קיבלתם הודעה מבכיר בארגון או מלקוח עם בקשה לשינוי פרטים בהעברת כספים? כך תוודאו שלא מדובר בהונאה.
רקע
הונאת הנדסה חברתית המתבצעת מול גופים עסקיים באמצעות התחזות לבכיר בארגון, חברה או תאגיד, תוך יצירת מצג שווא והעברת כספים במרמה. לחילופין, חשודים היוצרים מצג שווא בפני בעלי תפקיד בחברה או תאגיד של החברה (לרוב בין מדינות שונות). בשני המקרים, החשודים מצליחים לגרום לשינויים בביצועה של העברת כספים מצד הקורבן ולגרוף רווחים גדולים באמצעות הונאה ומרמה.
הונאת מנכ"ל ידועה גם כתרמית השתלטות על תיבות דואר אלקטרוני ארגוני (BEC – Business Email Compromise) או הונאת התחזות לבכירים (CEO Fraud). הונאת ספק-לקוח ידועה גם כ"הונאת שרשרת-אספקה". במסגרת ההונאות נשלחות הוראות לביצוע עסקאות הנחזות כלגיטימיות, כדי לגרום לארגונים או גורמים פיננסיים לבצע תשלומים שהושגו באמצעות מרמה או על מנת להשיג מידע יקר ערך (שאף הוא נועד על מנת לבצע הונאות בהמשך).
איך זה עובד?
הונאות אלה מתבצעות בשלושה שלבים עיקריים:
- פריצה לחשבון הדואר האלקטרוני של הקורבן לשם השגת מידע רגיש
מרבית ההונאות מסוג זה מתחילות בפריצה לחשבון הדואר האלקטרוני של הקורבן, שמטרתה להשיג מידע רגיש על הארגון המותקף (אנשי קשר, לקוחות וספקים, פרטי חשבונות בנק ועוד). לעיתים, הפריצה מתבצעת אף היא באמצעות שיטות של הנדסה חברתית (למשל הונאת דיוג) או באמצעות פריצה לרשת מחשבי הארגון. - שימוש במידע שנגנב על מנת לשלוח במרמה הוראות לביצוע עסקה
חשוד שולח לקורבן הודעה מתוך תיבת הדואר האלקטרוני הפרוצה (או מכתובת אחרת שכמעט זהה לזו של בכיר בחברה) ובה הנחיות לביצוע שינויים בהעברת כספים. זאת, על בסיס למידת הלקוחות והספקים של החברה ועסקאות צפויות. - ביצוע עסקה לא מורשית
עובד החברה, שקיבל מהחשוד את ההנחיות לביצוע העסקה, מבצע העברת כספים לחשבון הבנק של החשוד. בדרך כלל, עד שהחברה הבינה שבוצעה טעות ומדובר בתרמית, ההעברה כבר התבצעה והחשוד גרף את ההון שהועבר.
תרחישים אופייניים לביצוע הונאות מנכ"ל והונאות ספק – לקוח
תרחיש 1 – חשוד מתחזה ללקוח עסקי של מוסד פיננסי
- חשוד פורץ לחשבון הדואר האלקטרוני של עובד בחברה.
- החשוד שולח הודעת דואר אלקטרוני למוסד הפיננסי של החברה, ובה הנחיות לביצוע העברה בנקאית. במקרים אחרים, ההודעה לא נשלחת מתיבת הדואר האלקטרוני שנפרצה אלא מחשבון ששמו זהה באופן כמעט מוחלט לזה של עובד החברה.
- בשני המקרים, בהתבסס על בקשת העובד, מתבצעת ההעברה ונשלחים כספים לחשבון בשליטת החשוד.
תרחיש 2 – חשוד מתחזה למנהל בכיר
- חשוד פורץ לחשבון הדואר האלקטרוני של מנהל בכיר בחברה.
- החשוד שולח הודעת דואר אלקטרוני לעובד אחר בחברה מהתיבה הפרוצה, ובה הוראות לביצוע העברת כספים.
- העובד מאמין שמדובר בהודעה אותנטית ממנהל בכיר בחברה ומעביר הנחייה למוסד הפיננסי של החברה לבצע את ההעברה.
- במקרים דומים, החשוד יתחזה למנהל בכיר בחברה על מנת להשיג מידע רגיש מאחד העובדים. מידע זה ישמש את החשוד לביצוע הונאות נוספות בעתיד.
תרחיש 3 – חשוד מתחזה לספק
- חשוד מתחזה לספק של החברה או לנותן שירותים מקצועיים (למשל – עורך דין), על מנת לשלוח הודעת דואר אלקטרוני לחברה ובה הנחיות לביצוע העברת כספים למספר חשבון חדש (הנמצא בבעלות החשוד).
- בהתבסס על המידע השקרי שסופק, החברה מעדכנת את פרטי העברת הכספים לספק ומעבירה הנחיות לשינוי פרטי ההעברה למוסד הפיננסי המנהל את כספי החברה.
