U svom poslu često (jednom do dva puta mjesečno) nailazim na situacije u kojoj je neka tvrtka prevarena putem interneta. U ovom tekstu pokušati ću objasniti kako takva prevara izgleda i koje postupke možete napraviti da je u cijelosti onemogućite ili barem značajno otežate.
Ukratko, tvrtke imaju različite poslovne odnose s mnogobrojnim partnerima, te se mogu naći u ulozi kupca ili dobavljača. Ovaj konkretni tip prevare se najčešće događa kod prekograničnih transakcija i relativno ih je lagano za prepoznati.
Sve u pravilu počinje zaprimljenom email porukom koja je sadržajem, email adresom, imenima u mailu, svim bitnim podacima naizgled totalno autentična. U nekim situacijama sam uočio takve mailove kako se logično nadovezuju na prethodnu korespondenciju ili u nastavku maila imate korespondenciju koja je u cijelosti fiktivna ali daje mailu kojeg ste zaprimili dojam autentičnosti.
Ukratko, vaš poslovni partner vas npr. pita hoćete li svoju obvezu podmiriti na vrijeme (i najčešće se referira na konkretne brojeve, konkretne datume dospijeća), te vam u prilogu dostavlja dokument u kojem vas partner obavještava da je promijenio bankovni račun te od vas traži da transakciju obavite na sasvim novi račun u drugoj banci.
Ponekad, osim emaila i dopisa o promjeni bankovnog računa stigne i prateće pismo banke koje potvrđuje da je novi bankovni račun vašeg partnera od sada promijenjen. Kao i ostali dokumenti, i ovaj djeluje autentično i ni po čemu ne odudara od sličnih dokumenata koje ste dobili tijekom godina. Razlozi koji se navode mogu biti različiti, od toga da se konsolidira poslovanje, do toga da se kaže da je to račun nakon provedene akvizicije, račun koji je otvoren zbog nekog poreznog problema i slično.
Sve što je potrebno napraviti je povjerovati da su dokumenti autentični i napraviti promjenu u vašem računovodstvenom sustavu i potom napraviti uplatu (naizgled, zašto ne bi bili kada dolaze od vama poznate osobe), no u pozadini su spretni prevaranti koji su se kompromitacijom mail sustava (vašeg ili vašeg klijenta) ubacili u vašu prepisku, poslali vam lažne dokumente i naveli vas da obavite transakciju. U času kada vi ili vaš partner shvatite da novac nije stigao gdje je trebao, račun je zatvoren a novac je odavno otišao kroz nekoliko koraka do svojeg krajnjeg primatelja.
Prevaranti kompromitiraju email račune i često znaju tjednima ili ponekad mjesecima čučati u prikrajku, proučavati vašu mail korespondenciju i čekati priliku kada da se ubace u komunikaciju. Moguće je da su već sada u vašem mail sustavu i pripremaju se poslati prevaru vašem kupcu, ili se nalaze u sustavu vašeg dobavljača pa vama spremaju gore navedeni set dokumenata. Kako god okrenuli, ili ćete svoje teško zarađene novce u najboljoj namjeri prebaciti prevarantu, ili će vaš klijent novce namijenjene vama prebaciti nekome tko ih definitivno ne zaslužuje. U oba scenarija ostajete bez svojeg novca pa je potrebno napraviti razumni napor da tako nešto spriječite.
