Buhalterė ir nusikaltėlis užeina į barą…

… „Mums prašau dvi taures šardonė“, sako buhalterė. „Už pirmuosius gėrimus sumokėsiu aš.“
„Nereikia!“ atsako nusikaltėlis. „Aš sumokėsiu jūsų viršininko kreditine kortele, jis to net nepastebės.“

Galbūt tai nėra pats juokingiausias pokštas, tačiau tai yra realybė, kurioje šiandien gyvename. Mūsų partneris, kibernetinio saugumo įmonė „Cybers“, visą parą stebi klientų sistemų saugumą ir fiksuoja nuolatos augantį nusikaltėlių susidomėjimą žmonėmis, dirbančiais su įmonių finansais.

Tam yra kelios labai svarbios priežastys:

1. Kolegos buhalteriais pasitiki (o kartais jų ir prisibijo);
2. Buhalteriai valdo pačius vertingiausius duomenis: įmonės, darbuotojų ir klientų finansinę informaciją;
3. Finansų skyriuose dažnai vis dar naudojama pasenusi ar silpnai apsaugota programinė įranga.

Neretai finansų srities darbuotojai skiria per mažai dėmesio asmeniniam kibernetiniam saugumui. Be to, pagrindiniu atakų taikiniu dažniausiai tampa būtent mažos ir vidutinės įmonės. Jos dažniausiai neturi tokio saugumo biudžeto ar dedikuotų IT komandų, kokias gali leisti didelės korporacijos.

Pateikiame keturis dažniausiai pasitaikančius sukčiavimo būdus, su kuriais gali susidurti jūsų finansų darbuotojai, bei penkis praktiškus patarimus, kaip nuo jų apsisaugoti.

Keturi taikiniai ant finansų direktoriaus nugaros

1. Išpirkos reikalaujanti programinė įranga (angl. Ransomware)
Tai kenkėjiška programa, kuri, patekusi į jūsų kompiuterį, užšifruoja ir užblokuoja prieigą prie visos sistemos bei failų. Tokiu atveju nepadės nei kompiuterio perkrovimas, nei vietinis IT administratorius. Įvykus tokiai atakai galimi tik du scenarijai: prarandate absoliučiai viską, kas yra kompiuteryje, arba mokate nusikaltėliams nuo X 000 iki XX 000 eurų išpirką (ir ši suma nuolat auga). Visi svarbūs dokumentai, metinės ataskaitos, sutartys – viskas tampa nepasiekiama.

Užsikrėsti galima įvairiai, tačiau dažniausiai tai įvyksta atidarius kenkėjišką elektroninio pašto priedą arba prijungus nesaugią USB atmintinę. Dar vienas dažnas rizikos veiksnys yra šeimos nariai. Leidžiant vaikams žaisti su jūsų darbiniu telefonu ar kompiuteriu, smarkiai išauga rizika atsisiųsti virusą per žaidimus ar socialinius tinklus.

2. Suklastotos sąskaitos faktūros
Esame pratę ignoruoti prastai išverstus prašymus pervesti pinigų iš tariamų užsienio princų, tačiau situacija tapo kur kas rimtesnė ir profesionalesnė. Neseniai viena Estijos ligoninė apmokėjo suklastotą tiekėjo sąskaitą. Sąskaita buvo išrašyta už realias paslaugas ir atrodė visiškai autentiška, tačiau nusikaltėliai PDF faile nepastebimai pakeitė banko sąskaitos numerį.

Fiktyvios sąskaitos yra vienas populiariausių sukčiavimo būdų ir Lietuvoje. Jums gali būti atsiųsta sąskaita už įprastas paslaugas, kurioje puikuojasi gerai pažįstamo tiekėjo logotipas, tačiau nurodyta sukčių banko sąskaita. Tai rodo, kad Baltijos šalyse aktyviai veikia nusikaltėlių grupės, kurios analizuoja įmonių viešuosius pirkimus ir naudoja šią informaciją joms apgaudinėti.

