W Ebury stale szukamy porad, jak zapewnić pełnię bezpieczeństwa Państwa firmie i pieniądzom.

Oszustwa oparte na autoryzowanej płatności (APP) i kradzież danych to powracające trendy oszustw, na które należy uważać i chronić przed nimi swoją firmę. Chcielibyśmy podzielić się z Państwem naszymi spostrzeżeniami i wskazówkami, jak uchronić się przed tego typu zagrożeniami.

Oszustwa oparte na autoryzowanej płatności (APP)

 

Uznaje się powszechnie, że oszustwa APP są obecnie najpopularniejszym rodzajem oszustw na świecie, podobnie jest w Ebury. Poniżej przypominamy czerwone flagi, które powinny wzbudzić Państwa czujność:

• Dotychczasowy dostawca nieoczekiwanie zmienia swoje dane bankowe tuż przed terminem faktury, w szczególności gdy:

– nowe konto bankowe jest zlokalizowane w innym kraju niż dostawca

– nowe konto bankowe jest prowadzone pod inną nazwą lub jest kontem prywatnym

– sprzedawca podaje dziwne uzasadnienie zmiany konta bankowego np. „na zwykle używanym koncie firmy trwa kontrola podatkowa”

• Dotychczasowy dostawca informuje o konieczności pilnej wpłaty lub zauważają Państwo literówki w mailach lub ich ton ulega zmianie
• Dotychczasowy dostawca pisze do Państwa z nowego, nieco innego adresu e-mail (np. @supplier.com vs @suppplier.com)Strona internetowa nowego dostawcy powstała niedawno, jest w kiepskim stanie albo wciąż powstaje lub jego obecność w internecie jest niewielka, gdy poszukują Państwo informacji o nim
• Nowy dostawca ma negatywne opinie, jest oskarżany o oszustwa.

 

Kradzież danych

 

Przestępcy szukają zawsze lukratywnych metod okradania firm – jedną z nich jest kradzież i sprzedaż danych firmowych.

Tylko nieliczne firmy mogą być uważane za odporne na to zagrożenie. Nie jest zaskakujące, że najnowsze szacunki dotyczące kosztów kradzieży danych wskazują na 190 mln funtów rocznie.

Ryzyko utraty danych może być spowodowane nieostrożnością, zaniedbaniem lub złośliwym atakiem, zwłaszcza gdy tak wiele działów IT szybko daje pracownikom możliwość pracy z domu. Ataki cybernetyczne mogą być bardzo kosztowne, nie tylko pod względem finansowym – mogą mieć poważny wpływ na reputację firmy i skutkować utratą zaufania klientów, a także oczywiście utratą IP i danych osobowych oraz oszustwem.

 

Jak firmy mogą się chronić przed takim zagrożeniem?

 

• Zasady dostępu do danych powinny być zintegrowanie z procesami onboardingu, świadomości bezpieczeństwa i offboardingu.
• Należy również ustalić ograniczenia dostępu do danych, by pracownicy mieli dostęp tylko do tych, które są niezbędne do wykonywania ich pracy.
• Należy zapewnić szkolenia poszerzające wiedzę dotyczącą sposobów pozyskiwania wewnętrznych informatorów (insiderów), takich jak kontakt przez LinkedIn lub media społecznościowe.
• Należy korzystać z procesów weryfikacyjnych, by przeciwdziałać ryzyku tworzonemu przez podstawianie kandydatów, by zostali insiderami.
• Należy utworzyć dla pracowników anonimowe kanały zgłaszania przypadków podejrzanego zachowania.
• Proces offbordingu powinien obejmować zwrot sprzętu, odebranie dostępu i analizę wcześniejszych aktywności, jeśli istnieją jakieś wątpliwości.
• Należy wprowadzić ochronę prywatności, by przeprowadzanie oceny skutków ochrony danych (DPIA; Data Protection Impact Assessments) i oceny skutków prywatności (PIA; Privacy Impact Assessments) było rutynową czynnością.
• Można wdrożyć uczenie maszynowe i analitykę i skonfigurować je tak, by wykrywały podejrzaną aktywność, np. przesyłanie danych, dostęp do plików poza godzinami pracy, niewinne próby zmiany nazwy plików.

 

Warto pamiętać iż nawet proste działania takie jak używanie przez pracowników silnych haseł czy wieloetapowa weryfikacja mogą istotnie zmienić stan bezpieczeństwa firmy.

 

Jeśli zauważą Państwo nietypową aktywność na swoim koncie lub padną ofiarą oszustwa, prosimy o wiadomość na adres fraud@ebury.com.