Na Zachodzie coraz więcej firm pada ofiarą oszustw przypominających popularną w Polsce metodę „na wnuczka”. Zagrożenie okazuje się realne także dla naszych firm, a i prokuraturom problem jest nieobcy.
Aleksandra Krawczyk, adwokat, SDZLEGAL SCHINDHELM Kancelaria Prawna Schampera, Dubis, Zając i Wspólnicy Sp. k. / Dziennik Gazeta Prawna
Fałszywy wnuczek zamiast do staruszek dzwoni do prezesów / DGP
Michał Kurek, dyrektor w dziale zarządzania ryzykiem informatycznym firmy EY / Dziennik Gazeta Prawna
Znana w Polsce metoda wyłudzeń na wnuczka okazuje się mieć na Zachodzie swoje korporacyjne oblicze. Zwykle scenariusz jest podobny: fałszywy prezes spółki przesyła pracownikowi upoważnionemu do dokonywania transakcji finansowych e-mail z poleceniem przelewu pokaźnej kwoty. Wiadomość wychodzi z prawidłowego adresu, ewentualnie do złudzenia przypomina e-mail wysłany ze służbowej skrzynki prezesa. Wszystko dzieje się szybko i w tajemnicy. Na koniec okazuje się zaś, że pracownik padł ofiarą oszustwa, a firma poniosła stratę.
W ten sposób tylko we Francji oszukano w 2013 r. 350 przedsiębiorstw. W 2014 r. było ich już ponad 500. Łączne straty z tego tytułu w Stanach Zjednoczonych wyniosły z kolei w okresie od października 2013 r. do grudnia 2014 r. ponad 179 mln dolarów.
Problem jest widoczny również w Niemczech i powoli zaczyna docierać także do nas.
Analogie
Pod pojęciem oszustw na wnuczka powszechnie rozumie się zachowania polegające na podszywaniu się przez sprawców pod bliskich członków rodziny, zwłaszcza osób starszych, i wyłudzaniu od nich pieniędzy. Sprawcy opowiadają zwykle o wypadku, któremu ulegli, lub świetnej okazji biznesowej, z której nie mogą nie skorzystać, i na tej podstawie zwracają się o szybką pożyczkę. Wprowadzone w błąd ofiary zwykle do samego końca nie orientują się, że telefonujący to wcale nie wnuczek, kuzyn czy siostrzeniec, i wiedzione chęcią pomocy wypłacają nawet bardzo pokaźne sumy pieniędzy.
Odmiana korporacyjna
Istota działania sprawców przestępstw dokonywanych na szkodę firm, które w wolnym tłumaczeniu z angielskiego można nazwać oszustwem na prezesa (CEO fraud), wygląda niemal tak samo. W praktyce obserwuje się dwie główne techniki popełniania tego typu przestępstw. Pierwsza z nich polega na uzyskaniu właściwego dostępu do skrzynki mailowej prezesa (lub innego wysoko postawionego przedstawiciela firmy). Sprawca włamuje się na konto pocztowe i wysyła z niego e-mail z poleceniem przelewu do odpowiedniego pracownika. Druga metoda to założenie konta o adresie do złudzenia przypominającym właściwy adres. Może to polegać na zamianie choćby jednego znaku, np. l (litera l) na 1 (cyfra jeden). Chodzi o to, że adres ma wyglądać niemal identycznie jak adres prawidłowy i nie budzić jakichkolwiek podejrzeń. Taki mail, wysłany tylko do jednego pracownika, ma przy tym duże szanse na ominięcie zapór przed spamem, zaprogramowanych głównie przeciwko wiadomościom masowym.
