštićeni sigurnim šiframa/zaporkama. Prije dvije godine sam napisao što to točno znači i kako provjeriti i na ovom linku imate detaljnije upustvo kako pristupiti zaporkama. Načelno, u 2024. godini password bi morao imati najmanje 14 znakova i treba jako paziti da isti password ne koristite za svoj poslovni/privatni mail i druge servise (osobito web dućane i slične web stranice na kojima objektivno pojma nemate da li su sigurni ili nisu). Ovih četrnaest znakova je okvirna brojka, ispravna mjera kompleksnosti zaporke se zove “entropija passworda” i nju možete izmjeriti na ovome mjestu, pri čemu se sigurnim passwordom smatra onaj koji ima entropiju veću od 60.
I posljednje, 99.9% svih problema možete riješiti ako počnete koristiti MFA/2FA autentikaciju. Svi reputabilni servisi kojima je sigurnost imalo bitna omogućavaju različite oblike MFA autentikacije. Znam da je to naizgled gnjavaža i nepotrebni korak, ali je to kritični korak kojim povećavate svoju sigurnost u mnogobrojnim redovima veličina.

Sažeto: složeni i jedinstveni password kao vatrogasna mjera, 2FA da bi se mogli osjećati sigurnim, SPF/DMARC/DKIM da bi bili odgovorni na internetu i reputabilni email provider da većinu gore navedenih briga za vas brine netko drugi.

Proceduralna mjera

Bez obzira na to što ste svoj mail sustav učinili sigurnim i napravili sve što je razumno moguće da se taj sigurnosni propust vama ne dogodi, moguće je da ćete zaprimiti od vašeg dobavljača mail s instrukcijom o promjeni bankovnog računa. Pitanje je što učiniti u takvim situacijama i sve što vam mogu ponuditi je nekoliko jednostavnih pravila:

ako dobijete zahtjev za promjenom računa na koji je potrebno platiti, odmah u postupak uključite druge osobe. Dakle ako ste računovođa, o tome odmah i bez odlaganja obavijestite odgovornu osobu u društvu, ako ste odgovorna osoba u društvu, konzultirajte se s računovođom.
ako ste osoba odgovorna za plaćanja, pa čak i ako dobijete mailom nalog vama nadređene osobe da na određeni IBAN prema poslovnom partneru s kojim nikada niste poslovali prebacite neki avans, stanite, razmislite i konzultirajte se. Više ljudi zna više i primjećuje više, provjerite svakako autentičnost informacije.
ako instrukciju dobijete putem telefona ili čak video poziva (pročitajte članak) i ako to djeluje imalo neuobičajeno, pričekajte, razmislite i provjerite. U doba umjetne inteligencije više ne možete biti baš totalno sigurni s kim razgovarate.
ako ste dobili instrukciju o promjeni bankovnog računa kroz poruku koja vam se čini autentičnom, svakako to provjerite kroz alternativni način komunikacije. To znači da nazovete tu osobu (ili drugu osobu iz tvrtke koja vas je obavijestila) na broj telefona kojeg imate od ranije i kojeg ste već koristili s tom osobom (dakle ne na broj telefona koji je eventualno naveden u podnožju emaila ili na zaglavlju memoranduma kojeg ste dobili).
moguće je da vam je i sve ovo promaklo te da ste napravili transakciju no nazvati će vas službenik iz banke da napravi još jednom provjeru. Provjere banke rade u slučajevima kada njihov interni sustav za procjenu rizika danu transakciju proglasi potencijalno prijevarnom – no često vam neće reći da sumnjaju na prijevaru nego samo kažu da rade provjeru (što je po meni pogrešno, ali općenito se loše slažem s bankama). Ako vas nazovu, stanite momentalno sa svime, zaustavite transakciju dok ne budete 1000% sigurni da je sve ispravno. Manja je šteta od dan-dva kašnjenja u plaćanju od gubitka desetaka a ponekad i stotina tisuća EUR.

