Delší dobu sledovali veškerou e-mailovou komunikaci, poznávali interní postupy společnosti, shromažďovali údaje o jejích zákaznících, platebních podkladech apod. Ve vhodný okamžik potřebnou část e-mailové komunikace nahradili svojí a nic netušící e-shop tak prostředky místo dodavateli poslal podvodníkům. Přišel o více než 800 tisíc korun.
E-shop se stal obětí podvodu, přišel o 833 tisíc korun
Když firmě delicado kingdom, která provozuje e-shop Čerstvákáva.cz, po doručení e-mailu s fakturou na částku 33 769,60 EUR (přibližně 833 tisíc Kč) přišla od zahraničního dodavatele prosba o zaplacení na jiný bankovní účet, nikoho ve společnosti nenapadlo, že zprávu ve skutečnosti neposlal dodavatel, ale podvodníci, kterým se podařilo dostat se do e-mailové schránky dodavatele.
Není to nic výjimečného, máme dodavatele, kteří v rámci obchodu napříč EU střídají i několik bankovních účtů. E-mail byl odeslán přímo dodavatelem, navíc byl odpovědí na náš předchozí e-mail. Kolega si v tu chvíli nevšiml žádných známek, které by poukázaly na to, že nejde o e-mail od dodavatele – ty shledal až po odhalení podvodu – e-mail byl napsán jiným fontem a dodavatel se podepsal jménem přeloženým do angličtiny. Fakturu jsme proto uhradili na nový účet,
popsal serveru Podnikatel.cz Michal Jirek, majitel společnosti delicado kingdom.
Za pár dní se nicméně platba vrátila s tím, že účet neexistuje. Firma proto napsala dodavateli, který odepsal, že má problém s účty a požádal, ať peníze pošlou na jiný účet. Ano, v tu chvíli už jsme si měli raději informaci ověřit např. telefonicky, ale nestalo se a platbu jsme odeslali. Za pár dní jsme se začali dodavatele dotazovat, kdy bude zboží připravené – bez odpovědi. Za pár dní jsme to tedy zkusili i na dalších e-mailech dodavatele a na celý podvod se tím přišlo,
dodal Michal Jirek s tím, že bylo již pozdě a jeho firma se tak stala obětí nově se šířícího typu podvodu – VEC.
Podvodníci navíc v den, kdy vše začalo, založili také doménu „carstvakava.com“. Když firma poslala dodavateli potvrzení o zaplacení, podvodníci v PDF změnili jejich číslo účtu na to správné a z e-mailu info@carstvakava.com dodavateli poslali falešné potvrzení platby. Zároveň pak mazali veškerou komunikaci ze strany české firmy, dotazy na termín dodání apod. Snažili se tak o maximální oddálení okamžiku celého podvodu. Domnívám se také, že to, že se první platba vrátila, ukazuje na to, že podvodníci mají pozakládáno více účtů a v okamžiku úspěšného přijetí platby peníze vyberou a účet zruší,
myslí si Michal Jirek.
Co je VEC podvod
VEC (Vendor E-mail Compromise) je nová odnož metody BEC (Business E-mail Compromise). Obě jsou si velmi podobné, ale v závěru cílí na jiný subjekt. Začátek je u obou stejný – podvodník se zmocní e-mailu vysoce postavené osoby společnosti, často přímo CEO, případně si vytipuje osobu zodpovědnou za pokyny k platbám a jejich následnou realizaci. Poté i několik týdnů sleduje veškerou e-mailovou komunikaci, poznává interní postupy společnosti. Ve vhodný okamžik potřebnou část e-mailové komunikace odkloní a nahradí ji vlastní komunikací, kterou ale vede tak, aby nikdo nepoznal, že nejde o původní zprávy.
V případě BEC většinou odchytí např. pokyn CEO pro finanční oddělení k nějaké úhradě, původní e-mail odstraní, napíše úplně stejný, ale s vlastním číslem účtu, a ten odešle. E-mail odchází přímo ze schránky CEO, je psán běžným způsobem, jak CEO komunikuje, je v něm podpis. A neexistují-li ve společnosti pravidla pro ověřování čísel účtů, finanční oddělení pravděpodobně transakci na účet podvodníka realizuje. V rámci BEC tedy podvodník cílí přímo na zaměstnance společnosti.
V rámci VEC jsou pak odchytávány e-maily v rámci obchodní komunikace se zákazníky, nejčastěji e-maily s fakturami. Stejným způsobem tam dochází ke změně čísla účtu a následné úhradě faktury zákazníkem na účet podvodníka. Charakteristická je relativně dlouhá doba sběru dat, kdy útočník nejprve proniká do prostředí určité společnosti, shromažďuje údaje o jejích zákaznících, frekvencích a výši plateb, platebních podkladech apod. a následně teprve zaměřuje útok právě na zákazníky jako takové (ať již jde o jednotlivce či další firmy).