3. Suklastoti laiškai nuo vadovo ar kolegos
Kitas sparčiai plintantis duomenų viliojimo (angl. phishing) būdas – laiškai iš asmenų, apsimetančių įmonės vadovu ar artimu kolega.
Laiškas gali atrodyti taip: „Sveiki, prašau skubiai pervesti 2000 eurų į šią sąskaitą. Esu išvykęs, sąskaitą faktūrą atsiųsiu kitą savaitę.“ Arba: „Sveika, ar galėtumėte man skubiai išmokėti 300 eurų avansą? Susirgo mama, labai reikia vaistų.“

Jūsų reakcija į tokį laišką labai priklauso nuo įmonės kultūros ir procesų griežtumo. Lygiai taip pat sukčiai gali apsimesti ir jumis, siųsdami laiškus jūsų kolegoms ir prašydami pervesti pinigų.

4. Skambučiai ir žinutės iš „jūsų banko“
Tokie atvejai pasitaiko vis dažniau. Sukčiai skambina arba siunčia SMS pranešimus prisistatydami banko darbuotojais ir gąsdina:

• Apie neva neteisėtą pinigų išgryninimą;
• Apie planuojamą sąskaitos uždarymą;
• Kad jūsų pinigams gresia pavojus, todėl juos būtina skubiai pervesti į „saugią“ sąskaitą;
• Siūlo itin palankias paskolos sąlygas, tačiau pirmiausia paprašo padiktuoti kortelės duomenis.

Pagrindinis šių atakų tikslas yra išvilioti jūsų prieigos duomenis: prisijungimo slaptažodį, PIN kodą, mokėjimo kortelės numerį ir CVV kodą. Būtina atsiminti vieną auksinę taisyklę: finansų įstaigos ir bankai niekada neprašys jūsų atskleisti prisijungimo slaptažodžių ar pilnų mokėjimo kortelės duomenų.

Penki būdai, kaip apsaugoti save ir savo įmonę

1. Reguliariai atlikite saugumo vertinimus. Finansų ir buhalterijos sistemos yra pirmoje kibernetinių nusikaltėlių taikinių sąrašo vietoje. Svarbu nuolat tikrinti naudojamas sistemas, atnaujinti programinę įrangą ir taip užkirsti kelią saugumo spragoms.
2. Kibernetinės higienos mokymai. Silpniausia bet kokios saugumo sistemos grandis yra žmogus. Išmokykite savo komandą gerosios praktikos: naudoti stiprius ir skirtingus slaptažodžius, reguliariai daryti atsargines duomenų kopijas debesijoje. Darbuotojai privalo žinoti, į kokius įtartinus ženklus atkreipti dėmesį.
3. Neatidarinėkite failų iš nežinomų siuntėjų. Bet koks keistas, netikėtas laiškas ar sąskaita yra pavojaus signalas. Susisiekite su siuntėju kitu būdu (pavyzdžiui, paskambinkite telefonu) ir įsitikinkite, ar jis tikrai siuntė šį failą. Nepasitikėkite aklai: net ir jūsų pažįstamo verslo partnerio pašto dėžutė gali būti nulaužta.
4. Naudokite tik IT skyriaus patikrintas USB atmintines. Užkrėsta USB atmintinė gali atverti duris į visą įmonės tinklą. Kartais nusikaltėliai specialiai palieka atmintines atsitiktinėse vietose (kavinėse, automobilių stovėjimo aikštelėse), tikėdamiesi, kad kas nors iš smalsumo jas prijungs prie savo darbinio kompiuterio.
5. Palaikykite investicijas į IT saugumą. IT komandai, atsakingai už įmonės saugumą, labai dažnai trūksta biudžeto. Palaikykite jų iniciatyvas. Niekas nemėgsta mokėti už draudimą, tačiau kibernetinis saugumas yra būtina verslo draudimo forma. Be tinkamų apsaugos priemonių jūsų įmonė yra tarsi vištidė atviromis durimis, kai aplink slankioja lapės.

Būkite saugūs ir budrūs!