Vesti iz zemlje

02.03.2022. 17:02

Samo za Novu ekonomiju: Laura Jekler i Jovana Zelić, PwC SEE

Autor: Nova Ekonomija

Direktorske prevare vrebaju iz mejla

Prevare i privredni kriminal su bili na rekordnom nivou i pre nego što je došlo do izbijanja pandemije izazvane koronovirusom. Rezultati globalne ankete kompanije PwC o ekonomskom kriminalu i prevarama iz 2020. godine ukazuju je da je 4...

Pixabay

Prevare i privredni kriminal su bili na rekordnom nivou i pre nego što je došlo do izbijanja pandemije izazvane koronovirusom. Rezultati globalne ankete kompanije PwC o ekonomskom kriminalu i prevarama iz 2020. godine ukazuju je da je 47 odsto kompanija ispitanika doživelo prevaru tokom 24 meseca koji su prethodili anketi, što je druga najveća prijavljena stopa incidenata u poslednjih 20 godina od kada se anketa sprovodi.

U novonastalom COVID-19 svetu povećava se virulencija prevara, jer kombinacija zdravstvenih i finansijskih pretnji čini ljude ranjivijim, pritisci na privredu i kompanije postaju sve veći, poremećaji u normalnim poslovnim procesima, kontrolama i uslovima rada motivišu zlonamerne aktere da izvrše prevaru, a neizvesnost krize utiče na mnoge da racionalizuju loše ponašanje. Zato je sasvim moguće da će rezultati ovogodišnje PwC ankete, koja je u toku, biti još nepovoljniji u odnosu na prošlogodišnju analizu. 

Spektar rizika od prevare izazvan aktuelnom pandemijom još uvek nije u potpunosti poznat. Među novim faktorima rizika su svakako prekidi u radu, iznenadni i brzi prelazak na rad na daljinu, nove procedure praćenja zaposlenih, njihove produktivnosti kao i zdravstvenog stanja ljudi, korišćenje pandemijskih uslova kao mamca za kampanje društvenog inženjeringa.

Pored toga, kompanije osmišljavaju i primenjuju nove poslovne procese kao deo odgovora na novonastale radne i tržišne okolnosti, što može uvećati postojeće rizike od prevare pa čak i generisati nove, imajući u vidu da postojeće kontrolne aktivnosti možda nisu najprimenljivije na nove poslovne procese. 

Nebojša Stankić (Zebra System): Haker je u mreži 144 dana pre napada

Presretanje poslovne komunikacije

Rizici od prevare koje doživljavaju fizička lica se najčešće odnose na emajlove koji sadrže skriveni malware ili linkove do sajtova za „pecanje“ (phishing) ličnih podataka, a koji su najčešće prerušeni u informacije u vezi sa zdravstvenom krizom ili vladine informacije u vezi sa državnom pomoći. Ovakvi emajlovi se koriste za prikupljanje ličnih i drugih osetljivih podataka, što dovodi do preuzimanja naloga i prevare sa kreditnim karticama, odnosno do krađe novca. Takođe, česte su lažne dobrotvorne akcije kreirane od strane izmišljenih organizacija. 

I kompanije su sve izloženije phishing napadima, presretanju i kompromitovanju poslovne elektronske komunikacije u cilju krađe osetljivih podataka o klijentima, zaposlenima, poslovnim partnerima i saradnicima. U ovakvim prevarama sajber kriminalci „hakuju“ e-mail kompanije ili njenih poslovnih partnera i neko vreme prate komunikaciju, pa kada se ukaže prilika presreću originalnu elektronsku korespodenciju i zamenjuju je lažnom.

Tako su sve češće sajber prevare u vezi sa preuzimanjem naloga dobavljača, gde prevaranti ažuriraju podatke o bankovnim računima dobavljača kako bi preusmerili plaćanja kompanije na željeni račun, ali i prevare u smislu kreiranja fiktivnih dobavljača i porudžbenica sa avansnim plaćanjem. Ovakvi sajber napadi često imaju formu takozvane „direktorske prevare“, gde zaposleni dobijaju e-mail od svog nadređenog u kojem se nalaže, na primer, hitno plaćanje određenom dobavljaču ili hitan transfer novčanih sredstava na određeni račun.

Direktorske prevare se sprovode tako što prevaranti dolaze do informacija o rukovodstvu ili vlasnicima kompanije, kreiraju sličnu e-mail adresu a često i kopiraju elektronski potpis, sve kako bi elektronska poruka bila što autentičnija, i čekaju savršenu priliku za delovanje, na primer kad je direktor na odsustvu ili važnom službenom putu.

Ako zaposleni, koji pokušava da impresionira menadžment kompanije dobrim i brzim odgovorom, ne prepozna moguću prevaru, novac odlazi nepovratno, i sliva se na račune prevaranta kojima je teško ući u trag. Prevare su takođe sve češće usmerene na odeljenja finansija i trezora, gde sajber kriminalci šalju lažne naloge za plaćanja za robu i usluge poput testova na COVID-19 i dezinfekciona sredstva, koji su trenutno predmet slabije kontrole.  

Šta ćemo, viša sila je

Međutim, sve su češće i prevare koje nemaju veze sa sajber napadima, kao što su prevare dobavljača u vezi sa kvalitetom isporučene robe, gde dobavljači tendenciozno isporučuju robu lošeg kvaliteta pozivajući se na klauzulu više sile (odnosno pandemiju) kako bi se zaštitili. 

