Kybernetická hrozba CEO fraud ohrožuje i české firmy
Ze zahraničí k nám proniká zcela nové ohrožení firem zvané „CEO fraud“. Jedná se o podvodné jednání prostřednictví internetu s cílem vylákat výrazné částky peněz od nic netušících společností. V posledním roce byla jen ve Francii a Německu zdokumentována nejméně stovka takových případů, celosvětově takto získali podvodníci podle FBI za poslední tři roky v rámci tzv. CEO fraudu z firem z osmi desítek zemí světa více než 2,3 miliardy dolarů. Mají se tohoto typu kyberzločinu obávat i české firmy?
„Odhalování podobných praktik by mělo být součástí širšího pojetí řízení rizik i firem v České republice, kde se první případy tohoto podvodu již také objevily,“ říká Jiří Vácha ze společnosti MIBCON. „Ruku v ruce musí jít opatření jak na straně řízení byznysu, tak v oblasti IT systémů. Je třeba nastavit vysokou úroveň risk a fraud managementu, kontrolních procesů, efektivního auditu. A to není možné bez dobře zvoleného podnikového IT řešení, které nejen že umožní vše uvedené zprocesovat, ale také zajistí vysokou úroveň bezpečnosti.“
Jaký je mechanismus tohoto podvodu? Princip je velmi jednoduchý. Člen nejvyššího managementu firmy odjede na dovolenou nebo služební cestu, což podvodníci poznají díky automatické odpovědi o nepřítomnosti. Podvrženým emailem pak jeho jménem dají podřízeným, respektive účtárně podniku, pokyn k vyplacení určité částky. Další možností je registrace domény velmi podobné doméně některé z partnerských firem a vydávání se za jejího reálného zaměstnance. Potom často následuje sociální nátlak – další podvržený email, fingovaný nervózní telefonát třetí strany, falešná smlouva. Částka pak zpravidla opravdu odputuje, a následně zmizí v džungli zámořských účtů.
Popisovaný CEO fraud je součástí daleko širšího tématu - Froud Managementu, tedy analýzy a detekce podvodů. „Pro analýzu a detekci podvodů používáme nejmodernější technologie, které jsou schopné analyzovat data v reálném čase a nad velkým objemem, a zároveň aktivně zabránit probíhajícímu podvodu dřív, než vznikne společnosti újma,“ doplňuje Jiří Vácha.
„Techniky, kterými se podvodníci snaží vylákat z firem i jednotlivců peníze jsou rozmanité – od výpalného za data zakódovaná pomocí spuštění malwaru až po zcizení identity nebo CEO fraud,“ říká William Ischanoe z Počítačové školy Gopas. „Největší hrozbou ale stále zůstává nezkušený nepoučený, a navíc neopatrný uživatel. Většina technik je založená na tom, že lidé nevědí, čeho by se měli v současném propojeném světě vyvarovat. Proto firmám důrazně radíme, že by měly investovat nejen do systémů pro ochranu svých dat, ale také do vzdělání svých zaměstnanců – ať už IT specialistů, nebo běžných uživatelů.“