Nebezpečnost spočívá právě v sofistikovaném sběru dat a pro konečné cíle útoku může být tak podvodné jednání ještě hůře rozpoznatelné než u jiných forem phishingu. Klasické hromadné zasílání podvodných odkazů „tvářících“ se jako pošta, banka či dopravce není většinou považována za VEC, neboť chybí onen markantní znak – průnik do prostředí společnosti a dlouhodobost sběru dat,
upřesnil Jakub Vinčálek, mluvčí Policie ČR.
Jak se před VEC chránit
Jak odborníci, tak policie potvrzuje, že VEC podvodů v poslední době přibylo, jelikož kvůli jejich propracovanosti není lehké útok odhalit. Přesto podle odborníků existují způsoby, jak riziko minimalizovat. Základní ochranou před sociálním inženýrstvím je budování znalostně-bezpečnostní kultury ve firmě- Tto znamená, že zaměstnanci by měli procházet pravidelným školením kyberbezpečnosti a taktiky sociálního inženýrství, které jsou často podle podobné šablony, by jim měly být známé a oni by měli být schopni jim odolat a pokus o podvod odhalit.
Dalším žádoucím krokem je, zejména v případě, kdy firmu někdo požádá o finanční prostředky na jiný účet nebo zaslání peněz jiným způsobem než obvykle, tyto nové údaje řádně ověřit. I když nás dodavatel běžně kontaktuje e-mailem a i údaje o změně účtů nám přicházejí často, měli bychom v těchto případech aplikovat proces dalšího ověření, nejlépe kontaktovat dodavatele ještě jiným kanálem, v tomto případě se nabízí třeba kontakt po telefonu. Schvalování takovýchto změn a finančních transakcí by navíc mělo procházet kontrolou čtyř očí, čili dalšího zaměstnance, který by třeba mohl podezřelou žádost o změnu údajů odhalit,
poradila pro server Podnikatel.cz Vladimíra Žáčková, specialistka kybernetické bezpečnosti společnosti ESET.
Pokud v momentě, kdy je požadována platba na jiný než obvyklý účet, chcete kontaktovat konkrétního zaměstnance dodavatele, případně i jeho nadřízeného, učiňte tak na telefonní číslo, které má uvedené na webu organizace nebo které máte již uložené z předchozí komunikace. Útočníci mohou telefon i číslo v podpisu e-mailu změnit a mohli byste se tak dovolat právě útočníkům, kteří by vám s ochotou potvrdili legitimitu nového čísla účtu, na které máte platbu provést. Vyžádání si písemného potvrzení od více než jedné osoby tak může být jedinou šancí, jak nenaletět,
vysvětlil Pavel Matějíček, lektor IT bezpečnosti a etický hacker.
Kvůli bankovnímu tajemství sice nelze ověřit majitele účtu přímo s bankou, nabízí se ale také varianta odeslat například testovací částku 1 Kč či 0,50 EUR, jelikož po odeslání peněz se většinou již objeví jméno majitele daného účtu.
Co dělat, když naletíte
Pokud se někomu nebude něco zdát, i klidně po zaplacení, tak je důležité to hned někomu říci. Většina různých tréninků učí např. „neklikat na podezřelé odkazy“ (aniž by bylo vysvětleno, jak takový podezřelý odkaz poznat – často to před kliknutím nejde). Přijde mi lepší učit „když kliknete a vyplníte heslo a něco se vám nebude zdát, hned to řekněte šéfovi, nezabije vás a ani nesníží výplatu“ a šéf by to tedy měl dodržet. V některých případech je rychlost důležitá, protože některé platby by šlo včas pozastavit v bance,
doplnil serveru Podnikatel.cz Michal Špaček, vývojář a odborník na bezpečnost.
Pokud došlo k nesprávně provedené platbě, je možné žádat svou banku, aby mu pomohla dostat platbu zpátky přes banku příjemce. Banky však nemohou vymáhat nesprávně poslanou platbu za klienta, můžou mu v tom ale napomoci na základě jeho žádosti a ve spolupráci s bankou příjemce. Pokud majitel účtu na výzvu nereaguje, musí majitel účtu, který poslal platbu nesprávně, takto nesprávně odeslané prostředky vymáhat soudně.