- המוסד הפיננסי מבצע העברת כספים לחשבון בשליטת החשוד.
תרחיש 4 – חשוד מתחזה למומחה אבטחה של החברה
- חשוד יוצר קשר עם עובד בחברה באמצעות טלפון או הודעת דואר אלקטרוני ומתחזה לגורם הטכני של החברה (בדרך כלל עובד IT).
- החשוד "מיידע" את העובד לגבי קיומה של פרצת אבטחה כביכול במערכות החברה, ומבקש מהעובד מידע פיננסי הדרוש לאישור העסקה ו/או להוריד רכיב תוכנה שיאפשר לחשוד להשתלט מרחוק על מחשבו של העובד. לחילופין, חדירה למחשבי החברה מאפשרת לחשוד גישה למידע רגיש דוגמת סיסמאות, הרשאות ונתונים פיננסיים.
- המידע שמספק העובד ו/או הגישה שמשיג החשוד מאפשרים להעביר כספים לחשבון הנמצא בבעלות החשוד.
תרחיש 5 – חשוד מתחזה לצד בעסקת נדל"ן
- חשוד פורץ לחשבון דואר אלקטרוני של מתווך נדל"ן או של אדם הרוכש או מוכר נכס.
- החשוד שולח הודעות עם הוראות העברת תשלום לצדדים בעסקה.
- מועברים כספים לחשבון הנמצא בשליטת החשוד. לחילופין, החשוד יוצר קשר עם חברת נאמנות ומורה לה להעביר כספי עמלות המגיעות למתווך (החשוד המתחזה) במסגרת העסקה.
כיצד תגנו על עצמכם?
זיהוי משתמשים בעלי פוטנציאל-סיכון גבוה בחברה
- מנהלים בדרגי הביניים, משאבי אנוש (HR), חשבונאות וצוות ה-IT – פגיעה באחד מהגורמים הללו הופכת את הארגון לחשוף במיוחד.
- שימו לב אילו עובדים בחברה חשופים ברשתות החברתיות – כתובות דואר אלקטרוני, קשרים עם עמיתים (למשל ברשת החברתית LinkedIn) או מידע רגיש אחר העלול לסייע לעבריינים לאסוף מידע על הארגון.
השקיעו זמן ומחשבה בסוגיות טכניות בארגון שלכם
- הטמיעו בארגון הגדרות טכניות למניעת מתקפות דיוג שיכולות לאפשר חדירה לשרתי הדואר האלקטרוני בחברה. למשל, סננים לתיבת הדואר האלקטרוני, הגדרת אימות דו-שלבי ועוד.
- קבעו מדיניות אחידה להגדרת סיסמאות ושמות משתמש חזקים – בדרך כלל זה יסייע במניעת כניסה של גורמים לא מורשים למערכות, השתלטות על תיבות דואר אלקטרוני והדבקה בנוזקות.
קבעו נהלים ברורים לשימוש ברשת ולהעברות כספים בארגון
- הגדירו נהלים נכונים להתנהלות העובדים בארגון. לדוגמא – איסור על פתיחת קבצים מצורפים או לחיצה על קישורים מגורם לא ידוע, איסור על שימוש בכונן נייד USB במחשבי הארגון או הגדרת הרשאות לרשת ה-Wi-Fi הארגונית.
- יש להגדיר מדיניות ברורה בכל הנוגע לשרשרת קבלת ההחלטות והביצוע של העברות כספים בארגון. חשבו על הדרכים שבאמצעותן תוכלו למנוע את האפשרות שחשוד שפרץ לתיבת הדואר האלקטרוני של המנהל יוכל לגנוב כספים באמצעות תרמית ושכנוע של אחד העובדים. למשל, ניתן לעשות זאת באמצעות הגדרות קשיחות וברורות של מקרים ותגובות לבקשה לשינוי פרטי העברת כספים, כמו אישור טלפוני של מנכ"ל החברה ו/או איש הכספים.
- כעובדים בארגון, היזהרו בשימוש ברשתות החברתיות: שיתוף מידע רגיש הנוגע למקום העבודה או התפקיד שלכם הופך אתכם למטרה פוטנציאלית להונאה.
- כעובדים בארגון, ודאו כי ישנן הנחיות ונהלים למקרים של שינוי בפרטי העברות בנקאיות או של כשלי אבטחה במחשבי החברה. ודאו תמיד מול בכירים בחברה, מנהלי כספים או אנשי המחשוב (IT) לגבי שינויים אלה, כדי לוודא שלא תיפלו קורבן להתחזות.
- אם הועברה אליכם בקשה לשינויים בהעברת הכספים והבחנתם בדפוסים חשודים, כגון: תחושת בהילות העולה מהטקסט או בקשה לשמור על דיסקרטיות – צרו קשר טלפוני עם בכירים בחברה.