Bezpečnosť

Odporúčame distribuovať informácie na tejto internetovej stránke vo vašej spoločnosti. Informujte všetkých riadiacich/výkonných zamestnancov, ako aj kohokoľvek s oprávneniami k účtom vašej spoločnosti aby si ich prečítali. Podvodníci sa často zameriavajú práve na druhú skupinu. 

Bohužiaľ, úplná ochrana neexistuje, pretože podvod je často spojený s ľudským faktorom. Napriek tomu, ak komunikujete a použijete odporúčania na tejto internetovej stránke vo svojej spoločnosti, môžete značne obmedziť riziká súvisiace s podvodmi.

CxO podvody

Čo je to CxO podvod?
Aké sú následky?

CxO podvod zahŕňa všetky druhy podvodov, v ktorých podvodník koná s ukradnutou identitou niektorého z riadiacich pracovníkov spoločnosti. Túto identitu vie podvodník získať prostredníctvom sociálneho inžinierstva. Pod pojmom sociálne inžinierstvo sa rozumie zhromažďovanie informácií o cieľovej spoločnosti s účelom manipulovať osobu zvnútra spoločnosti, aby podnikla kroky (vo väčšine prípadov na vykonanie platby) alebo sprístupnila dôverné informácie.  

Čo sa stane?

1. Podvodníci sa zvyknú obrátiť na vašu spoločnosť e-mailom alebo telefonicky predstierajúc, že sú audítori, účtovníci alebo dokonca štátny orgán, ktorý vedie vyšetrovanie. Týmto spôsobom zhromažďujú informácie o interných platobných postupoch vašej spoločnosti, ako aj o jednotlivcoch, ktorí sú splnomocnení zadať a schváliť platby. Taktiež informácie zverejnené na sociálnych sieťach (LinkedIn, Facebook, Twitter, Instagram atď.) môžu byť podvodníkom nápomocné v identifikácií zamestnancov, ktorí sú súčasťou platobného procesu, a taktiež pri určení zamestnancov čerpajúcich dovolenku s cieľom vydávať sa za nich za účelom spáchania podvodu.
2. Podvodníci následne zvyknú kontaktovať zamestnancov s oprávnením na realizáciu platieb vysokej hodnoty a vystupujú pri tom ako generálny riaditeľ, finančný riaditeľ alebo iný pracovník vyššieho manažmentu. Ako zdôvodnenie transakcie uvádzajú napríklad možnosť prevziať zahraničného konkurenta alebo inú dôležitú udalosť, ktorá si bude vyžadovať prevod veľkého objemu prostriedkov. Podvodník v rámci týchto scenárov uvádza, že transakcia musí byť vykonaná urgentne a s maximálnym utajením.
3. Podvodníci môžu zneužiť meno externej poradenskej firmy (ktorej identitu ukradli), aby prevod vyzeral dôveryhodnejšie. Táto “poradenská firma” následne kontaktuje cieleného zamestnanca vašej spoločnosti za účelom potvrdiť transakciu a zdôrazniť utajenie a naliehavosť platby, ktorú je potrebné vykonať. Ak zamestnanec váha, podvodníci zvyknú použiť nátlakové techniky, ako napríklad použitie mien vrcholových manažérov spoločnosti, lichôtky, prípadne hrozby.

Aké bezpečnostné opatrenia prijať?

• Vždy buďte opatrní, keď vás niekto žiada previesť finančné prostriedky naliehavo a tajne.
• V prípade naliehavej žiadosti vždy kontaktujte späť osobu, ktorá podala žiadosť, ale na vám známe telefónne číslo.
• Implementujte rozdelenie právomocí, ako napríklad schvaľovanie (autorizácia) platieb najmenej dvomi osobami (dva podpisové vzory). Uistite sa, že schvaľovanie je vykonávané dôsledne v súlade s internými predpismi (nejde o schvaľovanie naoko ako prejav dôvery medzi zamestnancami).
• Zamedzte zdieľaniu autorizačných prístupov a zariadení medzi zamestnancami (napr. kariet a PIN kódov).
• Požiadajte zamestnancov o obmedzenie zverejňovania informácií na sociálnych sieťach, najmä takých, ktoré sa týkajú ich pracovnej pozície v rámci spoločnosti.
• Ďalšia ochrana: menujte referenčného pracovníka (ktorý nie je ani generálnym riaditeľom, ani finančným riaditeľom), ktorý musí byť kontaktovaný pri žiadosti o dôvernú alebo naliehavú transakciu. Takáto osoba môže kontaktovať riadiaceho pracovníka osobne, aby skontrolovala pravosť žiadosti. Takéto právomoci a procesné postupy nesmú byť známe mimo spoločnosti.

