Oszustwa przy płatnościach elektronicznych w dobie COVID-19 cz. 1

Pandemia COVID-19 to sytuacja wpływająca na nas wszystkich – na życie jednostek, rządy oraz globalną gospodarkę. W czasie, gdy kraje starają się powstrzymać rozprzestrzenianie wirusa i chronić swoich obywateli, obserwujemy także gwałtowne spadki na światowych rynkach, a nadciągające spowolnienie gospodarcze będzie miało szereg długotrwałych implikacji.

Jak pisaliśmy na naszym blogu globalne kryzysy mają znaczący wpływ na wzrost liczby popełnianych oszustw. Jednak im większa jest nasza wiedza na temat mechanizmów ich popełniania, tym większą mamy szansę by się przed nimi uchronić.

Obecnie znakomita większość przedsiębiorstw korzysta w swojej działalności z obrotu bezgotówkowego. Świat odszedł od gotówki, przekazów pocztowych oraz czeków na rzecz przelewów elektronicznych i płatności kartami. Tworzy to szereg możliwości, które z chęcią wykorzystują oszuści. Niektórzy nadużywają nadanego im dostępu do systemu płatności pracodawcy, część z nich uzyskuje taki dostęp poprzez stosowanie inżynierii społecznej, kradzież haseł, złośliwe oprogramowanie, wykorzystując luki w kontrolach wewnętrznych przedsiębiorstwa lub elektronicznego systemu płatności. Poniżej prezentujemy wybrane metody oszustw związanych z wykonywaniem płatności, jakie obecnie mogą zagrozić przedsiębiorcom oraz procedury wewnętrzne jakie mogą być zastosowane w celu zminimalizowania ryzyka wystąpienia takich oszustw.

W związku z pandemią COVID-19 zauważalnie wzrosła liczba przypadków phishingu, o którym pisaliśmy tutaj. Jeden z przytoczonych przykładów skutkował zainstalowaniem na komputerze ofiary złośliwego oprogramowania. Takie oprogramowanie daje przestępcom m.in. możliwość popełnienia oszustwa przy płatności elektronicznej. Polega ono na podmianie numeru rachunku bankowego w systemowym schowku. Oszustwo zadziała w sytuacji, gdy osoba wykonująca przelew skopiuje numer konta bankowego z faktury w PDF i wklei go do pola w formularzu banku. Złośliwe oprogramowanie podmieni numer rachunku kopiowany poprzez skrót klawiszowy „ctrl +c”, na inny, należący do przestępcy. Skutkuje to tym, że do systemu bankowego zostaje skopiowany inny numer niż chciała osoba wykonująca płatność. Pojawia się, więc pytanie, jak często porównujemy numer rachunku przed skopiowaniem i po wklejeniu? Oczywiście istnieje wiele różnych działań, które mogą pomóc w ograniczeniu ryzyka w przypadku opisanego mechanizmu oszustwa. Organizacja powinna wybrać to, które będzie najodpowiedniejsze w jej przypadku, np.:

– stosowanie wiarygodnej aplikacji mobilnej banku w celu autoryzacji przelewów; aplikacja powinna pokazywać co jest przedmiotem przelewu oraz posiadać rozwiązania mające na celu zapobieganie przechwyceniu lub zmianie treści komunikatu,

– rezygnacja z tradycyjnych tokenów, na rzecz potwierdzeń w formie SMS-ów zawierających opis transakcji np. „dodanie odbiorcy zaufanego” lub „przelew natychmiastowy” oraz uważne porównywanie danych z faktury oraz ekranu komputera z danymi z SMS-a – nie tylko kwoty, ale również rachunku bankowego, na który realizujemy przelew,

– stosowanie zabezpieczeń wymuszających częściowo manualne wprowadzenie numeru rachunku, takie jak tokeny challenge-response.

– wyznaczenie dedykowanego telefonu służącego wyłącznie do potwierdzania przelewów bankowych, najbezpieczniejszy będzie telefon starej generacji, nie smartfon, dodatkowo bez dostępu do internetu,

– wyznaczenie komputera używanego wyłącznie do wykonywania przelewów bankowych, który nie będzie wykorzystywany do obsługi poczty elektronicznej ani do przeglądania stron internetowych; komputer taki powinien znajdować się w odciętej podsieci lub nawet w ogóle nie być połączony z infrastrukturą firmową, aby ewentualna infekcja innych komputerów firmowych nie wpłynęła na jego działanie.

Przedsiębiorstwa nie są zagrożone jedynie nadużyciami osób spoza organizacji, ale istnieje również ryzyko, że to pracownicy popełnią oszustwo. Wybrane metody oszustw jakie mogą wystąpić wewnątrz organizacji w obszarze płatności elektronicznych zostaną omówione w drugiej części artykułu, który ukaże się na blogu już wkrótce.

Powiązane wpisy


Napisz komentarz

XHTML: Możesz użyć tagów: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>