Kai bosas visada teisus
BBC aprašė nedidelės Prancūzijos kompanijos „Etna Industries“, kuri neseniai „padovanojo“ sukčiams 100 tūkst. eurų, istoriją.
Grįžusi iš išvykos užsienyje kompanijos vadovė Carole Gratzmuller aptiko, kad iš įmonės sąskaitos kažkur pervesta nemenka suma. Dar labiau ji sutriko išgirdusi finansininkės ataskaitą, kad vadovės paliepimas tiksliai įvykdytas – pinigai už įsigyjamą įmonę pervesti.
Tik štai pati Carole Gratzmuller neturėjo jokio supratimo, apie ką ta finansininkė kalba.
50 darbuotojų turinti netoli Paryžiaus įsikūrusi „Etna Industries“ tapo dar viena vadinamojo „CEO fraud“ (apgavystė „laiškas nuo vadovo“) auka.
„Su mano buhaltere buvo susisiekta penktadienio rytą. Telefonu solidus balsas pranešė: „Netrukus gausite elektroninį laišką nuo kompanijos prezidentės, su tikslia instrukcija atlikti konfidencialų pinigų pervedimą. Turite įvykdyti visas jos instrukcijas“, – BBC žurnalistams pasakojo C.Gratzmuller.
Finansininkė netrukus gavo elektroninį laišką, kuriame siuntėjo adresas buvo su C.Gratzmuller vardu. Šiame laiške buvo paaiškinta, kad kompanija perka įmonę Kipre, ir nurodyta, kad netrukus paskambins teisininko konsultantas ir perduos instrukcijas dėl piniginės perlaidos.
„Viskas vyko tarp 9 ir 10 val. ryte. Per tą laiką finansininkė gavo 10 laiškų ir sulaukė 4 skambučių. Jai nedavė laiko susimąstyti, kad galbūt kas nors yra ne taip“, – pasakojo įmonės vadovė.
Tai tipiškas socialinę inžineriją pasitelkusių sukčių, kurie vykdo vadinamąją „phishing“ ataką, metodas. Jie spaudžia veikti greitai, kad aukai neliktų laiko apmąstymams. Ir kol kas, nepaisant daugybės įspėjimų, toks metodas gana dažnai pasiekia tikslą.
Šiuo atveju iki pietų kompanijos finansininkė jau buvo pervedusi į sukčių sąskaitą užsienio banke pusę milijono eurų. Vienintelis dalykas, už kurį gali būti dėkinga įmonės vadovė, – kitaip nei Lietuvos senukai, įmonė savo pinigų po pagalve nelaiko ir su grynaisiais į sutartą susitikimo vietą nebėga.
O perlaidą vykdžiusiems bankams kilo tam tikrų įtarimų, tad didžioji dalis pinigų buvo užlaikyta. Tačiau 100 tūkst. eurų sukčius pasiekė – tai ne toks jau mažas kąsnis už valandą darbo.
Tiesa, ir tuos pinigus bankas buvo priverstas grąžinti kompanijai, nes Prancūzijos teismas pripažino jį kaltu talkinus sukčiams. Tačiau bankas sprendimą dar ginčys kituose teismuose, o kompanijos vadovybė jaučiasi taip, lyg būtų įsilaužta į jų namus.
Legendinis mokytojas
Tai tik mažytis pavyzdys to, kas Prancūzijoje jau turi pavadinimą „fraude au president“. Nuo 2010 m. 15 tūkst. šalies kompanijų tapo tokio sukčiavimo aukomis ir apgavikams padovanojo 465 milijonus eurų. Tarp apgautųjų – tokie industrijos gigantai kaip „Michelin“ ir „Nestle“.
Policijos duomenimis, didžiausia apgavikų pasisavinta per vieną išpuolį suma siekė 32 mln. eurų, o jei būtų pasisekusios visos vykdytos „phishing“ atakos, būtų pavogta 830 mln. eurų. Ir tai tik tie atvejai, apie kuriuos pranešama, o daugybė gal ne visai skaidriai vykdžiusių verslą aukų apie savo nuostolius, patirtus tokiu būdu, nutyli.
Prancūzijoje tikima, kad sukčius taip aktyviai veikti būtent šioje šalyje įkvėpė Izraelio pilietis G.Chikili. Vyras, kuris nuo 2005 iki 2006 metų apgaule iš 30 bankų ir kitų kompanijų pasisavino 7,9 mln. eurų. Ir darė tai apsimetinėdamas tų kompanijų vadovais arba slaptuoju agentu.
2009 m., pajutęs, kad žemė po kojomis svyla, G.Chikili pabėgo į Izraelį ir dabar laimingas gyvena Tel Avive. Prancūzijoje jis už akių nuteistas 7 metams kalėjimo, tačiau šalys neturi sutarties dėl nusikaltėlių išdavimo. Todėl prancūzams lieka tenkintis meniniu filmu apie šio sukčiaus gyvenimą, kuriame vaidino ir Prancūzijos prezidento draugė Julie Gayet.
Taigi, legendą sukūrė patys, tad kodėl reikėtų stebėtis sekėjų gausa? Tik štai problema – ne tik prancūzų.
Kada nepadeda jokie antivirusai
„Manome, kad per pastaruosius dvejus metus dėl apgaulingų verslo laiškų JAV kompanijos prarado apie 2 milijardus dolerių“, – sako JAV saugos specialistas, kompanijos „PhishMe“ įkūrėjas Aaronas Higsbee.
