Svikapóstar og fjársvik Hópur skrifar 27. febrúar 2019 08:15 Mikið hefur borið á því í fréttum nýlega að íslensk fyrirtæki eru að lenda í fjársvikum í formi svikapósta. Þessi tegund netglæpa felst í því að óprúttnir aðilar reyna að blekkja fólk með trúverðugum tölvupóstum (e. phishing). Slíkir aðilar stunda það að brjóta sér leið inn í tölvupóstkerfi fyrirtækja og vakta tölvupóstsamskipti með það fyrir augum að komast yfir fjármuni eða upplýsingar. Umfang þessara netglæpa er óþekkt þar sem glæpirnir eru í mörgum tilvikum ekki kærðir en ljóst er að fjöldi þeirra hefur aukist mikið síðustu ár. Með svolítilli rannsóknarvinnu og góðri vöktun getur hinn óprúttni aðili til dæmis fundið út hvaða einstaklingur innan fyrirtækisins hefur heimild til að senda út og greiða reikninga í nafni þess. Óprúttni aðilinn kemur sér inn í samskipti þess aðila og fer að svara í nafni fyrirtækisins. Í samskiptum sínum gefur hann upp falskt reikningsnúmer sem viðkomandi hefur aðgang að. Er þetta allt gert þannig að hvorki viðskiptamaðurinn né viðskiptavinurinn verða varir við eitthvað óvenjulegt. Þegar greiðslan hefur verið innt af hendi er viðskiptavinurinn búinn að tapa sínum pening og fyrirtækið fær ekki greitt fyrir vöru sína eða þjónustu. Önnur svik sem einnig eru algeng eru þau að fyrirtæki fá senda til sín reikninga sem átt hefur verið við. Reikningarnir eru þá gefnir út í nafni þess birgis sem fyrirtækið er vant að versla við eða í nafni falsks félags. Til þess að þessi svik gangi upp þarf gjaldkerinn að greiða reikninginn án þess að staðfesta hann eða hver greiðandinn er. Þriðja tegundin af svikapóstum sem borið hefur mikið á eru svokölluð „CEO svik“ sem á íslensku kallast stjórnendasvik. Hér kemst óprúttni aðilinn inn í tölvupóstkerfi fyrirtækisins og tekur yfir pósthólf þess stjórnanda sem er í samskiptum við gjaldkera og hefur heimild til að senda greiðslufyrirmæli fyrir hönd fyrirtækisins.Kristín Aðalheiður Birgisdóttir.Stundum býr hann til lén sem svipar mikið til þess léns sem fyrirtækið notar og sendir póstinn frá því netfangi. Í þessum tilfellum er óprúttni aðilinn búinn að leggja mikla vinnu í undirbúning og skipulagningu. Oft er hann búinn að kynna sér hvernig greiðslufyrirmæli eru gefin og reynir að líkja eftir fyrri samskiptum aðila. Í tölvupóstinum frá yfirmanninum til gjaldkerans, sem inniheldur greiðslufyrirmæli, er lögð áhersla á að gengið sé frá greiðslu sem fyrst. Jafnvel kemur fram neðst í póstinum að hann hafi verið sendur úr farsíma en þar með er auðveldara að fyrirgefa innsláttarvillur. Falli gjaldkerinn í gildruna nær óprúttni aðilinn að fá greiðslu inn á reikning sem hann hefur yfirráð yfir og er fyrirtækið þar með í flestum tilfellum búið að tapa þeim fjármunum. Að lokum hefur ný aðferð einnig verið að ryðja sér til rúms. Um er að ræða skilaboðasvik í gegnum snjallsíma og samfélagsmiðla. Markmiðið er að komast yfir upplýsingar eins og lykilorð, notendanöfn, bankaupplýsingar eða aðrar viðkvæmar upplýsingar. Upplýsingarnar eru síðan nýttar af óprúttnum aðilum til að villa á sér heimildir í samskiptum við ýmsa þjónustuaðila og fjármálastofnanir.Hvað er hægt að gera? Mikilvægur þáttur í að lágmarka líkurnar á svikum af þessu tagi er að auka vitundarvakningu innan fyrirtækisins. Einkum þarf að veita starfsfólki