Tilgangurinn er að láta starfsmenn millifæra fé á reikninga sem þeir stjórna. Þessi tegund svika er nefnd CEO-fraud á ensku en mætti þýða sem fyrirmælafölsun eða sem stjórnendasvik upp á íslensku.
Hér fyrir neðan eru samskipti í tölvupósti og sms-skilaboðum sem eru byggð á raunverulegum atburðum úr íslensku viðskiptalífi árið 2016 (nöfnum hefur verið breytt). Fyrsti pósturinn sýnir fölsuð fyrirmæli sem eru send í nafni Sigríðar fjármálastjóra til Jóns gjaldkera.
Kl. 12.08: Tölvupóstur berst frá Sigríði fjármálastjóra til Jóns gjaldkera:
Kl. 12.37: Annar tölvupóstur frá Sigríði til Jóns:
Kl. 12.37: Annar tölvupóstur frá Sigríði til Jóns:
Kl. 14.49: Jón sendir Sigríði SMS.
Kl. 8.32 daginn eftir: Sigríður svarar Jóni.
Í ljós kemur að greiðslurnar fóru á bankareikning sem svikahrapparnir einir höfðu aðgang að. Í flestum tilfellum sem þessum eru reikningarnir tæmdir hratt. Til að mögulegt sé að endurheimta féð er mikilvægt að bregðast hratt við.
Hvernig virkar þetta?
Hermann Þór Snorrason, sérfræðingur á Fyrirtækjasviði Landsbankans, hefur kynnt sér fyrirmælafalsanir, sem og varnir gegn þeim. „Tölvuþrjótar leggja á sig ómælt erfiði við undirbúning. Þeir reyna að komast yfir nöfn og netföng starfsfólks. Þeir brjótast jafnvel inn í tölvupóstkerfi, rannsaka pósthegðun og hagnýta orðaval og setningaskipan sem einkenna þá starfsmenn sem þeir ætla að líkja eftir. Leitað er að tölvupóstum sem innihalda orð á borð við erlend millifærsla, swift, símgreiðsla, wire transfer, invoice, reikningur, deposit og þess háttar. Þrjótarnir reyna að mynsturgreina tímasetningu slíkra pósta, hvaða daga þeir eru gjarnan sendir, klukkan hvað, frá hverjum og til hverra,“ segir Hermann.
Markmiðið með þessu er að útbúa trúverðug greiðslufyrirmæli frá hátt settum aðila innan fyrirtækisins til einhvers lægra setts sem þó hefur heimild til að inna greiðslu af hendi. Svikahrapparnir setja þrýsting á undirmanninn þannig að hann láti undan pressunni og inni greiðsluna af hendi með hraði og helst út fyrir landsteina.
“Í póstsamskiptunum er jafnvel minnst á tilbúinn þriðja aðila sem hafa má samband við til að fá staðfest að greiðslufyrirmælin séu réttmæt. Þessi aðili er gjarnan sagður vera lögfræðingur eða lögfræðistofa og mun sá sem svarar staðfesta allt, enda einn af svikurunum.
Þrjóturinn sætir færis svo lengi sem þörf er. Hann bíður eftir réttu augnabliki til að láta til skarar skríða og leggur allt í sölurnar til að stuðla að mistökum hjá fyrirtækinu. Gangi svikamyllan upp fær þrjóturinn greiðsluna til sín á bankareikning sem hann stjórnar og hefur yfirráð yfir.
Þrjótarnir beita gjarnan óvissu og ala á ótta til að fá sitt í gegn. Greiðslan er sögð vera algjört trúnaðarmál, og gjarnan tengd við stórar fjárfestingar eða kaup á öðru félagi, mikilvægan viðskiptasamning eða vöruþróun sem afar fáir megi vita um. Skýringarnar kunna að hljóma líklega og byggja á raunverulegum viðfangsefnum fyrirtækja, þótt þær séu rammfalskar“, segir Hermann.