Varianty podvodu

Existuje niekoľko variant CxO podvodu, ktoré zahŕňajú; podvodníkov vydávajúcich sa za advokátov, notárov, policajných vyšetrovateľov, pracovníkov helpdesku, atď.

E-podvody

Čo je to e-podvod?
Aké sú následky?

E-podvody zahŕňajú podvody typu phishing a nakazenie malwarom. Môžu mať dopad na vašu spoločnosť alebo na vaše súkromie. V oboch prípadoch sa kyber zločinci pokúšajú ukradnúť peniaze tým, že získajú identifikačné kódy a elektronický podpis svojej obete. S týmito údajmi následne prevádzajú peniaze z účtov obetí na svoje vlastné účty.

Čo sa stane?

1. Dostanete e-mail, ktorý sa podobá emailu vašej banky, ktorý tvrdí, že je bezpečnostnou kontrolou, že váš účet bude zablokovaný alebo že sa vykonajú zmeny v službách ponúkaných bankou. Zakaždým je cieľom dosiahnuť, aby ste klikli na odkaz v správe a presmerovať vás na falošnú identifikačnú stránku, ktorá vyzerá podobne ako tá, ktorú používate pre váš Online banking.
2. Na tejto stránke zadáte svoje prístupové kódy/heslá, ktoré zločinci získajú, keďže sa nachádzate na ich stránke, a nie na stránke vašej banky. Pomocou kódov môžu páchatelia vstúpiť do vášho Online bankingu a vykonať transakcie. Na dokončenie operácie potrebujú podvodníci podpisový kód, aby previedli peniaze z vašich účtov.
3. Aby získali váš podpisový kód, môžu vás telefonicky kontaktovať a požiadajú vás o vloženie karty do čítačky kariet a vygenerovanie kódu(tzv. vishing), prípadne uvidíte nové kontextové okno, v ktorom vás požiadajú o niekoľko minút čakania. Po uplynutí času sa objaví nová obrazovka, ktorá vás požiada o podpisový kód (tzv. dynamický phishing).

Aké bezpečnostné opatrenia prijať?

• Zabezpečte bezpečné pracovné prostredie distribuovaním informácií a zavedením postupov bezpečného elektronického bankovníctva, ktoré nájdete na internetovej stránke ingwb.com (sekcia Security & Fraud - Online security)
• Uchovávajte váš PIN kód a bezpečnostné kódy v bezpečí, nikdy ich neposkytujte nikomu, kto vás bude o ne žiadať napríklad prostredníctvom emailu, SMS, WhatsApp správy alebo osobne.
• Nikdy negenerujte prístupový kód, ak sa sami neprihlasujete, prípadne nepoužívate internet banking.
• Vždy skontrolujte detaily platieb, ktoré sa chystáte podpísať ako napríklad sumu a číslo účtu príjemcu.
• Vždy zavrite aktívnu reláciu internetového prehliadača kliknutím na “Log out”. Nikdy neopúšťajte počítač, pokiaľ máte otvorenú aktívnu reláciu.

Správna kontrola nad online platobnými prostriedkami

Niektoré formy firemného správania môžu uľahčiť život podvodníkom a zvýšiť riziko podvodu vo vašej spoločnosti ako napríklad:

• Nepostačujúce riadenie dvojitého podpisovania:
  Dvojité podpisovanie je prostriedkom na odhaľovanie podvodov. Osoba, ktorá musí pridať druhý podpis, nesmie byť zainteresovaná na transakcií; tým pádom dokáže ľahšie odhaliť podvod. Nikdy nenechávajte obidva podpisy v kompetencií tej istej osoby a vždy skontrolujte, čo podpisujete. Uistite sa, že (v prípade elektronického podpisovania) druhý podpisovateľ má osobitný počítač, tento krok zvýši šancu odhalenia podvodu spôsobeného malwarom.
• Zdieľaný prístup:
  Nepoužívajte zdieľané autorizačné zariadenia. Toto opatrenie zlepší bezpečnosť spoločnosti a osoby, ktorá bude môcť konať len v súlade so svojimi oprávneniami.
   

Varianty podvodu

1. Obdržíte hovor od podvodníka vydávajúceho sa za zamestnanca banky. Požiada vás o vykonanie “bezpečnostného testu alebo aktualizácie”, čo znamená poskytnutie kódov z čítačky. Následne ich podvodník použije na prístup do Online bankingu, prípadne podpísanie transakcie vo vašom mene
2. Váš počítač nakazíte malwarom, ktorý sa aktivuje otvorením príloh, kliknutím na odkazy škodlivých emailov, prípadne návštevou nakazených webov, a následne využije zraniteľnosti vo vašom prehliadači alebo operačnom systéme.
3. Obdržíte email od podvodníkov, ktorí vystupujú ako nebankové spoločnosti ponúkajúce platobné služby (Payment Service Provider – PSP) – napríklad PayPerClick od spoločnosti Google so žiadosťou o verifikáciu vášho bankového účtu. Následne vás po kliknutí na odkaz presmerujú na podvodnú internetovú stránku, ktorá vyzerá ako web stránka vašej banky, kde vás požiadajú o zadanie prístupového mena, hesla a overovacieho/podpisového kódu. Podvodníci majú v mnohých prípadoch detailne zmapované procesy banky, v dôsledku čoho má celá operácia punc dôveryhodnosti.