FTB interneto nusikaltimų centras IC3 seka „verslo laiškų“ apgaules ir turi duomenų, kad per dvejus metus 7 tūkst. kompanijų taip prarado 740 milijonų dolerių. Vien belaidę įrangą gaminanti „Ubiquiti Network“ per metus sukčiams atidavė 39,1 mln. dolerių. Ir ji apsigavo ne vieną kartą.
Socialinė inžinerija visame pasaulyje yra pati efektyviausia sukčiavimo forma. Tam nereikia jokios sudėtingos įrangos, nereikia kurti kenkėjiškų programų, laužtis į kompiuterius – pakanka apgauti žmogų ir jis pats viską tau atiduos.
Tokiu principu dirba ir telefoniniai sukčiai, ir dabar Lietuvoje išpopuliarėjusios apgavystės, kai apsimetama keičiančių saugos nuostatas bankų darbuotoju ir iš naivių, patiklių žmogelių kaulijami prisijungimų duomenys prie asmeninių sąskaitų ar tiesiog reikalaujama pervesti pinigų.
Lietuvoje, kur telefoninė teisė tiek populiari, kad net aukščiausi politikai valdo ne pasirašę dokumentus, o skambučiais reikiamiems žmonėms, tokie sukčiai galėtų tarpti lyg inkstai taukuose. Vienintelis dalykas, kuris mus gelbėja, – lietuvių kalba. Tarptautinių sukčių apgaulingais nurodymais, išverstais „Google“ vertėjo, patikėti labai sunku, angliškai mūsų viršininkai nenurodinėja, o rimtoms gaujoms dėl palyginti mažo galimo pelno rinkti vietinių „specialistų“ komandą būtų neparanku.
Mat svarbiausias socialinės inžinerijos įrankis – sugebėjimas įtikinti. Tam reikia nemažo vadybininko talento, ilgo planavimo ir repeticijų. O atsispirti padeda tik sveikas protas ir taisyklių laikymasis. Na, jei jums tikrai skambina ir ką nors nurodinėja Lietuvos policininkai, turite žinoti, kad taip nedirbama, – tegul siunčia oficialų dokumentą.
Populiariausios sukčių veikimo schemos
1. Apsimeta kompanijos vadovu. Pavaldinius savo autentiškumu įtikina, nes žino daugybę specifinės informacijos, kurią išties gana paprasta rasti atvirame internete, bet žmones tai paveikia. Po to pateikia aiškias ir motyvuotas instrukcijas darbuotojams, kur, kiek ir už ką kuo skubiau reikia persiųsti pinigų.
Vadovo elektroninio laiško apipavidalinimą labai lengva nukopijuoti nuo laiško, kurį galbūt gavai nuo vadovo (dažnas atsako į paklausimą). Netikrą vadovo pašto adresą sukurti nesunku. Na ir kas, kad tai ne įmonės paštas, – daugeliui pakaks, kad pavadinime bus vadovo pavardė, – gal tai asmeninė paskyra?
Kaip tam atsispirti? Kaip ir tada, kai skambinantieji prašo pinigų padariusiam avariją sūneliui. Paprasčiausia – patiems susisiekti su tuo vadovu ir gauti tikslų atsakymą. Ar bent nieko nedaryti, kol vadovas neprisijungs prie uždaro įmonės tinklo.
2. Sukčiai apsimeta bankininkystės sistemos IT darbuotojais ir, nurodę, kad testuoja po sutrikimo pataisytą sistemą, prašo atlikti bandomąją pinigų perlaidą. Tik tai – ne bandymas.
Kaip tam atsispirti? Vėlgi geriausia susisiekti su banku. Bet koks skubinimas šiuo atveju turėtų būti ne šiaip įtartinas, o garantuotas įrodymas, kad jus mausto. Be to, testui pakanka minimalios sumos, o ir sąskaita, į kurią siunčiami pinigai, būtų vietinė.
3. Sukčiai apsimeta prekių tiekėjais arba kokius nors darbus jums vykdžiusia įmone, kuriai esate skolingi. Jie praneša, kad pasikeitė įmonės sąskaita, tad skubiai laukia perlaidos ten ir ten.
Kaip ir kitais atvejais, tai paprasta patikrinti banke arba susisiekus su tikra įmone.
Svarbu suvokti, kad joks mėginimas išsiaiškinti tiesą kalbant su pačiais sukčiais greičiausiai nepavyks. Atvirkščiai – ilgesnis pokalbis gali dar labiau supainioti. Jie gali žinoti ir visų vadovo vaikų ar augintinių vardus, ir kur jis dabar išvykęs („Facebook“), kiekvieną įmonės skolininką ir planus (žiniasklaida, VMI ir t. t.).
„Sukčiai naudoja visą viešai prieinamą informaciją, kad jų laiškai atrodytų kuo įtikimesni. Iš socialinių tinklų sužino, kas yra viršininkai, visi pavaduotojai, kokie įmonės partneriai.
Kuo iš aukščiau ateina įsakymas, tuo mažiau pavaldiniai klausinėja. Ir dar psichologinis spaudimas, provokuojant veikti kuo skubiau. Tai pagrindiniai sukčių sėkmės veiksniai.
Šios apgaulės toliau plinta, nes jos labai pelningos. Daug ką traukia galimybė per trumpą laiką beveik nerizikuojant užsidirbti labai daug pinigų“, – sako Prancūzijos kibernetinės saugos kompanijos „Lexsi“ darbuotojas Jerome'as Robert'as.
Na, taip, mes žinome – jūs visai ne tokie, jūsų taip lengvai neapgaus, iš tų kvailelių galima nebent pasijuoti… O, kažkas skambina… „Klausau! Kas čia? Prezidentė?!. Taip, aišku, tuoj pat viskas bus padaryta!..“
Rengiant straipsnį panaudota BBC.com medžiaga
