Příklad:
Představme si, že jsme součástí administrativního, personálního nebo finančního oddělení a obdržíme žádost údajného zaměstnance nebo jeho přímého nadřízeného o změnu čísla osobního účtu, na který dostává mzdu.
Požadavek, který můžeme chápat jako běžný nebo dokonce neškodný, může způsobit vážné škody na pracovní úrovni, pokud nedodržíme postupy a neprovedeme správnou kontrolu.
Současná situace:
Podle nejnovějších studií sice tento kybernetický útok zatím nepatří mezi nejčastější, ale v posledních 12 měsících zasáhl přibližně 70 % společností a subjektů. A to bez ohledu na to, v jakém odvětví působí nebo zda jsou veřejné či soukromé.
Co to znamená?
Opět spočívá ve vydávání se za osobu v naší společnosti. Žádost lze přijmout různými způsoby (e-mailem, textovou zprávou, telefonicky atd.). A nejsou to jen mzdoví účetní, kdo ji obdrží, ale kyberzločinec může také očekávat, že žádost bude interně předána příslušnému oddělení.
V případě úspěchu přestanou pracovníci, jejichž identita byla nahrazena, dostávat z měsíce na měsíc výplatu. Protože budou přesměrovány na účet kyberzločince.
Jak se tomu můžeme vyhnout?
Použití běžné logiky: Věnujme nějaký čas přezkoumání petice.
- Pokud je v interních postupech uvedeno, že se máte přihlásit poštou nebo prostřednictvím konkrétní platformy, nespoléhejte na telefonáty, textové nebo hlasové zprávy, které můžete obdržet, aniž byste si byli jisti, že se nejedná o podvod.
- I když byla žádost podána vhodným komunikačním prostředkem, proveďme druhou kontrolu tak, že zavoláme osobě, která o změnu žádá. To nám umožní ověřit, zda se jedná o podvod nebo skutečnou žádost. Je velmi důležité, abychom se nepokoušeli provést tuto kontrolu tím, že odpovíme na stejnou zprávu nebo použijeme kontaktní údaje uvedené ve zprávě, protože bychom mohli kyberzločince upozornit na naše podezření a bylo by to ještě horší.
- Pokud je u převodů vyžadováno dvojí schválení nebo interní kontrola, neměňte platební údaje a neprovádějte tyto transakce na lehkou váhu. Ať už je chápeme jakkoli obyčejně. V ideálním případě by měl být v takových případech vyžádán doklad o vlastnictví bankovního účtu, aby se prokázala oprávněnost změny.
ZNOVU PŘIPOMÍNÁME: Pokud se domníváte, že jste se stali obětí tohoto typu kybernetického útoku, nahlaste to IT oddělení, CISO nebo DPO na pracovišti a oznamte to policii .