Prekogranični poslovni odnosi su osobito osjetljivi jer malo tko zna ili brine o tome na koji račun se novac šalje ili doista razlikuje da vam je primjerice dobavljač iz Njemačke poslao uputstvo da mu novac platite na račun u Portugalu ili Velikoj Britaniji. Domaće transakcije su nam svima dobro poznate i internet bankarstvo odmah napiše tko je primatelj (ako je riječ o pravnoj osobi), a iskreno, standardi provjera i mogućnost otvaranja računa u našim bankama je bitno uredniji nego na nekim drugim tržiđtima. Kada smo već kod banaka “primatelja”, najčešće se pojavljuju banke u Velikoj Britaniji poput primjerice HSBC-a. Mnogi znaju da je HSBC velika banka, ali u stvarnosti riječ je o velikom broju malenih banaka (doslovce stotine sitnih banaka). U posljednje vrijeme sam naišao na nekoliko situacija gdje se traži plaćanje na banke u Portugalu, a tu su naravno i računi neo-banaka poput Revolut, Wise i sličnih (a kod kojih bankovni račun možete otvoriti u nekoliko klikova).
Dvije su taktike koje treba koristiti kako bi se značajno otežala ili u cijelosti onemogućila ovakva prevara, jedna je tehničke prirode a druga proceduralne.
Tehnička mjera
Morate napraviti napor da email sustav kojeg koristite bude siguran i onemogućava ili barem dramatično otežava mogućnost da se netko pogrešno prijavi. Te tehničke mjere se mogu svesti na nekoliko mogućih koraka:
- odabir kvalitetnog email providera – iako vjerujem da ima ljudi koji će vas uvjeravati u suprotno, moje je osobno mišljenje da posao upravljanja vašim mail serverom u 2024. godini morate prepustiti nekome tko ima dobru reputaciju u tome. Solidni provideri su primjerice Google Workspace ili Microsoft Office 365 no vjerujem da ima i drugih reputabilnih providera osim ova dva (koja su po mom iskustvu najčešća, od čega će vam MS O365 riješiti i problem legalnosti office alata koje ionako vjerojatno dnevno koristite). Takvi dobavljači imaju superiorne spam filtere, te imaju cijeli niz alata koji provjeravaju autentičnost dolaznih mailova ali i “digitalno potpisuju” i jamče da je vaš mail odaslan od osobe koja je doista autorizirana za tako nešto. Dobri email provideri koštaju i postoji značajna razlika između hostanog maila od 20EUR godišnje i servisa poput Googlea ili Microsofta koji po korisniku koštaju od 6EUR mjesečno na više.
- čak i ako ugovorite neki od gornjih servisa, potrebno ih je na adekvatan način konfigurirati, a to znači da je potrebno u DNS zoni vaše domene podesiti sve parametre koji su nužni za sigurni rad vaše domene u razmjeni email poruka. To primjerice znači da morate podesiti SPF record, DKIM i DMARC zapise. Ovo je korak koji se prečesto propušta i koji otvara prostor za manipulaciju i “proboj” sigurnosti. Slobodno testirajte vašu aktualnu domenu da vidite da li su ovi zapisi uopće konfigurirani – ne očekujem da razumijete objašnjenja, ali već sama činjenica da dobijete odgovor od ovih alata da zapis postoji i da je ispravan je korak naprijed (iako, ne mora značiti, treba provjeriti da je sve ažurno a to može napraviti vaš informatičar).
- Nadalje, svi mail accounti (i općenito svi accounti) moraju biti zaštićeni sigurnim šiframa/zaporkama. Prije dvije godine sam napisao što to točno znači i kako provjeriti i na ovom linku imate detaljnije upustvo kako pristupiti zaporkama. Načelno, u 2024. godini password bi morao imati najmanje 14 znakova i treba jako paziti da isti password ne koristite za svoj poslovni/privatni mail i druge servise (osobito web dućane i slične web stranice na kojima objektivno pojma nemate da li su sigurni ili nisu). Ovih četrnaest znakova je okvirna brojka, ispravna mjera kompleksnosti zaporke se zove “entropija passworda” i nju možete izmjeriti na ovome mjestu, pri čemu se sigurnim passwordom smatra onaj koji ima entropiju veću od 60.