viðeigandi fræðslu, þjálfun og upplýsingar. Þá þurfa stjórnendur að gæta þess að netöryggismál fái sama vægi og önnur rekstrarmál innan fyrirtækisins. Einnig þarf að tryggja að boðleiðir og viðbrögð starfsmanna sem varir verða við netógnir séu einföld, skýr og markviss. Starfsfólkið þarf þannig að þekkja vel ferla fyrirtækisins og kunna að bregðast rétt við. Segja má að þjálfun starfsmanna, öflug öryggisvitund og aðgát séu í raun besta forvörnin. Stjórnendur fyrirtækja þurfa því að kynna sér málefnið vel. Starfsmenn þurfa að æfa viðbrögð við árásum og þekkja það verklag sem gildir undir slíkum kringumstæðum. Ásamt þessu er nauðsynlegt að huga vel að upplýsingaöryggi, yfirfara reglulega öryggisstillingar og framkvæma úttektir á netöryggismálum. Þetta á ekki síst við ef verið er að framkvæma breytingar á upplýsingatækniumhverfi félagsins. Einnig er þetta mikilvægt ef upplýsingatækniþjónustu er úthýst til þriðja aðila. Endanlegri ábyrgð á rekstri og innra eftirliti verður ekki útvistað og því er nauðsynlegt að viðhafa virkt eftirlit með útvistuðum þáttum. Tjónum af völdum þeirra netglæpa sem um ræðir fer hratt fjölgandi. Oft á tíðum er um töluverðar fjárhæðir að ræða fyrir íslensk fyrirtæki. Fjárhagstap það sem orsakast af svikunum getur því haft alvarlegar afleiðingar fyrir fyrirtækið. Slík óhöpp geta þó ekki síður skaðað og jafnvel eyðilagt orðspor fyrirtækisins. KPMG aðstoðar fyrirtæki og stofnanir við að efla netvarnir, auka almenna þekkingu starfsmanna sem og að yfirfara og uppfæra innra verklag vegna netöryggis. KPMG hefur einnig veitt aðstoð við rannsóknir sviksemismála, til dæmis við frumrannsókn, með það að markmiði að greina hvað fór úrskeiðis hjá félaginu. Byggt á reynslu okkar hjá KPMG á þessu sviði er ljóst að ekki mun draga úr tíðni netglæpa og svikamála af því tagi sem hér um ræðir í fyrirsjáanlegri framtíð. Þvert á móti sjáum við nýjar aðferðir og tegundir fjársvika sífellt skjóta upp kollinum. Ógn vegna slíkra svikamála mun því halda áfram að vera áskorun í rekstri íslenskra fyrirtækja og aðferðir munu taka á sig enn fjölbreyttari myndir samhliða þróun á sviði upplýsingatækni.Höfundar Stella Thors, ráðgjafi hjá KPMGKristín Aðalheiður Birgisdóttir, ráðgjafi hjá KPMG Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Birtist í Fréttablaðinu Mest lesið Er ný ESB-langavitleysa íslenzkrar ríkisstjórnar í uppsiglingu? Ole Anton Bieltvedt Skoðun Kolbrún Pálsdóttir – Öflugur leiðtogi fyrir framtíð Háskóla Íslands Kristín Jónsdóttir,Þórdís Jóna Sigurðardóttir Skoðun Samskipti: Lykillinn að vellíðan og árangri í vinnuumhverfi Ásta Guðrún Guðbrandsdóttir Skoðun Íslendingar eru dónalegir, óhófsamir, þjófóttir villimenn Sif Sigmarsdóttir Fastir pennar Háskólasamfélag á tímamótum - Silja Bára sem næsti rektor HÍ Berglind Rós Magnúsdóttir Skoðun Sagnaarfur Biblíunnar – Davíð og Golíat, hugrekki og berskjöldun Dr. Sigurvin Lárus Jónsson Skoðun Við erum ekki Rússland Sigmar Guðmundsson Skoðun Hver reif kjaft við hvern? Gunnar Hólmsteinn Ársælsson Skoðun Alþjóðlegt samstarf er forsenda öruggra landamæra Jón Pétur Jónsson,Íris Björg Kristjánsdóttir Skoðun Magnús Karl er hæfastur rektorsframbjóðenda Ástráður Eysteinsson Skoðun Skoðun Skoðun Við erum ekki Rússland Sigmar Guðmundsson skrifar Skoðun Kolbrún Pálsdóttir – Öflugur