Vyhľadávanie v online časopise
Online časopis
CEO podvody ako hrozba (aj) pre podnikateľov z oblasti odpadového hospodárstva
Dátum: Rubrika: Na aktuálnu tému
Predkladaný článok sa venuje téme tzv. CEO podvodov, načrtáva priebeh tohto typu kriminality a jeho štandardné znaky, ako aj základné možnosti obrany a prevencie. Článok pritom obsahuje základné orientačné body v téme tzv. CEO podvodov na podnikateľoch vrátane tých, ktorí pôsobia v odpadovom hospodárstve.
CEO podvody predstavujú špecifický druh trestnej činnosti - podvodu, kde sa páchateľ najčastejšie cez elektronické komunikačné kanály (napr. telefonát, e-mail, videokonferenčný hovor) vydáva za manažéra alebo iného riadiaceho pracovníka a z pozície hierarchickej nadradenosti ukladá pokyn podriadenému, aby konal určitým spôsobom, najčastejšie aby previedol firemné peňažné prostriedky na falošný účet. To znamená, že páchateľ v tomto prípade uvedie zamestnanca podnikateľa do omylu tým, že sa vydáva za jeho nadriadeného, a týmto spôsobom vyláka peňažné prostriedky na svoj falošný účet, čim spôsobí podnikateľovi škodu na majetku.
Potenciálnou obeťou pokusu o takýto podvod môže byť subjekt z akéhokoľvek odvetvia a odpadové hospodárstvo nie je výnimkou. Z našich skúseností sa javí, že čoraz častejšie sú obete útokov [1] práve z verejného sektora (napr. nemocnice, komunálne podniky, obecné samosprávy) alebo z tradičnejších priemyselných odvetví, v ktorých mohlo v minulosti dochádzať k podceneniu ochrany pred kybernetickými hrozbami napríklad z dôvodu, že sa ich dominantná časť biznisu netýkala "online" podnikania.
Vďaka najnovším softvérom a efektívnemu sociálnemu inžinierstvu tak útočníci dokážu zaútočiť práve v sektoroch, ako sú verejnoprospešné služby vrátane zberu a spracovania odpadov, keďže tu existuje relatívne veľké množstvo verejne dostupných informácií o zmluvných vzťahoch a opakujúcich sa platbách (napr. zverejňovanie zmlúv, konečných užívateľov výhod, faktúr, účtovných závierok, fakturačných údajov). Útočník pred realizáciou samotného pokusu o podvod zhromažďuje informácie o prebiehajúcich obchodoch a kontaktoch spoločnosti, ako aj o spôsobe komunikácie a samotnej identite konateľa či zodpovedného zamestnanca za prevody peňazí (napr. pomocou tzv. phishingu alebo "nabúraním" sa do emailovej schránky). Cieľom je, aby spôsob, forma a obsah komunikácie páchateľa vydávajúceho sa za tretiu osobu bola voči obeti čo možno najuveriteľnejšia v kontexte existujúceho zmluvného vzťahu alebo prebiehajúcej komunikácie. Takéto podvody sa najčastejšie realizujú prostredníctvom e-mailovej komunikácie, videokonferencií alebo telefonicky. [2] Môžu mať formu malých až úplne triviálnych podvodov, v rámci ktorých napríklad útočník konajúci pod scudzenou identitou zamestnanca požaduje od personálneho oddelenia zasielanie mzdy na falošný účet až po niekoľkomiliónové podvody, kde páchateľ imituje majiteľa alebo konateľa firmy s cieľom vylákať od finančného riaditeľa pôžičku na vymyslenú zahraničnú akvizíciu.
Aký je štandardný priebeh CEO podvodu?
Priebeh CEO podvodu možno opísať nasledovne:
a.
Prípravná fáza:
Útočníci majú veľmi dobrú znalosť ohľadom spôsobu fungovania trhu, organizácie či štruktúry spoločnosti, na ktorú chcú zaútočiť. Podvodníci si v rámci prípravy najprv zistia informácie o podnikateľskej činnosti, obchodoch a kontaktoch primárneho cieľa - na to môžu využiť napríklad verejne dostupné dáta, ako sú povinne zverejňované zmluvy medzi obcami a zberovými spoločnosťami. Pri sofistikovanejších útokoch útočníci identifikujú aj spôsob internej komunikácie v rámci cieľovej spoločnosti - na to nezriedka využijú sprievodné podvodné kyber-aktivity, ako napríklad už spomínaný phishing alebo prelomenie technického zabezpečenia e-mailového účtu skutočného konateľa spoločnosti. [3] V súčasnosti je aktuálny aj problém využívania sociálneho inžinierstva s využitím umelej inteligencie - napríklad deepfake technológie, o ktorej budeme hovoriť neskôr a ktorá umožňuje prípravu sofistikovaných, cielených a ťažšie odhaliteľných nástrojov na oklamanie obete.Takto potom útočníci dokážu pripraviť veľmi ťažko rozpoznateľný "podvod na mieru". Napríklad boli zaznamenané prípady, kde podvodníci vydávajúci sa za konateľa jednej firmy "nadviazali" na už prebiehajúcu e-mailovú komunikáciu s obchodnými partnermi. Povedzme, že v prebiehajúcej komunikácii o úhrade faktúr po splatnosti medzi dvoma firmami sa podvodníci prihlásia do e-mailovej schránky jednej z firiem a požiadajú dlžnú firmu, aby ihneď uhradila svoj dlh na nový (falošný) účet. S pomocou umelej inteligencie aj zahraničný útočník dokáže pripraviť podvodnú e-mailovú komunikáci
Pre zobrazenie článku nemáte dostatočné oprávnenia.
Odomknite si prístup k odbornému obsahu na portáli.
Prístup k obsahu portálu majú len registrovaní používatelia portálu. Pokiaľ ste už zaregistrovaný, stačí sa prihlásiť.
Ak ešte nemáte prístup k obsahu portálu, využite 10-dňovú demo licenciu zdarma (stačí sa zaregistrovať).
Bezplatný odpovedný servis pre predplatiteľov
Vaše otázky môžete zadať na www.otazkyodpovede.sk.