BEC (Business Email Compromise) to jedna z najbardziej podstępnych form oszustw internetowych, które obecnie zyskują na popularności. Jednym z najczęściej występujących scenariuszy w tej kategorii jest zmiana numeru konta bankowego przez rzekomego „kontrahenta”. Często nieświadome zagrożenia firmy, szczególnie te o mniej zaawansowanych procedurach bezpieczeństwa, stają się ofiarą tego rodzaju manipulacji.
Spis treści:
- Wprowadzenie
- Mechanizm BEC: jak działa oszustwo?
- Metody przeciwdziałania BEC
- Lista kontrolna dla księgowości i działu zakupów
- Podsumowanie i zalecenia
Aby skutecznie chronić się przed tego typu zagrożeniami, organizacje muszą zrozumieć, jak dokładnie przebiega mechanizm BEC oraz jakie są najlepsze praktyki w zakresie zabezpieczania swoich transakcji.
Mechanizm BEC: jak działa oszustwo?
Oszustwa typu BEC często rozpoczynają się od przejęcia adresu e-mail wewnętrznego lub partnera biznesowego przez cyberprzestępców. Po przejęciu dostępu oszuści śledzą komunikację, aby wybrać odpowiedni moment do działania. Typowym scenariuszem jest wysłanie wiadomości z prośbą o zmianę numeru konta bankowego na inne, rzekomo bardziej odpowiednie z powodów logistycznych lub uaktualnienia systemów.
Znaki ostrzegawcze
Osoby odpowiedzialne za komputeryzację i bezpieczeństwo IT w firmie powinny być szczególnie wyczulone na znaki ostrzegawcze takie jak:
- Nieoczekiwane żądania zmiany numeru konta.
- Nacisk na pilność transakcji i zminimalizowanie czasu na refleksję.
- Błędy językowe lub stylizacja odbiegająca od normalnej komunikacji.
Więcej szczegółowych informacji oraz przykłady takich oszustw można znaleźć tutaj.
Metody przeciwdziałania BEC
Istnieje kilka zaawansowanych metod, które organizacje mogą wdrożyć w celu skutecznego przeciwdziałania BEC:
Procedury potwierdzania IBAN poza e-mailem
Najbardziej efektywnym sposobem na uniknięcie oszustwa BEC jest wdrożenie procedur potwierdzających, które obejmują obie formy komunikacji: mailową i telefoniczną. Zmiana numeru konta jedynie na podstawie e-maila jest ogromnym ryzykiem. Rekomenduje się, aby każda modyfikacja lub pierwsza transakcja była potwierdzana dodatkowo w drodze rozmowy telefonicznej z zaufanym przedstawicielem kontrahenta.
Zasada czterech oczu
Wprowadzenie zasady czterech oczu, gdzie każdy transfer musi być zatwierdzony przez co najmniej dwie osoby, znacząco zmniejsza ryzyko przestępstwa. Taka współpraca pomiędzy pracownikami z różnych działów, np. finansowego i sprzedaży, zapewnia ciekawą perspektywę i dodatkowe zabezpieczenie przed ludzkim błędem.
Whitelisty kont
Utworzenie wewnętrznych tzw. whitelist, czyli list zaufanych adresów i kont bankowych, które zostały wcześniej zweryfikowane i zaakceptowane przez organizację, to kolejna forma zabezpieczenia przed BEC. Nowe lub zmienione konta nie znajdą się na tej liście dopóki nie przejdą procesu weryfikacji.
Bezpieczeństwo transakcji nie kończy się na technologiach, to również kultura organizacyjna i świadomość pracowników.
Dla bardziej pogłębionych porad dotyczących zabezpieczeń przed phishingiem i innymi formami oszustw internetowych odwiedź naszą dedykowaną stronę tutaj.
Lista kontrolna dla księgowości i działu zakupów
Wdrożenie listy kontrolnej dla działów księgowości i zakupów może działać jako pierwsza linia obrony przed BEC.
Krok 1: Weryfikacja kontrahenta
Każdy nowy kontrahent lub zmiana dotycząca już istniejącego partnera biznesowego powinna zostać dokładnie zweryfikowana. Należy wykorzystać dostępne źródła informacji, jak np. bazę danych GUS lub inne bazy publiczne.
Krok 2: Indywidualne potwierdzenie każdej zmiany
Wszystkie zmiany dotyczące numerów kont muszą być potwierdzone telefonicznie. Pracownik powinien skontaktować się z wcześniej znaną kontaktową osobą w firmie kontrahenta, wykorzystując numer telefonu znajdujący się w wiarygodnych dokumentach lub kontaktach.
Krok 3: Dokumentacja
Każda transakcja i zmiana powinna być odpowiednio udokumentowana, zawierając potwierdzenia i podpisy osób odpowiedzialnych za sprawdzenie autentyczności.
Podsumowanie i zalecenia
Ochrona przed oszustwami typu BEC wymaga zintegrowanego podejścia, które obejmuje zarówno techniczne rozwiązania, jak i świadomość zagrożeń wśród pracowników. Poprzez ścisłe przestrzeganie określonych procedur oraz edukację kadry, organizacje mogą znacząco zmniejszyć ryzyko stania się ofiarą tego rodzaju oszustwa.
Aby uzyskać więcej informacji o bezpieczeństwie transakcji oraz skontaktować się z naszym zespołem, odwiedź naszą stronę lub zadzwoń pod numer: +48 88 12 13 206.