Po otrzymaniu e-maila pracownik dostaje zwykle także telefon od rzekomego prezesa, w którym ten informuje go, jak ważne otrzymał zadanie i jak istotne jest, by zachował poufność. Ponadto wskazuje, że sprawa musi być załatwiona bardzo szybko, inaczej firma poniesie ogromne straty. Niejednokrotnie prezes dodaje, że w sprawie skontaktuje się z pracownikiem także przedstawiciel kancelarii prawnej (najlepiej renomowanej) i wytłumaczy mu wszelkie zawiłości transakcji. Taki przedstawiciel również za chwilę dzwoni i powtarza to, co powiedział i napisał już prezes. Wszystko wygląda profesjonalnie, do tego dzieje się bardzo szybko i z zastrzeżeniem ogromnego znaczenia zachowania całkowitej tajemnicy.
Dlaczego przestępcy są skuteczni
Przede wszystkim oszuści to profesjonaliści. Zanim dokonają ataku, sprawdzają firmę, jej organizację wewnętrzną, procedury, uprawnienia i zakres obowiązków pracowników. Pomagają im w tym choćby takie źródła, jak profile w sieciach społecznościowych firm i pracowników oraz internetowe strony firmowe, ale również publikowane przez firmy raporty czy sprawozdania. Z tych samych źródeł uzyskują również informacje co do tego, czym dana firma obecnie się zajmuje. Dzięki temu wybierają cel, na który mają być rzekomo przeznaczone żądane pieniądze – ważna transakcja, uniknięcie kar, zapłata podatków itp. Prawidłowo wskazują również odpowiedzialnego za przelewy pracownika. Przed atakiem oszuści poświęcają zwykle dużo czasu, by wręcz przeskanować firmę i uderzyć wtedy i w taki sposób, aby atak był najbardziej skuteczny.
Nie mniej ważne jest to, że oszuści atakują często firmy, które są zarządzane z zagranicy, ewentualnie za granicą znajduje się ich spółka matka. Taką tendencję obserwuje się bardzo wyraźnie w Niemczech i we Francji. Do upoważnionego do dokonywania przelewów pracownika odzywa się właściciel czy przedstawiciel spółki dominującej pochodzący z innego kraju. Tym samym ważność transakcji wydaje się jeszcze większa, poza tym takie osoby zwykle są pracownikom mniej znane i trudniej jest je od razu zidentyfikować.
Jak leczyć
Jeżeli firma stanie się ofiarą przestępstwa, konieczne jest przede wszystkim bardzo szybkie podjęcie działań. Jedynie w razie natychmiastowej reakcji może się udać wstrzymanie przelewu w banku. Jeżeli przelew miał być wykonany transzami, możliwe będzie chociaż zabezpieczenie tych jeszcze niewypłaconych pieniędzy. Ponadto bank powinien być niezwłocznie poinformowany o tym, że wszelkie przelewy na podane przez oszusta konto bankowe mają być w przyszłości kontrolowane, a firma musi każdorazowo mieć wiedzę o próbie dokonania takiego przelewu.
O oszustwie należy również natychmiast zawiadomić policję, która powinna podjąć współpracę z bankiem. W części przypadków do znalezienia oszusta wystarczy numer jego rachunku bankowego, w innych będzie to przynajmniej cenna poszlaka. Wszystkie e-maile, SMS-y itp. od osoby podającej się za prezesa powinny być zabezpieczone. Policji należy niezwłocznie przekazać dane umożliwiające ustalenie adresu IP i serwera, z którego e-mail został przesłany, jak również dane dotyczące numeru telefonu, z którego dzwonił sprawca. Warto pamiętać, że już po zaledwie miesiącu ustalenie sprawcy na podstawie numeru IP jest bardzo trudne.
Czy da się zapobiegać
Z uwagi na trudności w ściganiu przestępstw wirtualnych firmy powinny zwrócić szczególną uwagę na zabezpieczenie się przed nimi. Przede wszystkim powinny zdawać sobie sprawę z zagrożenia, jakie wynika z opisywanego procederu. Jako oczywiste jawi się wprowadzenie metod służących zabezpieczeniu sieci informatycznej przed atakami z zewnątrz. Ważne jest jednak również, by pracownicy zostali odpowiednio przeszkoleni i uczuleni na to, że mogą paść ofiarą oszustwa. Nie mniej istotne jest zapewnienie w firmie właściwych reguł, tzw. criminal compliance, tj. środków pozwalających na zapobieganie popełnianiu w firmie i w stosunku do niej przestępstw. Wobec rozwoju przestępczości korporacyjnej należy wyrazić nadzieję, że zwłaszcza systemy criminal compliance będą coraz częściej wdrażane w polskich firmach i to nie tylko w dużych podmiotach z zagranicznym kapitałem.