leiðtogi fyrir framtíð Háskóla Íslands Kristín Jónsdóttir,Þórdís Jóna Sigurðardóttir skrifar Skoðun Er ný ESB-langavitleysa íslenzkrar ríkisstjórnar í uppsiglingu? Ole Anton Bieltvedt skrifar Skoðun Samskipti: Lykillinn að vellíðan og árangri í vinnuumhverfi Ásta Guðrún Guðbrandsdóttir skrifar Skoðun Ríkisábyrgð á 1.490 milljarða króna? Hjörtur J. Guðmundsson skrifar Skoðun Sagnaarfur Biblíunnar – Davíð og Golíat, hugrekki og berskjöldun Dr. Sigurvin Lárus Jónsson skrifar Skoðun Hver reif kjaft við hvern? Gunnar Hólmsteinn Ársælsson skrifar Skoðun Alþjóðlegt samstarf er forsenda öruggra landamæra Jón Pétur Jónsson,Íris Björg Kristjánsdóttir skrifar Skoðun Háskólasamfélag á tímamótum - Silja Bára sem næsti rektor HÍ Berglind Rós Magnúsdóttir skrifar Skoðun Kjósum opnara grunnnám Toby Erik Wikström skrifar Skoðun Magnús Karl er hæfastur rektorsframbjóðenda Ástráður Eysteinsson skrifar Skoðun Betri starfsaðstæður og skilvirkari háskóli Silja Bára Ómarsdóttir skrifar Skoðun Hvers vegna styð ég Magnús Karl í kjöri til rektors Háskóla Íslands? Ingileif Jónsdóttir skrifar Skoðun Allt fyrir samansúrrað pólitískt og peningalegt vald? Arnar Þór Jónsson skrifar Skoðun Vopnakaup íslenska ráðamanna Friðrik Erlingsson skrifar Skoðun Samstaðan er óstöðvandi afl Helga Þórey Júlíudóttir skrifar Skoðun Kolbrún Þ. Pálsdóttir – rétti leiðtoginn fyrir Háskóla Íslands Hafliði Ásgeirsson,Eyjólfur Brynjar Eyjólfsson,Þorbjörg St. Þorsteinsdóttir skrifar Skoðun Hegða sér eins og ofdekraðir unglingar Hjörtur J. Guðmundsson skrifar Skoðun Af hverju ættu nemendur að kjósa Magnús Karl sem rektor HÍ? Eygló Sóley Hróðmarsdóttir Löve,Daníel Thor Myer skrifar Skoðun Við mótmælum nýbyggingum í Neðra Breiðholtinu Jökull Þór Sveinsson,Hlynur Ingi Jóhannsson skrifar Skoðun Er „sam-búð“ búsetuform 21. aldar og lausn við háum byggingakostnaði? Sara Björg Sigurðardóttir skrifar Skoðun Tryggjum framtíð endurnýjanlegrar orku á Íslandi Íris Lind Sæmundsdóttir skrifar Skoðun Reynsla, framtíðarsýn og kjarkur Silju Báru Anna Helga Jónsdóttir,Sigurður Örn Stefánsson skrifar Skoðun Gunnar Smári hvað er hann? Birgir Dýrfjörð skrifar Skoðun Um Ingibjörgu Gunnarsdóttur – ferill að rektorskjöri Rúnar Unnþórsson,Þórhallur Ingi Halldórsson skrifar Skoðun Ísland er leiðandi ljós og hvatning til fjölmiðla Hrönn Egilsdóttir skrifar Skoðun Forvarnir á ferð Erlingur Sigvaldason skrifar Skoðun Vertu meðbyr mannúðar Birna Þórarinsdóttir skrifar Skoðun Fegurð sem breytir skólum Einar Mikael Sverrisson skrifar Skoðun Það læra börnin sem fyrir þeim er haft Sigurður Örn Hilmarsson skrifar Sjá meira
Mikið hefur borið á því í fréttum nýlega að íslensk fyrirtæki eru að lenda í fjársvikum í formi svikapósta. Þessi tegund netglæpa felst í því að óprúttnir aðilar reyna að blekkja fólk með trúverðugum tölvupóstum (e. phishing). Slíkir aðilar stunda það að brjóta sér leið inn í tölvupóstkerfi fyrirtækja og vakta tölvupóstsamskipti með það fyrir augum að komast yfir fjármuni eða upplýsingar. Umfang þessara netglæpa er óþekkt þar sem glæpirnir eru í mörgum tilvikum ekki kærðir en ljóst er að fjöldi þeirra hefur aukist mikið síðustu ár. Með svolítilli rannsóknarvinnu og góðri vöktun getur hinn óprúttni aðili til dæmis fundið út hvaða einstaklingur innan fyrirtækisins hefur heimild til að