“Í svo til öllum tilvikum gengur svikamyllan út á að fá þann sem innir greiðsluna af hendi til að bregða út af vana og að þröngva honum í aðstæður sem krefjast fráviks frá hefðbundnu verklagi.“
En póstkerfið mitt er öruggt. Eða það held ég …
Blessunarlega komast þrjótarnir ekki alltaf inn í póstkerfi fyrirtækja, enda berast fölsku póstarnir ekki alltaf frá réttu netfangi. Eins og vatnið finna svikararnir sér alltaf farveg. Tölvuþrjótar útbúa lén og netföng sem stafsett eru svipað og fyrirmyndirnar. Við fyrstu sýn er ekki mikill sjáanlegur munur á netföngunum jon.jonsson@landsbankinn.is og jon.jonsson@1andsbankinnn.is. Hið síðarnefnda inniheldur þrjú “n” í greini. Enn útsmognara er að rita til dæmis bókstafinn “l” með tölustafnum einum (1). Allra skarpskyggnustu lesendur veittu því athygli að síðara netfangið í dæminu inniheldur einmitt tölustaf fremst í (1)andsbankinn.is.
Þá er heldur ekki flókið að breyta birtingarmynd sendanda á þann veg að “From” svæðið sýni nákvæmlega rétt stafsett netfang. Erlendis finnast sömuleiðis dæmi um óprúttnar eftirhermur sem geta hermt eftir rödd yfirmannsins í síma en ekki er vitað um slík tilfelli á Íslandi, enn sem komið er.
Undirbúningur getur staðið mánuðum saman
Aðferðirnar sem beitt er við fyrirmælafalsanir verða sífellt fágaðri. Nú leggja svikahrappar meiri áherslu á undirbúning og gagnaöflun. Þeir skoða skipurit félagsins, starfsmannalista, hvernig dagleg viðskipti ganga fyrir sig, greina tengsl við önnur félög innan samstæðu þegar við á, kynna sér pósthegðun starfsfólks, semja handrit með sannfærandi ávarpi, orðalagi, tón og undirritun. Undirbúningurinn getur staðið mánuðum saman. Kaupa má þessar upplýsingar á svörtum markaði eða með því að skoða vefsíður fyrirtækja, lesa LinkedIn-síður starfsfólks eða einfaldlega með því að hringja og senda tölvupósta. Fyrirmælafalsanir eru þannig töluvert frábrugðnar margri annarri óværunni sem á fyrirtæki herjar.
Þykjast senda úr snjallsíma
Til að hafa vaðið fyrir neðan sig bæta tölvuþrjótar gjarnan orðunum Sent from my iPhone eða álíka texta í smáu letri neðan við meginmálið til þess að viðtakandi hafi frekar skilning á stafsetningarvillum, skorti á íslenskum sértáknum, undarlegri orðaröð og jafnvel röngum orðum.
Rétt viðbrögð að hafa samband við lögregluna
Ef grunur leikur á að fyrirtæki hafi orðið fyrir svona árás er mikilvægt að fyrirtæki hafi samband við lögregluna (cybercrime@lrh.is) og sinn viðskiptabanka. Bankinn setur af stað ferli í samstarfi við yfirvöld og aðra banka til að endurheimta féð. Því fyrr sem tilkynning berst, þeim mun líklegri eru endurheimtur. Ennfremur er mikilvægt að kæra öll mál til lögreglunnar. Sjaldnast er ráðist á eitt fyrirtæki í einu og það gerir tilkynningar til lögreglu enn brýnni.
Öryggiskerfi leysa ekki allan vanda
Bankar eru í óvenju erfiðri stöðu þegar fyrirmælafalsanir eru annars vegar. Ímyndum okkur að svikarinn þykist vera erlendur birgir. Hann sendir tölvupóst til heildsala á Íslandi og tilkynnir að hann hafi skipt um bankareikning. Erindinu er jafnvel fylgt eftir með símtali og sá sem hringir hljómar afar traustur og trúverðugur.
