Policija upozorava - ne nasjedajte na phishing kampanje!

Policija je u posljednje vrijeme primila više prijava o tzv. phishing kampanji, koja se širi porukama elektroničke pošte, a usmjerena je na građane, računovodstvene urede trgovačkih društava, tijela državne vlasti i pravnih osoba s javnim ovlastima. Cilj je krađa financijskih sredstava.
Dva su različita modusa napada:

CEO (Chief Executive Officer) prijevare

CEO prijevara provodi se na način da zaposlenik ovlašten za provođenje plaćanja plati lažni račun ili provede neovlašteni prijenos s računa tvrtke. Adresa pošiljatelja je lažirana na način da se primatelju prezentira da je poruka elektroničke pošte pristigla s adrese osobe nadređene tom zaposleniku ili čelnika tijela. Tekst poruke u velikoj je mjeri prilagođen hrvatskom jeziku, što ukazuje na to da je kampanja pripremana i usmjerena na konkretne mete.

Počinitelji potencijalnim žrtvama šalju poruke predstavljajući se kao direktor ili član uprave tvrtke. Dobro poznaju organizaciju tvrtke i traže od djelatnika računovodstva hitno provođenje plaćanja. Od zaposlenika se traži da ne slijedi redovne autorizacijske postupke. Zaposlenik zatim, po nalogu počinitelja, prenosi sredstva na račun u inozemstvu koji kontrolira počinitelj.

Ako primatelj odabere opciju odgovora (Reply), pažljivim pregledom zlonamjerne poruke elektroničke pošte može se uočiti da je kao „Reply-To“ navedena adresa koja pripada napadaču, a ne direktoru tvrtke ili čelniku tijela državne vlasti.

Prijevare s računima (Invoice Fraud)

Prijevare s računima provode se na način da djelatnicima trgovačkog društva netko tko se pretvara da predstavlja dobavljača / davatelja usluga / vjerovnika elektroničkom poštom dostavi phishing poruku. Počinitelji u poruci traže da se podaci o bankovnom računu primatelja budućih računa promijene i da se plaćanja obavljaju na novi broj računa koji kontroliraju počinitelji.

Odgovornim osobama i djelatnicima trgovačkih društava savjetujemo slijedeće:

Budite svjesni rizika i pobrinite se da vaši zaposlenici budu informirani i upoznati s ovim pojavnim oblicima internetskih prijevara.

Potaknite zaposlenike da budu oprezni sa svim zahtjevima za plaćanje.

Propišite interne postupke/protokole provjere legitimnosti zahtjeva za plaćanjem primljenih putem e-pošte.

Striktno i bez iznimaka provodite interne protokole vezane uz plaćanja.

Provjerite izravno kod vjerovnika i poslovnih partnera sve zahtjeve koji se čine da dolaze od vaših vjerovnika, posebno ako zatraže promjenu bankovnih podataka za buduća plaćanja.

Odredite osobe koje će biti jedinstvene kontaktne točke za rad s tvrtkama kojima redovito plaćate.

Pregledajte informacije objavljene na internetskim stranicama vašeg trgovačkog društva i društvenim mrežama, ograničite javnu dostupnost informacija poput imena i prezimena zaposlenika i adresa elektroničke pošte koje sadrže osobna imena zaposlenika.

Uvijek pažljivo provjeravajte adrese e-pošte koju ste zaprimili kada se radi o osjetljivim informacijama ili prijenosu sredstava.

Izbjegavajte dijeljenje informacija o internoj organizaciji tvrtke, sigurnosti i procedurama.