senda út og greiða reikninga í nafni þess. Óprúttni aðilinn kemur sér inn í samskipti þess aðila og fer að svara í nafni fyrirtækisins. Í samskiptum sínum gefur hann upp falskt reikningsnúmer sem viðkomandi hefur aðgang að. Er þetta allt gert þannig að hvorki viðskiptamaðurinn né viðskiptavinurinn verða varir við eitthvað óvenjulegt. Þegar greiðslan hefur verið innt af hendi er viðskiptavinurinn búinn að tapa sínum pening og fyrirtækið fær ekki greitt fyrir vöru sína eða þjónustu. Önnur svik sem einnig eru algeng eru þau að fyrirtæki fá senda til sín reikninga sem átt hefur verið við. Reikningarnir eru þá gefnir út í nafni þess birgis sem fyrirtækið er vant að versla við eða í nafni falsks félags. Til þess að þessi svik gangi upp þarf gjaldkerinn að greiða reikninginn án þess að staðfesta hann eða hver greiðandinn er. Þriðja tegundin af svikapóstum sem borið hefur mikið á eru svokölluð „CEO svik“ sem á íslensku kallast stjórnendasvik. Hér kemst óprúttni aðilinn inn í tölvupóstkerfi fyrirtækisins og tekur yfir pósthólf þess stjórnanda sem er í samskiptum við gjaldkera og hefur heimild til að senda greiðslufyrirmæli fyrir hönd fyrirtækisins.Kristín Aðalheiður Birgisdóttir.Stundum býr hann til lén sem svipar mikið til þess léns sem fyrirtækið notar og sendir póstinn frá því netfangi. Í þessum tilfellum er óprúttni aðilinn búinn að leggja mikla vinnu í undirbúning og skipulagningu. Oft er hann búinn að kynna sér hvernig greiðslufyrirmæli eru gefin og reynir að líkja eftir fyrri samskiptum aðila. Í tölvupóstinum frá yfirmanninum til gjaldkerans, sem inniheldur greiðslufyrirmæli, er lögð áhersla á að gengið sé frá greiðslu sem fyrst. Jafnvel kemur fram neðst í póstinum að hann hafi verið sendur úr farsíma en þar með er auðveldara að fyrirgefa innsláttarvillur. Falli gjaldkerinn í gildruna nær óprúttni aðilinn að fá greiðslu inn á reikning sem hann hefur yfirráð yfir og er fyrirtækið þar með í flestum tilfellum búið að tapa þeim fjármunum. Að lokum hefur ný aðferð einnig verið að ryðja sér til rúms. Um er að ræða skilaboðasvik í gegnum snjallsíma og samfélagsmiðla. Markmiðið er að komast yfir upplýsingar eins og lykilorð, notendanöfn, bankaupplýsingar eða aðrar viðkvæmar upplýsingar. Upplýsingarnar eru síðan nýttar af óprúttnum aðilum til að villa á sér heimildir í samskiptum við ýmsa þjónustuaðila og fjármálastofnanir.Hvað er hægt að gera? Mikilvægur þáttur í að lágmarka líkurnar á svikum af þessu tagi er að auka vitundarvakningu innan fyrirtækisins. Einkum þarf að veita starfsfólki viðeigandi fræðslu, þjálfun og upplýsingar. Þá þurfa stjórnendur að gæta þess að netöryggismál fái sama vægi og önnur rekstrarmál innan fyrirtækisins. Einnig þarf að tryggja að boðleiðir og viðbrögð starfsmanna sem varir verða við netógnir séu einföld, skýr og markviss. Starfsfólkið þarf þannig að þekkja vel ferla fyrirtækisins og kunna að bregðast rétt við. Segja má að þjálfun starfsmanna, öflug öryggisvitund og aðgát séu í raun besta forvörnin. Stjórnendur fyrirtækja þurfa því að kynna sér málefnið vel. Starfsmenn þurfa að æfa viðbrögð við árásum og þekkja það verklag sem gildir undir slíkum kringumstæðum. Ásamt þessu er nauðsynlegt að huga vel að upplýsingaöryggi, yfirfara reglulega öryggisstillingar og framkvæma úttektir á netöryggismálum. Þetta