Pozor! Objavuje sa nový druh finančných podvodov. Prísť môžete o tisíce eur.

22.11.2018 (10:00)

Firmy by si mali dávať pozor na tzv. CEO fraud a Invoice fraud, ktorými ich chcú podvodníci obrať o peniaze. Prečítajte si, ako funguje podvodná schéma.




Oddelenie firmy zodpovedné za účtovníctvo a platby obdrží email od vedenia spoločnosti s urgenciou o okamžitý prevod finančných prostriedkov na účet. Email pôsobí dôveryhodne a naliehavo. Prípadne od dodávateľa služieb dostane faktúru, na ktorej figuruje iné číslo účtu príjemcu, ako býva štandardne. To sú typické príklady tzv. CEO fraudu a Invoice fraudu, ktoré sa objavujú čoraz častejšie už aj na Slovensku.

„Sme radi, že aj vďaka edukácii si klienti na Slovensku dávajú čoraz väčší pozor na tzv. phishingové podvody a podobné pokusy nahlasujú banke. Pokusy o tzv. CEO fraud alebo Invoice fraud nie sú zatiaľ až také časté, no ich počet na Slovensku stúpa a je nutné na ne upozorňovať. Sumy požadované v takýchto podvodných mailoch sú vysoké, rádovo sa pohybujú tisícoch až desať tisícoch eur,“ uvádza hovorkyňa ČSOB Anna Jamborová.

Neprehliadnite
Čo je teda „CEO fraud“? Je to forma podvodnej komunikácie, kedy sa podvodník vydáva za autoritu alebo vysoko postaveného predstaviteľa spoločnosti (generálneho riaditeľa, štatutára, spoločníka spoločnosti a pod.) a požaduje naliehavým spôsobom vykonať prevod finančnej čiastky. Požiadavka sa javí ako legitímna, no v skutočnosti je jediným cieľom uviesť jej príjemcu do omylu a získať finančné prostriedky.

V prípade „Invoice fraudu“ podvodníci vystupujú napríklad v mene dodávateľa a firme nahlásia zmenu svojho bankového účtu emailom, poštou alebo telefonicky. Prípadne môže ísť o urgentnú žiadosť o zaplatenie pohľadávky po lehote splatnosti. Podvodníci môžu tiež zachytiť originálne emailové správy, ktoré obsahujú faktúry a v nich zmeniť číslo účtu príjemcu alebo len pošlú falošnú faktúru s novými bankovými údajmi.

V oboch prípadoch pôsobia emaily dôveryhodne a sú formulované tak, aby vystavili príjemcu správy pod časový stres a zredukovali tak možnosť overenia správnosti požiadavky. Doména, z ktorej sú maily zasielané, je veľmi podobná originálnej doméne. Na rozdiel od bežného phishingu ide o emaily zasielané veľmi cielene danému príjemcovi s určitou znalosťou o fungovaní danej spoločnosti, napr. o osobách a útvaroch, ktoré môžu požadovaný prevod peňazí vykonať.

Čo by mali príjemcovia takejto správy robiť, keď im príde takýto email? Bezodkladne o tom informovať svojho manažéra. Odporúčame prehodnotiť, či ide o komunikáciu, ktorá svojím charakterom zapadá do bežnej praxe, a či sa už podobná urgentná požiadavka vyskytla v minulosti. Kontaktovať môžete aj infolinku svojej banky a nahlásiť pokus o podvod.

A čo v prípade, ak firma zistí, že išlo o podvod až po odoslaní predmetnej čiastky na požadovaný účet? Mala by o tom bezodkladne informovať tak banku, v ktorej má vedený účet, ako aj políciu, aby prijali všetky dostupné opatrenia. Mechanizmus ochrany je pri tomto type podvodov veľmi zložitý, nakoľko klient platbu riadne autorizuje a pošle, preto je prevencia v tomto prípade obzvlášť dôležitá.

ČSOB upozorňuje firmy, aby v takýchto prípadoch postupovali obzvlášť opatrne a o podobných pokusoch informovali aj svoju banku.
 

CEO Fraud

Varovné signály:

  • Urgentnosť (expresná/urgentná/rýchla platba, platba dnes)
  • Neobvyklá žiadosť v rozpore s internými predpismi
  • Psychologický nátlak (dôležitosť, dôvernosť)
  • Neznámy účet príjemcu (väčšinou v zahraničí)
  • CEO, Generálny riaditeľ je neprítomný (pracovná cesta, dovolenka)

Čo môžu urobiť spoločnosti:

  • Informovať svojich zamestnancov o týchto rizikách (hlavne účtovné, finančné oddelenie)
  • Stanoviť si vnútorné postupy týkajúce sa zadávania platieb a pre overovanie príkazov zadávaných prostredníctvom e-mailu

Čo môžu urobiť zamestnanci:

  • Starostlivo kontrolovať emailové adresy pri žiadostiach o prevod prostriedkov
  • Byť ostražití:
    - pri požiadavkách na urgentné a dôverné platby
    - v prípadoch ktoré nie sú v súlade s internými postupmi,
    - ak transakcie smerujú do krajín s ktorými spoločnosť neobchoduje
  • Overiť si legitímnosť požiadavky / telefonicky / pomocou známeho kontaktného čísla
 

Invoice Fraud

Varovné signály:

  • Požiadavka o zmenu bankových údajov
  • Neznámy účet príjemcu (väčšinou v zahraničí)

Čo môžu urobiť spoločnosti:

  • Informovať svojich zamestnancov o týchto rizikách (hlavne účtovné, finančné oddelenie)
  • Stanoviť si vnútorné postupy týkajúce sa zadávania platieb
  • Skontrolovať verejne dostupné informácie o spoločnosti – hlavne o dodávateľoch, prípadne zverejnené zmluvy

Čo môžu urobiť zamestnanci:

  • Skontrolovať údaje v žiadosti so staršími bankovými prevodmi, či sú informácie konzistentné - vrátane mena príjemcu, čísla účtu a mesta / krajiny, na ktoré boli uskutočnené predchádzajúce prevody.
  • Overovať všetky žiadosti od dodávateľov, hlavne v prípadoch, ak ide o požiadavku na zmenu bankových údajov
  • Nepoužívať kontaktné údaje z emailov požadujúcich zmenu / Určenie si kontaktných osôb so spoločnosťami s ktorými sú vykonávané pravidelné platby

Zdroj: ČSOB, Foto: Matthew Henry, Burst.shopify.com