Í tilfellum sem þessum verður að leita eftir staðfestingu frá birgjanum. Þá dugar ekki að svara tölvupóstinum (enda er hann falskur) heldur verður að hringja í viðkomandi og fá upplýsingarnar staðfestar símleiðis. Tölvupóstur er ekki öruggur samskiptamáti í tilfellum sem þessum.
Ef svikaranum tekst ætlunarverk sitt, þ.e. að láta heildsalann breyta greiðsluupplýsingum, er erfitt fyrir bankann að sjá að svik séu í uppsiglingu. Ef viðtökureikningurinn er hvergi á válista og viðtakandi hefur sloppið í gegnum nálarauga síns banka er erfitt fyrir greiðslukerfi bankans sem heildsalinn skiptir við að fetta fingur út í greiðsluna. Mynsturgreiningar bankanna koma t.d. ekki að gagni því að málsaðilar eru í raun réttir og greiðandinn getur auðkennt sig og staðfest greiðsluna, enda er greiðandinn grunlaus um svikin.
Verum ávallt viðbúin
Hér hefur verið farið lauslega yfir meginþætti fyrirmælafalsana. Þetta er engan veginn tæmandi umfjöllun, enda svífast tölvuþrjótar einskis og finna sífellt nýjar leiðir til að hafa fé af fyrirtækjum. Fyrirmælafalsanir eru aðeins ein gerð netsvika.
Ef tölvupóstar líta undarlega út, berist þeir til dæmis frá óvenjulegu landi eða vekja grunsemdir af einhverju tagi er fyllsta ástæða til að staldra við.
Til að hægt sé að forðast svik þarf vitundarvakningu innan fyrirtækja. Fræðsla um varnir gegn svikum er því lykilatriði.
Níu ráð til að verjast fyrirmælafölsunum
- Fræða starfsfólk um einkenni og hættur af netsvikum. Tölvuþrjótar reyna að velja tímasetningar þegar yfirmaður er fjarri eða erfitt að ná í hann, t.d. þegar hann er í fríi. Þá er erfiðara að sannreyna réttmæti greiðslufyrirmæla.
- Læra að þekkja hætturnar og hvað það er sem stingur í stúf. Er yfirmaðurinn eða viðtakandinn að setja gríðarlega tímapressu á starfsmann? Er viðtökulandið nýtt? Er viðtökubankinn nýr? Er eigandi reikningsins nýstofnað félag?
- Horfa á sjálft netfangið, auk birtingarnafns og kanna hvort aðrir í fyrirtækinu hafa fengið svipaðan póst.
- Ekki láta undan pressu því henni er ætlað að fá fólk til að gera mistök.
- Treysta bankanum ef hann leggst gegn viðkomandi greiðslu.
- Staðfesta greiðslubeiðnir með símtali eða fá staðfestingu frá öðrum tengdum aðila. Staðfesta einnig breyttar greiðsluupplýsingar birgja með símtali. Tölvupóstur er ekki öruggur samskiptamáti.
- Tryggja að verklagsreglur séu uppfærðar. Í því felst t.d. að setja reglur um hver eða hverjir megi inna greiðslur af hendi þegar uppáskrift vantar eða ábyrgðaraðilar eru fjarverandi. Munum að þrjótarnir reyna oft að falsa fyrirmæli þegar lykilfólk er fjarverandi. Það er alltaf ráðlegt að leita álits samstarfsfólks eða yfirmanna þegar grunur leikur á óeðlilegu athæfi.
- Tryggja að greiðslusamþykktarferli sé til staðar og því fylgt, helst bæði í útgreiðslukerfinu og í netbankanum líka.
- Sjá til þess að netöryggismál séu á sama stalli og önnur öryggismál. Fræðsla, forvarnarstarf og æfingar gegn netsvikum þurfa að vera jafn sjálfsagður hlutur og eldvarnarfræðsla og brunaæfingar.
