Direktorske prevare vse bolj drzne: tudi pri nas že primer z deepfake tehnologijo
Državni center za kibernetsko varnost SI-CERT je v lanskem poročilu zabeležil 64 prijav v tej kategoriji s skupno škodo 2,27 milijona evrov
Lani so goljufi slovenska podjetja oškodovali za 2,27 milijona evrov z uporabo tako imenovanih direktorskih prevar in vrivanjem v poslovno komunikacijo. To je sicer manj kot leto prej, a se prevaranti poslužujejo vse bolj naprednih tehnologij, izgubljeni denar pa je težko povrniti.
“Direktorske prevare in vrivanje v poslovno komunikacijo (“CEO fraud” in “business email compromise”/BEC, angl.) so socialno-inženirske prevare, pri katerih se storilec lažno predstavlja kot vodilna oseba v podjetju (direktor, finančni direktor ipd.) ali kot zunanji poslovni partner in zahteva nujno plačilo ali prenos sredstev. Napadalci uporabijo telefonske klice, lažna elektronska sporočila ali sporočila na poslovnih aplikacijah ter vse bolj tudi glasovne ali video-deepfake tehnike, da ustvarijo navidezno verodostojnost,” pojasnjuje Aleksandra Žibrat iz Združenja bank Slovenije (ZBS).
Slovenska policija je lani obravnavala 64 prijav v tej kategoriji s skupno škodo 2,27 milijona evrov. Povprečna izguba pri vdiranju v poslovno komunikacijo je ocenjena na okrog 33 tisoč evrov na podjetje. Pri tem gre za evidentirano škodo. Dejanski zneski, vključno z neprijavljenimi primeri, so lahko višji, opozarja ZBS.
To je sicer precejšen upad glede na leto prej. V 2023 je namreč po podatkih SI-CERT prišlo do 73 primerov direktorskih prevar s povprečno škodo 42 tisoč evrov na oškodovanca, poleg tega pa še 51 primerov vrivanja v poslovno komunikacijo, ki so podjetjem povzročila skupno 7,8 milijona evrov škode, je razvidno iz poročila centra za kibernetsko varnost SI-CERT za 2023.
Napredna tehnologija, izvor v tujini
Nacionalni odzivni center za kibernetsko varnost je lani obravnaval prvo prijavo napredne oblike direktorske prevare v Sloveniji, “kjer je bil telefonski klic iz potvorjene številke, glas pa ustvarjen z uporabo t. i. deepfake tehnologije — tarča je bilo slovensko podjetje. To potrjuje, da se tehnike hitro razvijajo in da napadalci združujejo različne metode (spoofing, deepfake, zloraba sistemov za posredovanje SMS-sporočil),” pravi Žibrat.
Za direktorskimi prevarami običajno stojijo organizirane kriminalne skupine ali specializirane goljufive celice, ki delujejo čezmejno, še pravijo na ZBS. “Govorijo v različnih jezikih in pogosto uporabljajo ponarejene (spoofane) lokalne telefonske številke, da povečajo verodostojnost.”
Po navedbah policije in SI-CERT napadalci pogosto operirajo iz več držav ali preko posredniških točk, zato je preiskovanje zahtevno in dolgotrajno, izterjava ukradenega denarja pa redka. Kot pravi Žibrat, “ni zanesljivega javnega mehanizma, ki bi avtomatično povrnil ukradena sredstva. Uspeh vračila je v veliki meri odvisen od hitrosti odziva podjetja, sodelovanja z banko in policijo, tipa transakcije ter mednarodnega sodelovanja.”
Kako se zaščititi
Direktorsko prevaro lahko podjetja prepoznajo po nenavadni ali nujni zahtevi za takojšnje plačilo od osebe, ki se predstavlja kot direktor ali dobavitelj; zahtevah po spremembi bančnega računa brez običajnega preverjanja; klicih iz potvorjenih številk z glasovnimi ponaredki (deepfake); in e-pošti z neobičajnimi URL-ji ali dokumenti, ki zahtevajo hitro ukrepanje.
Podjetja se lahko pred takšnimi napadi zaščitijo z različnimi ukrepi. Med operativnimi ukrepi so uvedba večstopenjske verifikacije za višje finančne transakcije, strogi postopki za spremembo podatkov o prejemniku, omejitve dnevnih zneskov brez dodatnih odobritev in redno usposabljanje zaposlenih v prepoznavanju groženj, tudi s simulacijskimi vajami.
Med tehničnimi in odzivnimi ukrepi ZBS navaja uporabo anti-phishing filtrov, pravilne konfiguracije strežnikov za elektronsko pošto in preverjanje domenskih nastavitev; spremljanje nenavadnih plačilnih vzorcev in blokiranje transakcij ob sumu na zlorabo; ter takojšnjo prijavo suma banki ali hranilnici in policiji. “Hitra reakcija poveča možnosti za rešitev nastale situacije,” še pove Žibrat.
Podjetja bi morala spodbujati tudi kulturo preverjanja sumljivih ukazov in plačil, bodisi s strani zaposlenih ali neodvisnih oseb, ter redne kontrole in notranje revizije komunikacijskih kanalov.