Fakturačné podvody

Čo je to?
Aké sú následky?

Fakturačné podvody majú mnoho podôb. Vo všetkých prípadoch podvodníci odstránia bankové údaje spoločnosti, ktorá vystavila faktúru, tieto nahradia svojim vlastným číslom účtu a následne obdržia fakturované sumy.

Čo sa stane? 

1. Podvodníci zachytia faktúru medzi okamihom odoslania faktúry a jej prijatím a to formou hacknutia emailových kont slúžiacich na odosielanie faktúr, registráciou domény, ktorá vyzerá na prvý pohľad podobne ako odosielateľova alebo vydávaním sa za niekoho, s kým ste nadviazali obchodný vzťah.
2. Podvodníci zmenia faktúru tým, že na ňu uvedú svoje vlastné bankové údaje. Nová faktúra je vyhotovená s novými údajmi a informáciou o zmene bankového spojenia dodávateľa. Následne je faktúra opätovne odoslaná vašej spoločnosti.
3. Faktúra je prijatá a vami uhradená na nové číslo bankového účtu. Je veľmi pravdepodobné, že na nesprávny účet budú uhradené aj ďalšie faktúry, až kým skutočný vystavovateľ faktúry nezistí, že ním vystavené faktúry neboli zaplatené v lehote splatnosti, a obráti sa na vašu spoločnosť.

Aké bezpečnostné opatrenia prijať?

• Overte faktúru. Očakávali ste faktúru a sumu, ktorá je na nej uvedená? Sú údaje dodávateľa nezmenené v porovnaní s predošlými zrealizovanými platbami?
• Akékoľvek zmeny v údajoch o dodávateľovi (adresa, telefónne číslo, email, číslo účtu atď.) majú byť overené telefonátom na overené číslo dodávateľa (nie na číslo uvedené na faktúre), čím overíte platnosť požadovanej zmeny.

Varianty podvodu

Platiaca spoločnosť dostane e-mail, zdanlivo od jej dodávateľa, v ktorom je oznámená zmena banky a čísla účtu.

Táto správa sa bude javiť ako hodnoverná, keďže bude na hlavičkovom papieri dodávateľa. Všetky doposiaľ neuhradené faktúry, ako aj tie novovystavené, musia byť uhradené na nové číslo účtu.

Bez ohľadu na scenár je cieľom zločincov urobiť zmenu v údajoch dodávateľa (telefónne číslo, bankové spojenie, emailová adresa), aby ukradli peniaze.

Fiktívna osoba vydávajúca sa za zamestnanca spoločnosti pošle zamestnávateľovi zmenu bankového spojenia pre úhradu mzdy. Akonáhle je zmena zapracovaná, nasledujúca výplata mzdy je uhradená na účet podvodníka. Akákoľvek zmena bankového spojenia zamestnanca má byť potvrdená osobne s dotyčným zamestnancom.

Na koho sa obrátiť v prípade pochybností alebo podvodu?

V prípade pochybností alebo podvodu kontaktujte lokálneho Anti-fraud officera na emailovej adrese anti-fraud@ing.sk alebo +421 2 593 46 361 (v pracovné dni medzi 09:00-17:00, mimo uvedených hodín, kontaktujte, prosím fraude@ing.com).

Pre záležitosti týkajúce sa inej ING entity ako ING SK, kontaktujte fraude@ing.com alebo kontaktujte miestneho Anti-fraud officera príslušnej ING entity.

Iné možnosti nahlásenia podvodného konania pri zachovaní anonymity:

• online pomocou: https://app.vaultplatform.com/ing-reporting/open-reporting
• zaslaním e-mailu na adresu: whistleblower@ing.sk 

Ak spozorujete pokus o podvod alebo ak došlo k podvodu vo vašej spoločnosti, ihneď informujte vašu kontaktnú osobu v ING. Rýchlym konaním zvýšite pravdepodobnosť získania odcudzených finančných prostriedkov.

Môžu byť požadované aj ďalšie úkony vo vzťahu k štátnym orgánom (podanie oznámenia na políciu atď.). Naši odborníci vám tiež poradia, ktoré kroky je potrebné podniknúť.