I posljednje, ako ste zahvaćeni pokušajem ovakve prevare i ako ste je zaustavili na vrijeme, svakako se javite vašem bankaru i obavijestite ih o pokušaju (banke potom ubacuju takve račune na crne liste pa ćete s tih par minuta poziva vjerojatno spasiti nekog drugog, baš kao što će možda netko drugi spasiti vas – pay it forward), napišite opis što se dogodilo i pošaljite policiji. Ako vam je ovo pomoglo ili spriječilo štetu svakako mi se javite, a možete me počastiti i kavom.

p.s. neka osiguravajuća društva nude police osiguranja protiv ovakvih događaja, pa i to treba istražiti ako smatrate da ste posebno ugroženi

Misao dana:
It was the heart of any scam or fiddle — keep the punter uncertain, or, if he is certain, make him certain of the wrong thing.

Ovo je sedmi dio iz serije, prvih šest dijelova (konteksta radi) možete pročitati ovdje: prvi, drugi, treći, četvrti, peti, šesti.

Nisam već dugo ništa napisao na ovu temu i nekako si mislim da je vrijeme za vrlo konkretnu stvar. Naime ono što ću sada napisati je 100% sigurno istina (ili barem moje iskreno uvjerenje da je to istina), obzirom da nemam čvrste dokaze nego samo naznake i pročitano između redova neću nikoga imenovati kako bih zaštitio krivce (policija sada čita po službenoj dužnosti pa možda nešto korisno ispadne iz ovoga).

Dakle, recimo da postoji neka velika državna institucija koja ponekad naručuje ogromne količine različitih tiskanih materijala, i to radi u ljetnim mjesecima pokušavajući nagovoriti ljude da posjete naše more i onda dijeli te brošurice prolaznicima po cesti. Recimo da raspišu javni natječaj na kojem traže tisak neke brošure u nekoliko milijuna primjeraka i to je poprilično dobar opis onoga što je mene u jednome času snašlo.

Da budem totalno iskren, imao sam čovjeka unutar te institucije koji je htio napraviti prijateljsku uslugu (bez ikakvih obaveza i bez ikakve ali i najmanje financijske kompenzacije), jednostavno lik kojem je bilo dosta gledati što se sve tamo radi i koliku su vešmašinu (a nije za veš) sagradili tijekom godina.

Natječaj je bio lijepo i precizno napisan, napisana je bila točna vrsta i gramatura papira, tehnika tiska, mutacije, vrsta i način uveza, pakiranje, isporuka; sve u svemu sjajan tehnički opis na temelju kojeg je moguće napisati vrlo preciznu ponudu. Odmah da bude jasno riječ je bila o iznimno velikom poslu za bilo kakvu tiskaru i doslovno se radilo o tjednima posla i čekanju papira (u toj količini) iz tvornice koja se također mjerila u tjednima.

Kada se radi takav posao onda se tome pristupa malo drugačije od onih dnevnih poslova koje uobičajeno radimo. Ja bih često znao govoriti kako postoje poslovi od kojih se živi i poslovi na kojima se zarađuje. Ovo je bio posao od kojeg se živi, dakle posao koji je veliki, koji uključuje veliki novčani tok, koji zauzme ljude i kapacitete na duži rok i to još u doba mrtve sezone, dakle po svim kriterijima posao na kojem krajnju cijenu treba ogoliti do daske; čak raditi u malom minusu ako treba zato da bi rasteretili firmu gubitka koji se neminovno dogodi tijekom ljeta kada je ionako pola firme na godišnjem i kada je svaki prihod i dalje manji od mjesečnog troška hladnog pogona.

Ukratko, ogolili smo cijenu do kraja, iskoristili najoptimističnije moguće normative, naganjali dobavljača papira da nam da najbolje moguće uvjete, da iz ormara izvuku svaki popust koji se na cijenu može dobiti, smanjiti za konkretni posao rokove plaćanja da se još ušićari koji postotak i kada smo napravili sve što smo mislili da možemo onda smo poslali ponudu.

