Jak zapobiegać oszustwom cybernetycznym

W swoim ostatnim Fraudcast, Dawn Brolin, CPA, CFE i CPA Stephen King wdał się w głęboką dyskusję na temat oszustw internetowych.

Wcześnie przypomniałem słuchaczom o nowym webinarze Steve’a GrowthForce, który możecie sprawdzić poprzez link na stronie podcastu. Seminarium zbiega się w czasie z jego publikacją The CEO’s Guide to Reducing Fraud , źródło zatwierdzone przez Brolina, gdzie szczegóły dotyczące cyberprzestępczości można znaleźć na stronie 11.

Aby rozpocząć naszą dyskusję, poprosiłem Steve’a o omówienie tej gorącej kwestii.

Oszustwo cybernetyczne jest wtedy, gdy dochodzi do kradzieży przez komputer. W wielu przypadkach jest ono popełniane za pośrednictwem poczty elektronicznej. Według Steve’a, cyberprzestępstwa polegają na wyłudzaniu danych osobowych (np. nazwy użytkownika, karty kredytowej, numeru ubezpieczenia społecznego lub hasła) poprzez podawanie się za zaufanego partnera. Spear phishing, jak nam powiedział, jest bardziej ukierunkowany i występuje wtedy, gdy ktoś próbuje uzyskać informacje o firmie.

ACFE informuje, że w ten sposób ludzie dostają się do 70 procent przypadków naruszenia danych. Phishing wielorybów jest formą spear phishingu, który jest skierowany w szczególności do dyrektorów generalnych lub menedżerów wysokiego szczebla. Oszuści ci dowiadują się jak najwięcej o osobie, która ma prawo przekazywać pieniądze i ukrywać swoją prawdziwą tożsamość w wiadomościach e-mail, strasząc i oszukując administratorów do działania.

W temacie phishingu, posiadanie publicznego konta na Facebooku jest jednym ze sposobów na narażenie się na ryzyko. Złodzieje mogą z łatwością wyszukać stronę dla właścicieli firm z tytułem “CEO”, stać się Twoim przyjacielem i przyjrzeć się Twojemu życiu od wewnątrz.

Steve opisał swoje pierwsze doświadczenia z cyberprzestępczością, wspominając czas, kiedy otrzymał maila od swojego dyrektora finansowego z prośbą o przelanie 50.000 dolarów. Steve odpowiedział, odmówił i nic nie usłyszał. Kiedy osobiście rozmawiał z dyrektorem, nie miał pojęcia o czym Steve mówi. Oprócz kont na Facebooku, podróbki wykorzystują zdjęcia, e-maile, uchwyty Twittera, profile LinkedIn i inne formy mediów społecznościowych do popełniania oszustw.

Jedną z technik oszustwa, przed którą ostrzegał słuchaczy Steve, jest przełączanie cyfr w domenach e-mail. To, co normalnie byłoby “[chronione e-mailem]”, mogłoby być “[chronione e-mailem]”, gdyby było oszustem. Ważne jest, aby zastanowić się, jak chronić firmy, tak jak osoby prywatne mogą być chronione przed oszustwami internetowymi.

Detect & Defend to program Intuit, którego sam używam i który pozwala właścicielom firm na sprawdzanie ich kredytów, monitorowanie ciemnej sieci w poszukiwaniu informacji i wysyłanie alertów w przypadku wykrycia naruszenia.Oferuje 24 godziny na dobę, 7 dni w tygodniu, obsługę klienta w USA i kosztuje 10 dolarów miesięcznie.

Jak zauważył Steve, zasady prowadzenia działalności gospodarczej są inne niż zasady dotyczące osób fizycznych. Masz tylko 24-48 godzin na zakwestionowanie nieautoryzowanej transakcji na koncie biznesowym, podczas gdy na koncie osobistym masz zazwyczaj do 30 dni.

Kluczowe znaczenie mają środki bezpieczeństwa, takie jak posiadanie zasobów, które pomogą utrzymać się na powierzchni potencjalnych naruszeń, czy też codzienne monitorowanie transakcji przez kogoś. Czasami wystarczy rachunek bankowy i numer routingu, aby przeważał oszust.

Miałem kiedyś pracownika, który zapłacił za mnie przyzwoitą kwotę rachunku i otrzymał od “mnie” e-mail z prośbą o coś. Na szczęście złapaliśmy ją, ponieważ mieliśmy zrozumiały proces zawodowy, który pozwolił jej szybko rozpoznać, co ja bym zrobił i nie poprosił jej o to. Kontrole wewnętrzne są powodem, dla którego podchwyciliśmy ten przekręt.

Steve zauważył, że jednym z kluczy do utrzymania dobrego systemu kontroli jest posiadanie pisemnej polityki, która określa, jakie zachowanie jest dopuszczalne i jasno definiuje, za co pracownicy mogą zostać zwolnieni.

Zaproponował również przeszkolenie pracowników w zakresie tego, czym są oszustwa związane z phishingiem. Istnieje oprogramowanie, o którym mowa w Przewodnik dyrektora generalnego (strona 25 analizuje szereg metod obrony), które pozwalają właścicielom firm wysyłać fałszywe e-maile i sprawdzać, czy pracownicy kupują wątpliwe wiadomości. Steve polecił KnowBe4.

Kolejnym zapobiegawczym must-have jest podwójne uwierzytelnienie. Zainwestuj w zasoby takie jak SmartVault, aby uzyskać tekstowe lub głosowe potwierdzenia. Korzystaj z usług antywirusowych, takich jak Bitdefender, Malwarebytes i Emsisoft dla dalszej ochrony. Wiadomości e-mail są bardzo podatne na korupcję, więc nie należy zakładać, że są one legalne.

W końcu Steve przypomniał nam, że oszustwo internetowe nie pojawia się tylko w postaci podejrzanego nigeryjskiego księcia, który chce przelać pieniądze na konto bankowe. Może to być poważnie przedstawione jako klient lub wiarygodne źródło, ale czerwona flaga może być tak mała jak brytyjska pisownia słowa wysłanego przez Teksańczyka. Miej oko na blipy dialektu. Kiedy zauważysz coś, co po prostu nie wydaje ci się właściwe, nie ignoruj tego.