Podvodné emailové zprávy
Buďme na takové situace připraveni.
Čím dál častěji se ve firemním prostředí šíří podvodné vylákání plateb prostřednictvím emailových zpráv. Pachatel nejprve v síti Internet zjistí veřejně dostupné informace o společnosti. Následně emailem osloví finančního ředitele/ vedoucího ekonomického oddělení nebo jinou osobu oprávněnou provést platbu z firemního účtu, jejíž email je také veřejně dostupný. Pachatel vystupuje jménem ředitele nebo jiné osoby oprávněné autorizovat převod s požadavkem na provedení platby v řádu desítek tisíc eur. Po kladné odezvě na prvotní email (např. „Jaký je náš zůstatek na účtu? Můžeme dnes pay EUR ‚částka‘?“ nebo „Ahoj, můžete provést bankovní převod do ‚název banky‘ dnes?“) odešle instrukce k provedení expresní platby do zahraničí a vyčká na potvrzení o provedení transakce.
Emailové zprávy jsou psány češtinou z webového překladače, které mohou obsahovat zjevné gramatické chyby nebo překlepy. Jedná se o jednoduchý text bez jakýchkoliv příloh. Jako identifikace platby bývá často uveden „Administrativní seminář“. Pachatel používá freemailové schránky na zahraničních doménách, případně tzv. emailový anonymizér.
Tento typ podvodu se nazývá v anglické terminologii jako CEO Fraud či BEC (Business email compromise). Pachatel využívá tzv. sociálního inženýrství, aby přiměl cílové osoby plnit své požadavky a v mnoha případech se mu to, i přes triviálnost komunikace a technik přesvědčování, velmi dobře daří.
Prevence:
- Vždy ověřujte u odesílatele každý požadavek na platbu (ideálně telefonicky nebo osobně).
- Věnujte pozornost obsahu e-mailových zpráv (rozdíl v dřívější komunikaci oproti jednoduchým textům s gramatickými chybami, tykání x vykání).
- Ověřujte tvar emailové adresy odesílatele.
Hrozeb, které číhají v emailových zprávách a jejich přílohách (a nejen tam), je velké množství. Každé infikování počítače nebo celé firemní sítě, případně neoprávněně odčerpaná částka peněz začíná individuální chybou konkrétního zaměstnance.
Firmám doporučujeme proškolení nejen zaměstnanců odpovědných za finanční operace, ale všech zaměstnanců, kteří mají přístup do sítě Internet. Proškolení v této věci poskytuje nespočet IT společností.
22. května 2017
kpt. Ivana Nguyenová
tisková mluvčí
Policejní prezidium ČR