icon

Skilaboðasvik - Hvernig á að þekkja þau og koma í veg fyrir að falla í gildruna.

Bæring Logason, upplýsingaöryggisstjóri Þekkingar, er með stórfróðlega grein um hvernig greina má svik og verja sig gegn netsvindli sem gerist sífellt þróaðra.

Undanfarna mánuði hafa fréttir borist af tilraunum óprúttina aðila að svíkja fé út úr íslenskum fyrirtækjum með því að komast inn í tölvupóstsamskipti þeirra. Svona tilraunir sem nefndar eru Skilaboðasvik  (e. business email compromise) eru oft árangursríkar og samkvæmt tölum erlendis frá er meðalávinningur slíkra svika 17 milljónir króna og því ljóst að eftir miklu er að slægjast. Skoðum aðeins hvaða leiðir það eru sem netglæpamenn nota og hvernig er hægt að verjast þeim.

Hvað er þetta?

No alt text provided for this image

Skilaboðasvik hefjast yfirleitt á því að netglæpamenn ná yfirráðum á tölvupósthólfi starfsmanns eða stjórnenda. Það gerist vanalega annaðhvort með tæki sem stungið er í tölvuna sem skráir hvað er slegið á lyklaborð og sendir svo upplýsingar til glæpamanna, eða það sem er algengara í seinni tíð að beitt sé svokölluðum vefveiðárásum (e.phishing) á starfsmenn. Þar sem til dæmis glæpamaðurinn býr til póstfang sem er svipað og póstfangi fyrirtækisins sem hann langar að komast inn í eða sendir fórnarlambinu skilaboð með það fyrir augum að það gefi upp lykilorð sem glæpamaðurinn getur nýtt sér. Þegar netglæpamaðurinn hefur fengið aðgang að tölvupóstsamskiptum fylgist hann með og lærir hver getur t.d. beðið um að greiðslur séu greiddar. Það fer oft talsverð vinna í þennan undirbúning hjá glæpamanninum og þessi undirbúningur getur tekið langan tíma.

Samkvæmt skilgreiningum Alríkislögreglunnar í Bandaríkjunum er Skilaboðasvikum skipt í fimm flokka:

  1. Svindlreikningar: Þar þykjast netglæpamenn vera birgjar sem óska eftir greiðslu inn á reikning sem er í þeirra eigu. Þetta er sérstaklega varhugavert fyrir fyrirtæki sem eiga í viðskiptum við erlenda birgja.
  2. Forstjórasvindl: Þar þykjast netglæpamenn vera forstjóri eða háttsettur stjórnandi innan fyrirtækis sem sendir tölvupóst á starfsmenn í reikningshaldi og biður um að lagðir séu inn peningar á reikning í eigu þeirra.
  3. Innbrot í pósthólf: Þar hafa netglæpamennirnir brotið sér leið inn í pósthólf starfsmanna, helst háttsettra og biðja birgja sem oft eru skráðir í pósthólfinu um að greiða upphæðir sem rata svo aftur á reikning í eigu netglæpamannana.
  4. Lögfræðingaleikur: Þar þykjast netglæpamenn vera lögfræðingar eða starfsmenn lögfræðifyrirtækja sem sjá um afar mikilvæg og jafnframt viðkvæm mál sem þarf að leysa strax. Það er jafnan gert með því að leggja pening inn á reikning í eigu glæpamanna.
  5. Gagnaþjófnaður: Þar eru starfsmenn fyrirtækja sem starfa við starfsmannaþjónustu eða bókhald fórnarlömb glæpamanna sem hafa það markmið að stela persónulegum upplýsingum um starfsmenn eða stjórnendur. Slík gögn eru gjarnan notuð við framhaldsárásir.

Hverjir þurfa að gæta sín sérstaklega?

No alt text provided for this image

Fyrirtæki með erlenda birgja og erlenda viðskiptavini. Fyrirtæki sem eiga í samskiptum erlendis um greiðslur fyrir vöru eða þjónustu. Það er líklega auðveldara fyrir netglæpamenn að hlera og eiga samskipti á ensku. Það er samt ekki þannig að fyrirtæki sem aðeins stunda viðskipti á Íslandi við Íslendinga séu hólpin. Þýðingarforrit eru orðin það fullkomin að netglæpamenn geta nýtt þau til að stunda svik. Það hafa einnig komið upp atvik hérlendis þar sem lýtalaus íslenska er notuð í samskiptum.