Ze zkušenosti v advokátní kanceláři víme, že naděje na vrácení, pokud jsou prostředky odeslány mimo ČR, nebo dokonce mimo EU, jsou zcela mizivé, protože první účty jsou často využity jen pro další přeposlání financí na další účty mimo EU. I pokud by došlo k tomu, že se pachatele podaří ztotožnit, dopátrat, jde často o nastrčené osoby bez majetku a prostředků,
upozornil ovšem Jiří Matzner, zakladatel advokátní kanceláře Matzner Legal.
Základem ochrany e-mailu je dvoufaktorové přihlášení
Co se týče ochrany před “hacknutím” e-mailu, odborníci se shodují, že by ve firmách mělo být využíváno dvoufaktorové přihlašování do schránky. Jde o stejný princip jako v případě internetového bankovnictví. Pokud chcete například zaplatit na e-shopu a zadáte tam údaje ke své debetní kartě, v mobilní aplikaci banky pípne notifikace, která vyžaduje odsouhlasit platbu.
Úplně stejným způsobem jde zabezpečit přihlašování jak do e-mailu, tak do dalších systémů organizace, které jsou dostupné z internetu – zaměstnanec zadá uživatelské jméno a heslo, a pokud se z tohoto zařízení zatím nikdy nepřihlašoval, v mobilu odklikne požadavek, případně opíše šestimístný kód,
upřesnil Pavel Matějíček, lektor IT bezpečnosti a etický hacker, s tím, že by doporučil administrátorům, aby limitovali počet neúspěšných přihlášení do systému. To znamená, že pokud se nějaký uživatel pokusí pětkrát neúspěšně přihlásit, další pokusy mu zablokujete. Díky tomu zabráníte slovníkovým útokům, tedy pokusům o uhádnutí hesla.
Michal Špaček dále radí se alespoň občas podívat na všechna přihlášení do e-mailu („Kde jste přihlášení”, "Seznam vašich zařízení“, „Seznam aplikací s přístupem k e-mailu“ apod.). Klasickým trikem je také nastavení přesměrování, respektive kopírování došlé pošty do schránky útočníka. Dovolil bych si i tvrdit, neprovozujte si e-mailové servery sami, protože dostat se na úroveň zabezpečení těch různých gmailů apod. je práce na dlouhou dobu (a fulltime), viz např. Advanced Protection Program u Google,
doplnil Špaček.
Zároveň, i když je to pro napadenou firmu velice choulostivé, měla by uvažovat, že někdo může její napadené e-mailové schránky zneužít, a své odběratele, zákazníky a další partnery by měla včas o potenciálním ohrožení informovat. “Podle NIST (Národní institut standardů a technologie) by mělo být také běžnou praxí v řízení kybernetických rizik v dodavatelském řetězci sdělování a ověřování požadavků na kybernetickou bezpečnost mezi zúčastněnými stranami,” uvedla Vladimíra Žáčková, specialistka kybernetické bezpečnosti společnosti ESET.
Jde sice žalovat o náhradu škody, ale…
Pokud e-mail vašeho dodavatele zneužili podvodníci a vy jste jim poslali prostředky, podobně jako se to stalo firmě delicado kingdom, obětí podvodu jste vy a nikoli společnost, jejíž e-mail byl “hacknutý”. Faktura zůstává z právního hlediska neuhrazená a vy nemáte nárok požadovat dodání zboží.
“Máme prý podle právníka jedinou možnost požadovat náhradu škody, kterou nám dodavatel způsobil špatným zabezpečením e-mailové obchodní komunikace. V první fázi chceme zkusit vyzvat k náhradě škody mimosoudně, v rámci zachování obchodních vztahů – sdělit, že na to máme nárok, navrhnout i nějaké solidní podmínky úhrady, např. formou odpočtů z dalších faktur – s dodavatelem totiž spolupracujeme dlouhodobě a s poměrně vysokými obraty. V případě, že by to neprošlo, zkusíme ještě nějaký požadavek na částečnou náhradu. Pokud by ani to dodavatel neakceptoval, pravděpodobně budeme podávat žalobu,” upřesnil Michal Jirek, majitel delicado kingdom.
Zda případná žaloba bude úspěšná, zůstává však otázkou. “Prokázat, že emailová komunikace je v příčinné souvislosti a jedinou příčinou vzniku škody, je velmi obtížné. Obecně platí povinnost předcházet škodám, což platí pro obě strany. Určité nesrovnalosti, včetně vrácení platby v prvním případě, mělo vést ke zvýšené opatrnosti v jednání (placení) samotného plátce,” uzavřel Jiří Matzner, zakladatel advokátní kanceláře Matzner Legal.