á ekki síst við ef verið er að framkvæma breytingar á upplýsingatækniumhverfi félagsins. Einnig er þetta mikilvægt ef upplýsingatækniþjónustu er úthýst til þriðja aðila. Endanlegri ábyrgð á rekstri og innra eftirliti verður ekki útvistað og því er nauðsynlegt að viðhafa virkt eftirlit með útvistuðum þáttum. Tjónum af völdum þeirra netglæpa sem um ræðir fer hratt fjölgandi. Oft á tíðum er um töluverðar fjárhæðir að ræða fyrir íslensk fyrirtæki. Fjárhagstap það sem orsakast af svikunum getur því haft alvarlegar afleiðingar fyrir fyrirtækið. Slík óhöpp geta þó ekki síður skaðað og jafnvel eyðilagt orðspor fyrirtækisins. KPMG aðstoðar fyrirtæki og stofnanir við að efla netvarnir, auka almenna þekkingu starfsmanna sem og að yfirfara og uppfæra innra verklag vegna netöryggis. KPMG hefur einnig veitt aðstoð við rannsóknir sviksemismála, til dæmis við frumrannsókn, með það að markmiði að greina hvað fór úrskeiðis hjá félaginu. Byggt á reynslu okkar hjá KPMG á þessu sviði er ljóst að ekki mun draga úr tíðni netglæpa og svikamála af því tagi sem hér um ræðir í fyrirsjáanlegri framtíð. Þvert á móti sjáum við nýjar aðferðir og tegundir fjársvika sífellt skjóta upp kollinum. Ógn vegna slíkra svikamála mun því halda áfram að vera áskorun í rekstri íslenskra fyrirtækja og aðferðir munu taka á sig enn fjölbreyttari myndir samhliða þróun á sviði upplýsingatækni.Höfundar Stella Thors, ráðgjafi hjá KPMGKristín Aðalheiður Birgisdóttir, ráðgjafi hjá KPMG
Kolbrún Pálsdóttir – Öflugur leiðtogi fyrir framtíð Háskóla Íslands Kristín Jónsdóttir,Þórdís Jóna Sigurðardóttir Skoðun
Alþjóðlegt samstarf er forsenda öruggra landamæra Jón Pétur Jónsson,Íris Björg Kristjánsdóttir Skoðun
Skoðun Kolbrún Pálsdóttir – Öflugur leiðtogi fyrir framtíð Háskóla Íslands Kristín Jónsdóttir,Þórdís Jóna Sigurðardóttir skrifar
Skoðun Samskipti: Lykillinn að vellíðan og árangri í vinnuumhverfi Ásta Guðrún Guðbrandsdóttir skrifar
Skoðun Sagnaarfur Biblíunnar – Davíð og Golíat, hugrekki og berskjöldun Dr. Sigurvin Lárus Jónsson skrifar
Skoðun Alþjóðlegt samstarf er forsenda öruggra landamæra Jón Pétur Jónsson,Íris Björg Kristjánsdóttir skrifar
Skoðun Háskólasamfélag á tímamótum - Silja Bára sem næsti rektor HÍ Berglind Rós Magnúsdóttir skrifar
Skoðun Hvers vegna styð ég Magnús Karl í kjöri til rektors Háskóla Íslands? Ingileif Jónsdóttir skrifar
Skoðun Kolbrún Þ. Pálsdóttir – rétti leiðtoginn fyrir Háskóla Íslands Hafliði Ásgeirsson,Eyjólfur Brynjar Eyjólfsson,Þorbjörg St. Þorsteinsdóttir skrifar
Skoðun Af hverju ættu nemendur að kjósa Magnús Karl sem rektor HÍ? Eygló Sóley Hróðmarsdóttir Löve,Daníel Thor Myer skrifar
Skoðun Við mótmælum nýbyggingum í Neðra Breiðholtinu Jökull Þór Sveinsson,Hlynur Ingi Jóhannsson skrifar
Skoðun Er „sam-búð“ búsetuform 21. aldar og lausn við háum byggingakostnaði? Sara Björg Sigurðardóttir skrifar
Skoðun Reynsla, framtíðarsýn og kjarkur Silju Báru Anna Helga Jónsdóttir,Sigurður Örn Stefánsson skrifar
Skoðun Um Ingibjörgu Gunnarsdóttur – ferill að rektorskjöri Rúnar Unnþórsson,Þórhallur Ingi Halldórsson skrifar
Kolbrún Pálsdóttir – Öflugur leiðtogi fyrir framtíð Háskóla Íslands Kristín Jónsdóttir,Þórdís Jóna Sigurðardóttir Skoðun
Alþjóðlegt samstarf er forsenda öruggra landamæra Jón Pétur Jónsson,Íris Björg Kristjánsdóttir Skoðun