ETFFIN Finance >> Finanza personale corso >  >> Gestione finanziaria >> Attività commerciale

Difenditi dalle frodi di compromissione della posta elettronica aziendale:una nuova attività come al solito

Secondo l'ultimo sondaggio dell'Association for Financial Professionals dell'Association for Financial Professionals, più dell'81% dei professionisti finanziari negli Stati Uniti ha riferito che le proprie organizzazioni sono state oggetto di frode nel 2019. ‡ su frodi e controlli sui pagamenti.

Quasi tutti conoscono il termine phishing . Come comunemente definito, phishing sta inviando un messaggio online che afferma falsamente di essere qualcun altro, spesso inclusa una richiesta che il destinatario intraprenda un'azione dannosa come scaricare un allegato dannoso o fare clic su un collegamento fraudolento. Facendo clic o scaricando l'allegato, l'attaccante potrebbe accedere a dati sensibili come le credenziali di accesso e tutti i privilegi detenuti dalla vittima.

Nel tempo, la maggior parte degli uomini d'affari ha imparato a identificare i collegamenti sospetti nelle e-mail. Inoltre, i filtri e-mail sono migliorati nell'individuare e scartare le e-mail probabilmente inviate con intenzioni dannose. Ma sfortunatamente, gli autori sono anche diventati più sofisticati. Un sottotipo di phishing che è stato "professionalizzato" negli ultimi anni è il Business Email Compromesso (BEC).

Informazioni su BEC e bonifici bancari

La frode sui bonifici bancari è diventata così diffusa che l'FBI ha emesso un annuncio di servizio pubblico‡ in merito alla questione. In questo annuncio, l'FBI ha notato che questo tipo di frode è cresciuto di oltre il 100% da giugno 2016 a luglio 2019, con una perdita di oltre $ 26 miliardi di dollari.

Negli schemi BEC, in genere non ci sono collegamenti dannosi. Piuttosto, l'obiettivo è trovare un modo per impersonare un decisore fidato. Un esempio comune sono gli autori che impersonano un dirigente aziendale e inviano un'e-mail "come" quel dirigente richiedendo il completamento di un bonifico bancario.

Per massimizzare le probabilità di successo, gli autori possono condurre ricerche dettagliate e un'ampia ingegneria sociale. Possono sapere, ad esempio, che la tua azienda è impegnata in un particolare progetto con un particolare fornitore. Potrebbero aver raccolto informazioni personali sul dirigente dell'azienda attraverso precedenti attacchi al dipartimento delle risorse umane, informazioni che potrebbero aiutarli a creare una richiesta che rispecchia perfettamente le istruzioni di cablaggio autentiche.

A volte, possono eseguire un tentativo di rappresentazione da un indirizzo e-mail simile a quello reale. Ad esempio, nel corso di una frettolosa giornata lavorativa, molte persone perderebbero la differenza tra [email protected] e [email protected]. E questo è solo se cercano le differenze in primo luogo.

In altri casi, gli autori conducono tentativi di truffa BEC dopo aver violato l'account di posta elettronica di un dirigente. A quel punto, non hanno bisogno di falsificare l'aspetto di un'e-mail legittima e tentare di mascherarne l'origine effettiva. Piuttosto, ora "sono" davvero l'esecutivo e possono prendere qualsiasi decisione come tale in base al suo livello di privilegi.

Se metti queste tecniche sofisticate insieme a operazioni di frode dedicate e professionalizzate, il risultato sono miliardi di dollari di perdite finanziarie effettive per i BEC.

Potrebbe essere eseguita una richiesta di bonifico bancario "da te"?

Supponiamo che un attore malintenzionato abbia violato la tua e-mail e inviato una richiesta al tuo team finanziario di trasferire fondi a un tuo fornitore esistente, poiché il calendario del progetto è stato spostato più in alto e vorresti che il fornitore pagasse prima del tuo visita in loco della squadra il giorno successivo. L'importo richiesto per il trasferimento è in linea con altri pagamenti a questo fornitore.

Inoltre, dì che "tu" fai sapere al tuo team finanziario che hai appena ricevuto e stai trasmettendo nuovi dettagli del conto bancario per il fornitore, che, dice la tua email, è cambiato per un motivo plausibile.

Quanto sei certo che la richiesta di bonifico non verrà soddisfatta? Dopotutto, proviene dal tuo indirizzo email effettivo (nessuno spoofing coinvolto), non include collegamenti sospetti e richiede di pagare un fornitore esistente di cui potresti anche aver parlato di recente con questi stessi professionisti della finanza.

Man mano che gli schemi BEC diventano più sofisticati, non puoi fare affidamento sul fatto che te o la tua gente abbia un occhio acuto. È necessario disporre in anticipo di flussi di lavoro e sistemi consolidati.

Cosa puoi fare per rimanere protetto

Di seguito sono riportate le misure di protezione di base per aiutare la tua organizzazione a evitare perdite finanziarie dovute a truffe di questo tipo.

  • Stabilire istruzioni di pagamento predefinite; non variare mai da questi modelli a meno che le modifiche non siano verificate accuratamente.
  • Limita rigorosamente il numero di dipendenti della tua organizzazione che hanno l'autorità di approvare e/o effettuare bonifici.
  • Stabilire un protocollo mediante il quale le richieste di bonifico inviate tramite e-mail vengono sempre convalidate da qualche altro canale di comunicazione o tramite un'autenticazione a più fattori.
  • Confermare sempre verbalmente eventuali modifiche alle istruzioni di pagamento per un fornitore utilizzando i dati di contatto registrati che non provengono dall'e-mail. Mantieni un elenco non elettronico di contatti presso questi fornitori che conosci essere autorizzati ad approvare le richieste di modifica delle istruzioni di trasferimento.
  • Ogni volta che una banca viene contattata per verificare il bonifico bancario, ritarda la transazione fino a quando non sarà possibile eseguire ulteriori verifiche.
  • Richiedere la doppia approvazione per qualsiasi richiesta di bonifico bancario che coinvolga:
    • Un importo in dollari oltre una soglia specifica
    • Partner commerciali che non sono stati precedentemente aggiunti a un elenco di partner commerciali approvati per ricevere pagamenti tramite bonifico
    • Qualsiasi nuovo partner commerciale
    • Nuovi numeri di banca e/o conto per gli attuali partner commerciali
    • Bonifici bancari verso paesi al di fuori dei normali schemi commerciali
  • Istruisci i tuoi dipendenti sul BEC e sui passaggi che possono adottare per ridurre al minimo i rischi.

Infine, banca con partner che conosci. Il team dei pagamenti bancari al servizio della tua organizzazione dovrebbe avere familiarità con la tua attività e i suoi normali schemi. Questa familiarità, insieme a una diligente consapevolezza e sofisticati sistemi di avviso di frode, aiuta a proteggerti da una minaccia grave e in aumento.

Rimani informato sulle tendenze del settore e sulle novità aziendali degne di nota visitando il nostro  Notizie del settore  sezione su  umb.com . Segui UMB su LinkedIn,  Facebook ‡ e  Twitter ‡ per vedere aggiornamenti regolari sulla nostra azienda, sulle persone e sulle prospettive finanziarie tempestive.