Rozpocznij

Przydatne informacje w zakresie nadużyć finansowych

Fałszywe biznesowe wiadomości e-mail

Fałszywe biznesowe wiadomości e-mail (ang. Business email compromise “BEC”) są formą ataku phishingowego, w którym przestępca podszywa się pod osobę znaną ofierze poprzez istniejące relacje biznesowe i próbuje zmusić ofiarę do przekazania środków finansowych na wskazany rachunek bankowy. Czasami atak określa się jako przekierowanie faktury i wiadomo, że przestępcy wykorzystują w tym celu inne środki kontaktu takie jak Skype, a także standardową pocztę elektroniczną. Oszustwa „BEC” stanowią poważne zagrożenie w skali globalnej dla wszystkich przedsiębiorstw bez względu na ich wielkości oraz sektor, w którym działają. Oszustwa te skierowane są także przeciwko organizacjom pozarządowym.

W typowym schemacie działania w oparciu o fałszywe biznesowe wiadomości e-mail, oszuści wysyłają wiadomość e-mail do osoby z działu księgowości lub finansów, podszywając się pod przedstawiciela innej firmy, z którą obecnie nawiązane są relacje biznesowe, często także w związku z wystawioną fakturą, żądając zrealizowania przelewu bankowego. Wiadomość dotycząca przelewu może obejmować zmianę poprzednich ustaleń, np. zmianę nazwy beneficjenta i/lub rachunku bankowego na który powinny zostać przelane środki pieniężne. Oszuści prawdopodobnie podadzą także przyczyny zmiany tych okoliczności. Niepodejrzewający niczego pracownik inicjuje następnie przelew bankowy w żądanej wysokości na konto bankowe wskazane przez sprawców oszustwa.

Jakie są oznaki takiego działania oraz co możesz zrobić aby się przed nim ustrzec?

Jako firma możesz regularnie otrzymywać e-maile od swoich kontrahentów z informacją o konieczności dokonania płatności za towary/usługi. To właśnie te e-maile i załączone do nich faktury muszą być dokładnie przez Ciebie zbadane. Główne sygnały ostrzegawcze lub "czerwone flagi", jak są one czasami określane, są następujące:

  • Zmiany kraju dla banku odbiorcy płatności
  • Zmiany odbiorcy płatności na rzecz osoby fizycznej, albo w połączeniu z firmą
  • Podane uzasadnienie dla zmiany banku odbiorcy płatności
  • Nowy adres e-mail
  • Niespójności w treści e-maila takie jak inny czas, czcionka, pisownia, gramatyka lub jego struktura.
  • Załączone faktury nie są zgodne ze standardem rzeczywistych faktur zwykle otrzymywanych od dostawcy.
  • Wyraźna pilność po stronie „dostawcy” w trakcie wymiany korespondencji e-mail

Działanie w oparciu o fałszywe biznesowe wiadomości e-mail opiera się przede wszystkim na zmianie szczegółów płatności już wcześniej powiązanych z klientem. Oczywiste jest, że trakcie relacji biznesowych zachodzą regularne zmiany w zakresie realizacji transakcji, które w żadnej sposób nie prowadzą do oszustwa, to jednak ostrożności nigdy za wiele. Jeśli zauważysz jakąkolwiek kombinację powyższych „czerwonych flag” w związku z transakcją, powinieneś skontaktować się bezpośrednio ze swoim klientem/dostawcą przed zrealizowaniem swojego przelewu. Kontakt należy nawiązać przez telefon, korzystając z danych kontaktowych zapisanych dla danego klienta/dostawcy. Nie należy polegać na żadnych danych kontaktowych umieszczonych w przesłanej podejrzanej wiadomości e-mail ani na żadnej innej metodzie komunikacji elektronicznej np. wiadomości tekstowej SMS.

Poniższe zmiany mogą wskazywać na to, że możesz stać się ofiarą oszustwa przygotowanego w oparciu o fałszywe biznesowe wiadomości e-mail:

  • Jeżeli klient/dostawca posiadał rachunek bankowy w tym samym kraju, w którym ma siedzibę swojej firmy od kilku lat, a nagle informuje o przejściu tego rachunku do innego kraju, z którym nie ma wyraźnego związku.
  • Gdy dochodzi do zmiany odbiorcy płatności na osobę fizyczną, a uprzednio odbiorcą była firma.
  • Kiedy pojawiają się zawiłe powody dla zmiany rachunku bankowego/banku
  • Jeśli adres e-mail uległ zmianie
  • Jeśli treść wiadomości e-mail różni się od treści, którą zazwyczaj otrzymujesz
  • Jeżeli faktura wygląda na "zmienioną" i nieprofesjonalną.
  • Jeśli klient/dostawca wywiera na Ciebie presję, aby wykonać przelew bankowy.

Jeśli podejrzewasz, że mogłeś paść ofiarą fałszywej biznesowej wiadomości e-mail, niezwłocznie skontaktuj się i porozmawiaj ze swoim opiekunem klienta.