Prevare fizičkih lica i kompanija cvetaju, a interni timovi koji se bave prevencijom i detekcijom prevara i reakcijom na njih rade pod novim okolnostima i novim rizicima, sa povećanim brojem zahteva za korisničku podršku, dakle pod pritiskom, a često i ispod kapaciteta zbog češćih odsustva, što daje nedovoljno dobre rezultate u prevenciji i detekciji prevara. Takođe, sve su češći propusti kompanija u usklađenosti sa propisima, jer je za ovu oblast najčešće odgovoran isti, preopterećeni tim stručnjaka.

Kako bi se zaštitile od ovakvih napada, kompanije bi trebalo da se zapitaju: 

Da li dovoljno dobro procenjujemo potencijalne pretnje? 

Jesmo li „zakrpili“ sve praznine koje nas izlažu potencijalnim sajber napadima i drugim prevarama? 

Da li nam tehnologija za borbu protiv prevara pruža sigurnost koju smo očekivali?

Preduzimamo li odgovarajuće mere kada se dogodi incident? 

Da li zaposleni u kompaniji imaju priliku da anonimno prijave internu ili eksternu prevaru?

Nulta tolerancija na zloupotrebe

U velikom broju slučajeva je za potrebe analize izloženosti prevarama, izradu strategije i sprovođenje mera za prevenciju, detekciju i reakciju na prevare i zloupotrebe najbolje konsultovati eksterne stručnjake. Međutim, mnogo toga kompanije mogu učiniti i same kako bi se efikasno borile protiv prevara i zloupotreba u „novoj normalnosti“. 

Pre svega, neophodno je da se kompanije i njihovi zaposleni dobro pripreme na produženi rad na daljinu: zaposlenima treba obezbediti privatnost rada i siguran pristup ključnim sredstvima i aplikacijama kako bi efikasno obavljali svoj posao. Imajući u vidu da su zaposleni prva linija odbrane od prevare, a neretko i njeni akteri, neophodno je istovremeno raditi na podizanju svesti zaposlenih o svim rizicima i pretnjama koje su donele tehnologije i novi procesi rada na daljinu, omogućiti edukaciju zaposlenih o sajber napadima i drugim učestalim vrstama prevara, opredeliti resurse koji će biti dostupni zaposlenima za podršku, češće nego inače komunicirati pravila ponašanja i etički kodeks, ali i češće nego inače komunicirati sa zaposlenima kao sa partnerima u borbi protiv prevara i zloupotreba. 

Iako neke od ovih aktivnosti mogu delovati sofisticirano, već samo podsećanje na uobičajenu praksu i procese kao što su, na primer, lična provera promena na bankovnim računima dobavljača, obraćanje pažnje i na e-maila adresu pošiljaoca (koja se u slučaju prevare obično samo neznatno razlikuje od originalne), ili obraćanje više pažnje na bilo kakvo odstupanja od uobičajene poslovne prakse, može napraviti razliku između omogućavanja i sprečavanja prevare. 

Pomenute vidove komunikacije ne treba ograničiti na zaposlene, nego ih usmeriti na najširi krug relevantnih aktera, uključujući najviše rukovodstvo i vlasnike, poslovne partnere i saradnike, kako bi se osiguralo da su svi svesni aktuelnih rizika kao i strategija i planova za prevenciju i identifikaciju prevara i zloupotreba. Takođe, treba prihvatiti da su i treće strane, na primer kupci i dobavljači, svesni mogućnosti za prevaru, pa treba raditi na iznalaženju načina da svi oni na neki način budu obuhvaćeni naporima usmerenim na minimiziranje rizika od prevara ili trajanja i štetnih efekata prevara. 

Dakle, najefikasniji način za sprečavanje prevara je i dalje ulaganje u obrazovanje i informisanje zaposlenih, podizanje svesti o zloupotrebama i uspostavljanje kulture nulte tolerancije na zloupotrebe. Međutim, važno je i ulagati u nove tehnologije, interne procese i kontrole u vezi sa sprečavanjem, otkrivanjem i evidentiranjem zloupotreba: u skladu sa nalazima pomenute prošlogodišnje PwC ankete, kompanije koje su ulagale u ovakve tehnologije i programe po incidentu troše oko 40 odsto manje na reaktivne aktivnosti i 17 odsto manje na sanaciju štete u odnosu na kompanije koje ove programe nemaju. 

Laura Jekler i Jovana Zelić* 

*Autori su direktor i senior menadžer u Odeljenju za forenzičke usluge, PwC SEE

Preuzimanje delova teksta je dozvoljeno, ali uz obavezno navođenje izvora i uz postavljanje linka ka izvornom tekstu na novaekonomija.rs

Ostavite odgovor

Vaša adresa e-pošte neće biti objavljena. Neophodna polja su označena *

Pre slanja komentara, molimo vas da se upoznate sa pravilima komentarisanja i pravilima korišćenja sajta.

Sajt je zaštićen pomocu reCaptcha i Google. Google Politika Privatnosti i Google Uslovi Korišćenja su primenjeni.

The reCAPTCHA verification period has expired. Please reload the page.