- I posljednje, 99.9% svih problema možete riješiti ako počnete koristiti MFA/2FA autentikaciju. Svi reputabilni servisi kojima je sigurnost imalo bitna omogućavaju različite oblike MFA autentikacije. Znam da je to naizgled gnjavaža i nepotrebni korak, ali je to kritični korak kojim povećavate svoju sigurnost u mnogobrojnim redovima veličina.
Sažeto: složeni i jedinstveni password kao vatrogasna mjera, 2FA da bi se mogli osjećati sigurnim, SPF/DMARC/DKIM da bi bili odgovorni na internetu i reputabilni email provider da većinu gore navedenih briga za vas brine netko drugi.
Proceduralna mjera
Bez obzira na to što ste svoj mail sustav učinili sigurnim i napravili sve što je razumno moguće da se taj sigurnosni propust vama ne dogodi, moguće je da ćete zaprimiti od vašeg dobavljača mail s instrukcijom o promjeni bankovnog računa. Pitanje je što učiniti u takvim situacijama i sve što vam mogu ponuditi je nekoliko jednostavnih pravila:
- ako dobijete zahtjev za promjenom računa na koji je potrebno platiti, odmah u postupak uključite druge osobe. Dakle ako ste računovođa, o tome odmah i bez odlaganja obavijestite odgovornu osobu u društvu, ako ste odgovorna osoba u društvu, konzultirajte se s računovođom.
- ako ste osoba odgovorna za plaćanja, pa čak i ako dobijete mailom nalog vama nadređene osobe da na određeni IBAN prema poslovnom partneru s kojim nikada niste poslovali prebacite neki avans, stanite, razmislite i konzultirajte se. Više ljudi zna više i primjećuje više, provjerite svakako autentičnost informacije.
- ako instrukciju dobijete putem telefona ili čak video poziva (pročitajte članak) i ako to djeluje imalo neuobičajeno, pričekajte, razmislite i provjerite. U doba umjetne inteligencije više ne možete biti baš totalno sigurni s kim razgovarate.
- ako ste dobili instrukciju o promjeni bankovnog računa kroz poruku koja vam se čini autentičnom, svakako to provjerite kroz alternativni način komunikacije. To znači da nazovete tu osobu (ili drugu osobu iz tvrtke koja vas je obavijestila) na broj telefona kojeg imate od ranije i kojeg ste već koristili s tom osobom (dakle ne na broj telefona koji je eventualno naveden u podnožju emaila ili na zaglavlju memoranduma kojeg ste dobili).
- moguće je da vam je i sve ovo promaklo te da ste napravili transakciju no nazvati će vas službenik iz banke da napravi još jednom provjeru. Provjere banke rade u slučajevima kada njihov interni sustav za procjenu rizika danu transakciju proglasi potencijalno prijevarnom – no često vam neće reći da sumnjaju na prijevaru nego samo kažu da rade provjeru (što je po meni pogrešno, ali općenito se loše slažem s bankama). Ako vas nazovu, stanite momentalno sa svime, zaustavite transakciju dok ne budete 1000% sigurni da je sve ispravno. Manja je šteta od dan-dva kašnjenja u plaćanju od gubitka desetaka a ponekad i stotina tisuća EUR.
I posljednje, ako ste zahvaćeni pokušajem ovakve prevare i ako ste je zaustavili na vrijeme, svakako se javite vašem bankaru i obavijestite ih o pokušaju (banke potom ubacuju takve račune na crne liste pa ćete s tih par minuta poziva vjerojatno spasiti nekog drugog, baš kao što će možda netko drugi spasiti vas – pay it forward), napišite opis što se dogodilo i pošaljite policiji. Ako vam je ovo pomoglo ili spriječilo štetu svakako mi se javite, a možete me počastiti i kavom.
p.s. neka osiguravajuća društva nude police osiguranja protiv ovakvih događaja, pa i to treba istražiti ako smatrate da ste posebno ugroženi
Misao dana:
It was the heart of any scam or fiddle — keep the punter uncertain, or, if he is certain, make him certain of the wrong thing.