Digitálne technológie sa stali neoddeliteľnou súčasťou moderného bankovníctva, prinášajú so sebou pohodlie, rýchlosť a dostupnosť. Okamžité platby, digitálny podpis, predschválené žiadosti o úver v aplikácii znamenajú šetrenie času pre všetky zúčastnené strany. S vývojom nových online služieb však prichádza aj priestor pre podvodníkov. Pri spoločnostiach, ktoré denne platia faktúry v objeme aj stoviek tisíc eur, je motivácia podvodníkov naozaj vysoká. Ako teda chrániť firmu a firemných klientov?
Počet podvodov na firemných klientov rastie aj na Slovensku. Na rozdiel od zahraničia, firmy na Slovensku zatiaľ nečelia až takým častým podvodom, keď by podvodník pomocou umelej inteligencie napodobnil hlas alebo dokonca formou videa tvár nadriadeného a žiadal prevod peňazí. Aj u nás sa však firemní klienti čím ďalej, tým viac stretávajú s podvodmi v online priestore. Treba si preto dať pozor na ochranu svojich firemných údajov, pretože metódy na preniknutie do firemných systémov a získanie citlivých dát sú stále sofistikovanejšie. Zároveň treba veľmi pozorne kontrolovať údaje, keď firma akýmkoľvek spôsobom prevádza peniaze.
Podvodníci napodobňujú faktúry na nepoznanie
Podvody vo firemnom prostredí najčastejšie súvisia s každodennou agendou. Firmy, ktoré platia svoje záväzky, dostávajú denne faktúry v rádovo desiatkach až státisícoch eur. Pre podvodníkov je to obrovský potenciál na obohatenie sa.
Najčastejšie typy podvodov vo firemnom prostredí sú tzv. Invoice fraudy a CEO fraudy. Invoice fraud je veľmi jednoduchý podvod, väčšinou sa realizuje e-mailovou komunikáciou. „Dostanete faktúru, ktorá je takmer identická až identická s tou, akú dostávate štandardne od dodávateľa. Dodávateľovi však podvodníci nabúrali e-mailovú schránku a takýmto spôsobom fiktívne komunikujú s firmou útočníci a nie dodávateľ,“ upozorňuje Katarína Rolná, riaditeľka odboru bezpečnosti a BCM v Tatra banke.
Veľmi sofistikovane vedia podvodníci napodobniť aj logo dodávateľskej firmy, a keďže sa dostali k údajom dodávateľa, poznajú aj termíny, kedy zvyčajne firma faktúry posiela. Oproti reálnej faktúre či emailu, z ktorého bežne dodávateľ posiela faktúry, môže byť zmenené iba jedno písmeno alebo malý detail v e-mailovej adrese. Takúto malú zmenu si firma v rýchlosti vôbec nevšimne. „Je jednoduché spraviť jednopísmenkovú zmenu, ktorú si v e-mailovej adrese nevšimnete. Čo je však najdôležitejšie, vo faktúre je iný účet, než býva štandardne,“ vysvetľuje Katarína Rolná. Podvodník tak píše z iného mailu a posiela fiktívnu faktúru. Výsledkom je, že ničnetušiaca firma zaplatí faktúru za tovary a služby, ktoré štandardne odoberá od svojich dodávateľov, no účet, na ktoré peniaze previedla, patrí niekomu úplne inému.
Aby podvodníci ešte zvýšili nátlak, existujú aj prípady, keď faktúru urgujú z dôvodu neuhradenia v štandardnom termíne s tým, že na úhradu do termínu splatnosti faktúry zostávajú už len posledné dni. Samozrejme, aj tu platí, že čím väčší časový stres, tým väčšia nepozornosť.
Druhý typický spôsob podvodu, tzv. CEO fraud, funguje tak, že podvodník sa vydáva za vysokopostaveného manažéra, riaditeľa alebo CFO firmy a žiada urgentnú platbu alebo prevod peňazí. Ide o podvody, ktoré najčastejšie prebiehajú mailom, no objavujú sa už aj fingované telefonáty či videohovory, ktoré napodobňujú hlas, prípadne tvár zamestnanca zodpovedného za financie.