Fyrirtæki sem hafa nýlega skipt um stjórnendur og/eða stjórnendur í bókhaldi ættu að vera á varðbergi gagnvart svona svikum. Oft vill það verða þannig að þegar fólk hefur störf þá áttar það sig ekki almennilega á því hvernig ferlar innan fyrirtækis virka og þá er hættara við að ekki sé alveg farið eftir þeim ferlum. Ef beiðnin er undarleg þá ætti það að hringja bjöllum hjá starfsmanni.

Það er í raun ekkert fyrirtæki undanskilið þessari áhættu.

Hvað er hægt að gera?

Þar sem þessi svik innihalda ekki hlekki eða viðhengi í tölvupóstum komast þau oft framhjá hefðbundnum og innbyggðum öryggislausnum tölvukerfa. Hér er sterkasta vörnin þjálfun starfsmanna og fræðsla. Þó starfsmenn séu yfirleitt stærsta auðlind hvers fyrirtækis þá eru þeir oftar en ekki veikasti hlekkurinn séð frá sjónarhóli upplýsingaöryggis. Þá er hægt að styrkja með markvissri fræðslu.

Öll eiga þessi skilaboð það sameiginlegt að það er verið að þrýsta á starfsmenn eða birgja um að bregðast við einhverju ástandi sem fyrst. Hér treysta glæpamenn á það að duglegir starfsmenn vilji standa sig vel í starfi og hjálpa sem fyrst ef það kemur beiðni frá stjórnenda eða mikilvægum viðskiptavini. Það er því afar mikilvægt að það sé brýnt fyrir starfsmönnum að fara aldrei á svig við það verklag sem í gildi er á vinnustaðnum varðandi greiðslu á reikningum eða meðhöndlun fjármuna.

Það er t.d. grunsamlegt ef fyrirtæki fær tölvupóst þar sem greiða á inn á áður óþekktan reikning. Þá er best hafa samband beint við aðilann sem sendi póstinn, helst með öðrum hætti og fá staðfestingu á greiðslunni. Sérlega varhugavert er, ef pósturinn inniheldur texta á við „ég er á fundi og það er ekki hægt að ná í mig í síma“, þá er verið að setja pressu á þann sem á að greiða.

Ef starfsmanni þykir pósturinn skrýtinn þá er gott að senda nýjan póst á sendanda í stað þess að ýta á „reply“. „Reply“-pósturinn fer oftar en ekki á netglæpamanninn en nýr póstur fer á réttan viðtakanda.

Ef erlent fyrirtæki vill breyta um greiðslufyrirkomulag er full ástæða til að hafa varan á og setja sig beint í samband við tengiliði sína þar.

Tækifæri

Fyrirtæki ættu að nýta tækifærið og fara yfir þessa verkferla með það fyrir augum að koma í veg fyrir svona atvik. Slíkir verkferlar ættu að vera formfastir og vel ígrundaðir.

No alt text provided for this image

Þau fyrirtæki sem framkvæma reglulega áhættumat á verkferlum sínum ættu að taka tillit til þessara þátta þegar matið er uppfært.

Það er gott að hafa í huga þegar farið er yfir verklag varðandi greiðslur á fjármunum að tölvupóstur er ekki endilega öruggur samskiptamáti. Þó svo að þitt fyrirtæki sért með allt á hreinu varðandi öryggi þá er ekki víst að það sama gildi um þann sem þið eigið í samskiptum við.

Það  ætti ekki að nota tölvupóst til að miðla greiðslufyrirmælum eða biðja um bankaupplýsingar.

Það er upplagt að nota tvöfalda auðkenningu við skráningu inn á net fyrirtækis og tölvupóst.

Huga ætti að aðgengi starfsmanna að tölvupósti í þeirra eigin tækjum.

Þau fyrirtæki sem nýta sér O365 lausnir ættu að skoða O365 advanced threat protection, sér í lagi fyrir þá starfsmenn sem eru hvað mest í erlendum samskiptum.

Þá ættu fyrirtæki alltaf að nota símtöl eða SMS til að staðfesta greiðslufyrirmæli.

Sjá nánar frá Bæring á https://www.linkedin.com/in/baeringlogason/