W ostatnich dnia, jest wysyp fałszywych wiadomość e-mail, które mają na celu wykonanie szybkiego przelewu przez osoby zajmujące się płatnościami w firmie na fałszywe konto. Dostałeś dziwnego maila od prezesa, aby zapłacić nieznaną Ci fakturę? Ktoś się podszywa pod Ciebie i wysyła do księgowości faktury, które nigdy nie powinny być opłacone? To jest wpis dla Ciebie.
Jak to wygląda?
W firmach, jest często jeden adres mailowy, na który mają wpływać faktury kosztowe do opłacenia. Najczęściej: faktury@twojadomena.pl lub invoice@, ksiegowosc@, platnosci@, dokumenty@ itp.
List najczęściej występujących adresów nie jest długa i możliwa do przewidzenia. Co najważniejsze, prosta do napisana przez automat.
Adresy kontaktowe do księgowości, czy do płatności, często podawane są też na stronie www.
Łatwo więc stworzyć bazę danych o rekordach: firma, mail, do tego łatwo można przypisać np. nr NIP.
Dalej dane prezesów spółek, są ogólno dostępne, można je wyciągnąć z KRS np. po numerze NIP. Często są one zapisane także na stronie firmowej, już z adresem e-mail.
Jeżeli adres e-mail jest niedostępny, można spróbować go pozyskać z baz danych lub stworzyć samemu, na podstawie kilku najbardziej prawdopodobnych schematów tworzenia maili w organizacji, przykładowo:
piotr.kowalski@twojadomena.pl
p.kowalski@twojadomena.pl
pkowalski@twojadomena.pl
Mając takie dane spamerzy w ostatnim czasie wysłali sporą ilość maili do księgowości, podając się jako prezes tej samej spółki z prośbą o szybkie opłacenie faktury.
„Cześć,
faktura w załączniku, puść to expresem żeby do Pana Jerzego jeszcze dzisiaj dotarło.”
„Cześć,
faktura w załączniku, puść to expresem żeby do Pani Doroty jeszcze rano dotarło. Wczoraj upominała się o płatność.
W screenie powyżej, widać krótką wiadomość, która jest od prezesa – bezpośrednio na maila, który służy do płatności. Jak się przyjrzymy, widać jednak, że mail została wysłana z zupełniej innej domeny – post.pl. Działając w pośpiechu, można to przeoczyć.
W załączeniu spreparowana faktura, odpowiednio nazwana, aby budziła jak najmniej wątpliwości. To zwykły pdf.
Co zobaczymy w środku?
Wasze prawdziwe dane jako odbiorcy (łatwo zdobyte), prawdziwe dane kancelarii prawnej, która niby to prosi o opłacenie faktury np.
„SPRZEDAWCA
JWP Kancelaria Prawna
ul. Mińska 75
03-828 Warszawa
NIP: PL5211276411”
lub
Jerzy Aleksandrowicz Kancelaria Prawna
ul. Królewska 2/31
00-065 Warszawa
NIP: PL5252279429
Są to faktycznie dane istniejących firm, użyte bez ich wiedzy i zgody.
Dalej usługa: „Doradztwo w zakresie prawa, usługi Prawne”, kwota 10 000zł netto.
Prezentujemy tutaj dwie różne, przykładowe faktury. Co je łączy?
Jeden wspólny numer konta bankowego: PL 65 1870 1045 2078 1081 5309 0001
To rachunek atakujących. Pieniądze nigdy nie trafią do wyżej wymienionych firm.
Przyjrzyjmy się ile elementów zostało tutaj spreparowanych:
Teoretycznie się zgadza na poziomie treści maila
Zabiegany pracownik, może przekazać takową fakturę do płatności, wstępnie ją autoryzując.
Może także dodać takową płatność do koszyka przelewów, który póżniej zaakceptuje prezes lub inna osoba potwierdzająca przelewy już w banku. Często potem nie sprawdza gdzie idzie przelew, tylko akceptuje całą paczkę przelewów.
Nawet nie zdajecie sobie sprawy, jak często ludzie tracą tak pieniądze.
Jak wiec się chronić?
Przede wszystkim uważność i szkolenie personelu z podstaw bezpieczeństwa informatyczne.
Czujność pozwala nam tutaj rozbroić taką wiadomość, na samym starcie (inny nadawca).
Cykliczne szkolenia pracowników z nowych zagrożeń pomaga zwiększyć poziom bezpieczeństwa i minimalizuje błąd ludzki.
Wprowadzając odpowiednie procedury już na poziomie realizacji nowych płatności w firmie, wraz z weryfikacją numeru konta bankowego i kontrahentów.
Czy można to zablokować na poziomie dostawcy usług pocztowych? Nie do końca. Nawet jeżeli zablokujemy konkretny adres mailowy lub czasami nawet i całą domenę, to następnym razem dostaniemy tego typu wiadomość z innego adres i z innej domeny. To walka z wiatrakami.
Na pochwałę zasługuję postawa JWP Kancelaria Prawna, która gdy dostała informacje o pierwszych tego typu wiadomościach od razu zamieściła stosowny komunikat na swojej stronie.
Każdy kto będzie chciał dodatkowo uwierzytelnić otrzymaną fakturę, gdy napotka takowy komunikat na stronie od razu będzie wiedział, że trzeba ponownie zweryfikować nadawcę. Tyczyć się to może złaszcza aktualnych i dawnych klientów kancelarii, którzy jeszcze łatwiej mogliby paść ofiarą takiej wiadomości.
Zaznaczę jeszcze raz - edukacja w związku atakami hakerskimi, użyciem socjotechniki i ogólnie cybersecurity, to podstawa bezpiecznej organizacji.
Zapraszam do udostępniania tego wpisu, aby trafił do jak największej ilości osób.
Im mniej osób padnie ofiarą takich ataków, tym mniej środków trafi do atakujących i być może, w jakieś skali zmniejszy to ich zapał do pracy 🙂
UL. SUBISŁAWA 28
80-354 GDAŃSK
TEL. 799 300 310
E-MAIL: KONTAKT@ITVIP.PL
(OBSŁUGA INFORMATYCZNA FIRM)
UL. LĘBORSKA 3B
80-306 GDAŃSK
E-MAIL: KONTAKT@ITVIP.PL
NAPRAWA LAPTOPÓW,
SERWIS KOMPUTERÓW,
ZDALNA POMOC INFORMATYCZNA.
TEL. 799 300 310
E-MAIL: KONTAKT@ITVIP.PL