Problem trafił pod strzechy
Prokuratura w Katowicach prowadziła tego typu sprawę. – Dotyczyła ona oszustwa dokonanego na szkodę amerykańskiej firmy – mówi Marta Zawada-Dybek, rzecznik Prokuratury Okręgowej w Katowicach. Mechanizm był taki: pracownica firmy otrzymała w październiku telefon od osoby, która podawała się za szefa firmy. Ten poprosił, by dokonała dwóch przelewów na kwoty po ok. 3,7 i 3,3 mln dolarów. W rzeczywistości był to oszust. W sprawie pojawił się polski wątek. Pieniądze zostały przelane na konto w Polsce. Właściciel konta dokonał następnie przelewu w transzach na konta w Hongkongu, część pieniędzy pozostawiając dla siebie. Nie przyznał się do udziału w oszustwie, utrzymuje, że pieniądze dostał od inwestorów, którzy chcieli budować elektrownie wiatrowe w Polsce.
Podobną sprawę prowadziła prokuratura w Warszawie. Mechanizm był podobny. Sprawa dotyczyła firmy francuskiej. – W pewnym uproszczeniu stan faktyczny wygląda w ten sposób, że sprawca (dotychczas nieustalony) zadzwonił do firmy księgowej obsługującej firmę X, podał się za prezesa i polecił dokonanie przelewu na nowy rachunek bankowy. Postępowanie to jest w toku, trwają czynności zmierzające do wykrycia sprawcy, tak więc obecnie żadnych dodatkowych szczegółów ujawnić nie mogę – mówi prokurator Przemysław Nowak, rzecznik prasowy Prokuratury Okręgowej w Warszawie.
OPINIA EKSPERTA
Metoda na prezesa jest realnym zagrożeniem także dla polskich firm. W tym przypadku mamy do czynienia z dość wyrafinowaną formą wyłudzeń: próbując podszyć się pod osobę prezesa czy innej wysoko postawionej osoby, oszuści zadają sobie wiele trudu, aby się uwiarygodnić i zdobyć zaufanie. Włamują się do komputerów, przejmują kontrolę nad pocztą internetową, poznają zwyczaje ofiar i osób, pod które się podszywają. Często starają się też grać na uczuciach, sprawiając na przykład, że ofiara, działając w sytuacji stresu, może nie zwrócić uwagi na pewne nieprawidłowości. Spreparowanie fałszywego e-maila dla przestępców nie stanowi problemu. W internecie są gotowe instrukcje, jak przygotować wiadomość, by wyglądała jakby przyszedł dajmy na to np. z Kancelarii Prezydenta. Bywa, że do ataków preparowane są strony internetowe, różniące się od oryginalnej jedynie drobną i trudną do zauważenia modyfikacją adresu. Także włamanie się na skrzynkę pracownika przy braku odpowiednich zabezpieczeń nie stanowi problemu i zwykle jest tylko kwestią czasu.
Warto zatem, by firmy zadbały o odpowiednią edukację pracowników. Zagrożenie tego typu przestępstwami jest realne i dotyka coraz więcej polskich organizacji. Z naszego badania Global Information Security Survey 2014 przeprowadzonego na próbie przeszło 1800 organizacji wynika, że największy odsetek firm, bo aż 38 proc., jako główną podatność wskazało właśnie niefrasobliwość pracowników i nieświadomość zagrożeń. Hakerzy mają tego świadomość, z pewnością będą coraz częściej atakować, wykorzystując podatność człowieka na manipulację. Doświadczenie pokazuje, że nie trzeba zaawansowanych technik hakerskich, aby wyprowadzić miliony z firmy.