Útočníci si vyberajú firmy s dobrým menom a platobnou morálkou. Ako sa brániť pred krádežou identity firmy?

Foto: Shutterstock

Verejne dostupné informácie – raj podvodníkov

Zneužitiu totožnosti sa v dnešnej digitálnej dobe nevyhnú ani firmy. Krádež identity firmy spočíva v tom, že podvodník zneužije identitu skutočnej firmy, ideálne s dobrou platobnou morálkou a menom.

V jej mene môže napríklad nakúpiť vyhovujúci tovar. Dodávateľ v nevedomosti, že ide o podvod, pošle tovar podvodnej tretej strane, ktorá zaň nezaplatí. Škoda tak vzniká na strane firmy, ktorej identitu zneužili, aj na strane dodávateľa, ktorý za odoslaný tovar nedostal zaplatené.

V posledných rokoch tento typ kybernetickej kriminality stúpa celosvetovo aj u nás. Dôvodom je jednoduchá dostupnosť detailných informácií o firmách na internete v podobe ich webových stránok či verejných registrov. Útočníci sa tak ľahko dostanú k identite firmy, jej brandingu a menám konateľov.

Zničenie reputácie či finančný zisk

Všeobecne sú najviac ohrozené firmy, u ktorých je možné krádež identity rýchlo premeniť na finančný zisk. „Útočníci sa často vydávajú za rôzne kuriérske/poštové spoločnosti, ktoré vyzývajú k zaplateniu falošných balíkov. Prípadne mieria na finančné inštitúcie, kde tiež poľahky získajú peniaze,“ hovorí expert na kyberbezpečnosť Martin Laštovička.

Na pozore by sa mali mať hlavne veľké firmy s množstvom zamestnancov, kde sa zvyšuje pravdepodobnosť, že niekto nebude pri vybavovaní e-mailov, zásielok či objednávok dostatočne opatrný a pozorný.

Odborník dodáva, že motiváciou môže byť tiež zisk takzvaného know-how danej firmy pre vlastné účely podnikania, či poškodenie reputácie konkurenta a zisk konkurenčnej výhody na trhu.

Takmer nerozoznateľný podvod

„Vo väčšine prípadov sa jedná o jednoduché podvody s pomocou využitia verejných zdrojov. Z pohľadu technického postupu využitiach týchto zdrojov záleží na motivácii a sofistikovanosti útočníka,“ mieni M. Laštovička.

Podľa neho môže ísť o primitívne poslanie e-mailu z freemail služby (Gmail, Seznam), ale aj zložitejší postup, keď si útočník pripraví infraštruktúru. „Môže ísť napríklad o registráciu typosquattingovej domény, vďaka ktorej podvodník firmu imituje takmer na nerozoznanie,“ upozorňuje odborník.

Dobre zorganizovaní podvodníci dokážu nabúrať telefónne linky, vytvoriť e-mailové adresy, falšovať objednávky či získať výpis z registra trestov s cieľom otvoriť si bankový účet na danú firmu. Útočníci môžu v mnohých prípadoch využiť rôzne (najmä rozvojové) krajiny, kde by prípadná medzinárodná spolupráca pri vyšetrovaní trvala dlho.

Potrebné je dbať na detaily

Spoločnosť či jednotlivec, s ktorými takáto podvodná firma nadviaže kontakt, by nemali zabudnúť na preverenie obchodného partnera. Je vhodné zaujímať sa o konkrétne osoby z firmy, finančné výkazy a platobné skúsenosti.

Falošná objednávka tiež nikdy nie je dokonalá. Potrebné je detailne si všimnúť logo, formát e-mailovej adresy, telefónne číslo a preklepy. Pri pochybnostiach treba kontaktovať firmu a prejsť si s ňou všetky požiadavky na zmeny adresy, bankového účtu či iných faktov.

Dobrou prevenciou je tiež poistenie pohľadávok, ktoré dokáže často včas odhaliť hrozbu podvodu, prípadne zmierniť následky spojené s útokom podvodníkov. Najčastejšie toto poistenie využívajú firmy zo sektoru výroby a obchodu.

Silná kybernetická bezpečnosť

Firmy, ktoré čelia krádeži identity, by sa mali zamerať predovšetkým na bezpečnostnú prevenciu. „Kybernetická bezpečnosť firmy by mala zaistiť, aby sa útočník nedostal do systému a nemohol získať interné informácie a zneužiť identitu firmy,“ hovorí M. Laštovička.

Radí tiež, že pri útočníkoch znútra firmy môže pomôcť registrácia typosquattingových domén samotnou firmou alebo vynútenie ochrany e-mailovej komunikácie z domén firmy. Dobrou obranou je aj rýchla detekcia útokov a včasná reakcia.