„Firmy sa stretávajú s digitálnymi podvodmi čoraz častejšie. Podvody sú veľakrát spojené s každodennými platbami, ktoré naši klienti pravidelne realizujú. V prípade platieb ide o stovky až tisíce transakcií denne,“ vysvetľuje Peter Bilčík, riaditeľ firemných produktov v Tatra banke. „Podvodníci zneužívajú pri svojich útokoch práve túto každodennú rutinu, pri ktorej sa dá ľahko prehliadnuť napríklad zmena účtu na pravidelnej faktúre. Finančná strata je v takýchto prípadoch pri firmách, bohužiaľ, oveľa vyššia ako pri fyzických osobách,“ dodáva Peter Bilčík za firemné bankovníctvo.
Ako sa chrániť pred páchateľmi?
Kľúčová forma ochrany stále spočíva vo vzdelávaní zamestnancov a v kontrole. Tá by mala byť vždy vykonaná viacerými ľuďmi, overená rôznymi komunikačnými kanálmi a podporená využívaním sofistikovaných digitálnych nástrojov. Dobre nastavené kontrolné procesy dokážu firme zachrániť nemalé sumy peňazí, ktoré by inak mohli byť pre firmu likvidačné. „Od budúceho roka legislatíva prikazuje všetkým bankám prijímať a odosielať okamžité platby a bude ešte dôležitejšie mať dobre nastavený kontrolný proces a ešte väčšiu pozornosť venovať bezpečnosti v digitálnom priestore,“ hovorí Peter Bilčík.
Základné pravidlo pri overovaní si akejkoľvek informácie o zmene fakturačných údajov, najmä čísla účtu, je, že údaj treba overiť iným kanálom, ako informácia prišla. Je veľmi dôležité mať vo firme vopred nastavené procesy, aby ste vedeli, ako postupovať, keď dodávateľ nahlási zmenu účtu.
Existujú aj digitálne automaticky fungujúce manažérske pomôcky, napríklad keď je každý e-mail prichádzajúci z externého prostredia označený hlavičkou, že prichádza z externého prostredia. Vďaka tomu by bol email, ktorý by sa síce tváril ako email od kolegu, finančného riaditeľa, poslaný v rámci firmy, automaticky označený ako taký, ktorý prichádza z externej adresy. To je jasný signál, že treba spozornieť.
Ak predsa nedopatrením podvodnú transakciu uhradíte, pre zachytenie platby a jej následné vrátenie späť na účet klienta je kľúčové včasné oznámenie škody. V čase okamžitých platieb prebehnú platby rádovo v sekundách a je teda omnoho ťažšie ako v minulosti „zachrániť“ uhradené prostriedky. „Často klient príde na podvod až po niekoľkých týždňoch. V tejto situácii je už veľmi problematické získať peniaze späť,“ konštatuje Katarína Rolná. V každom prípade je však dôležité kontaktovať políciu a podať trestné oznámenie.
Ako pristupujú k téme digitálnej bezpečnosti v bankovníctve?
Tatra banka ako digitálny líder a finančná inštitúcia so zodpovedným prístupom považuje predchádzanie kybernetickým podvodom za veľmi dôležitú tému. Dlhodobo a systematicky preto venuje nemalé úsilie vzdelávaniu a šíreniu povedomia o digitálnej bezpečnosti. „Máme vyhradený tím, ktorý sa venuje celej oblasti bezpečnosti našich klientov,“ vysvetľuje Peter Bilčík, riaditeľ firemných produktov v Tatra banke. Špeciálne pre edukáciu v tejto oblasti je dostupná webová stránka predigitalnubezpečnosť.sk, ktorá sumarizuje to najdôležitejšie, o čom by mali firmy pri predchádzaní digitálnych útokov vedieť. „Je pre nás veľkou prioritou poskytovať našim klientom podporu a dostatočné informácie, aby mohli lepšie čeliť výzvam, ktoré so sebou prinášajú narastajúce kybernetické útoky vo firmách,“ uzatvára Peter Bilčík.