Na naše iznenađenje, makar je konkretni proizvod (ali doista igrom slučaja) idealno pasao upravo na naš strojni park, izgubili smo natječaj i to za impresivnih 30% razlike cijene. E sada, 30% je jednostavno previše, cijena papira se naštimava na drugu, treću decimalu, uvjeti su tu manje-više svima identični. Ljudi koštaju koliko koštaju i tu nema pomoći; porezi su fiksni i nema oko toga pregovaranja; normativi su (barem kod nas) bili visoki i učinkovitost sigurno na razini (imali smo čak i neke europske rezultate u brzini, postoje naime i mjerenja učinkovitosti, nije da je olimpijada ali najbliže tome što se može). Štogod da smo napravili i pregledali, svi brojevi su bili točni.

Pobjednik natječaja nije imao ništa bolju opremu od nas, nije osobito učinkovit ili učinkovitiji od nas. Znamo čak i neke ljude koji tamo rade pa znamo i koliko novaca dobiju za taj posao i svejedno nema objašnjenja za 30% razlike cijene.

Par tjedana kasnije, kada je posao već uvelike bio u realizaciji kod pobjednika, saznali smo što se u stvari dogodilo i ovo što sada slijedi je pravi mali financijski inženjering.

Kao prvo, isporučitelj nikada nije isporučio milijune komada nego stotine tisuća; jednostavno radi se o velikom logističkom poslu, ta roba se dijeli bez daljnjih potvrda utroška i to na desetinama ako ne i stotinama lokacija i jednostavno je netko potpisao otpremnice koje ne odgovaraju stvarnom stanju.

Nadalje, ekipa se uopće nije držala temeljne tehničke specifikacije, dakle nisu (npr. ne sjećam se točno detalja) tiskali na 135gr papiru nego na 80gr (ili tanjem), nisu tiskali u ravnom offseto nego u roto offsetu, nisu tiskali u pet boja nego četiri, nisu… Dakle, pormijenili su tehničku specifikaciju do granica prepoznatljivosti i unutar toliko značajne promjene tehničkih parametara naravno da su mogli skinuti pojedinačnu cijenu. Ako tome pribrojimo o razliku naručene i isporučene količine, prostor je tu ogroman.

No, priča ovdje ne završava. Obzirom da ljudi imaju papirnati izlaz za milijune komada, a ulaz repromaterijala za stotine tisuća, onda kupe tu sirovinu za milijune i potom razliku koja im nije potrebna prodaju za cash novce onima koji imaju doticaja s cash novcem (a takvih tiskara ima, oni koji rade s malim izdavačima, oni koji tiskaju malene artikle za male urede, najčešće obrtnike koji i dan danas vole platiti gotovinom umjesto preko računa).

Te cash novce oni ne stave u svoj džep, ako ste to mislili, ma ne, oni tim cash novcem isplate svoje vlastite radnike koji su prijavljeni taman toliko iznad minimalca da nisu baš direktno sumnjivi i na taj način izbjegnu plaćanje poreza.

Ukratko, ne samo da su promijenili tehničku specifikaciju (i na tome uštedili), nego su isporučili manje (tu također uštedili), potom su višak sirovine prodali za cash novce (što je naravno ilegalno) i nakon toga te cash novce iskoristili za plaćanje svojih vlastitih djelatnika (i vjerojatno provizija svima onima koji su to omogućili).

Naizgled, sve se čini legalno i super, gore spomenuta organizacija je super i jeftino prošla jer su odabrali najjeftiniju ponudu, na samu proceduru nabave nema niti može biti primjedbi, no nema povratne veze da se utvrdi da li je na kraju tehnička specifikacija poštivana i da li je ispravna količina isporučena; a cash novci koji su zamračeni u postupku završavaju u privatnim džepovima.

Pa ti radi onda s državnom institucijom i nadaj se da je sve cool?

Misao dana:
I do this real moron thing, it’s called thinking, and I’m not a very good Croat because I like to form my own opionions.

Facebook
X