Od sredine leta 2025 zaznavamo pojav novih oblik spletnih napadov na slovenska podjetja, ki jih uvrščamo v kategorijo t.i. direktorskih prevar (ang. CEO fraud). Gre za ciljno usmerjene napade, pri katerih napadalci izkoriščajo pretirano zaupljivost v poslovni komunikaciji in pomanjkljive postopke preverjanja.
Napadalci najprej iz javno dostopnih virov (spletna stran podjetja, objavljena letna poročila, objave na družbenih omrežjih ipd.) pridobijo podatke o poslovnih partnerjih ciljanega podjetja. Nato na ciljno osebo, pogosto v računovodskem ali finančnem oddelku, pošljejo potvorjeno elektronsko sporočilo, pri čemer se lažno izdajajo za enega od poslovnih partnerjev. Za namen napada lahko registrirajo domene, ki so podobne pravi domeni poslovnega partnerja (t.i. “typosquatting”), ali pa uporabijo kar račun pri enem od ponudnikov brezplačne elektronske pošte. Napadalci pošljejo obvestilo v imenu poslovenga partnerja, da uporabljajo nov bančni račun, na katerega želijo prejemati nadaljnja plačila za opravljene storitve. Kot razlog navedejo izmišljene okoliščine, denimo spremembo lastništva ali pripojitev k mednarodni družbi. Lažno sporočilo lahko vsebuje vsebinske in grafične elemente, ki so ukradeni iz legitimne korespondence (npr. podpis, logotip, pravno obvestilo ipd.).
Cilj napada je, da podjetje ob naslednjem rednem izplačilu denar nakaže na bančni račun pod nadzorom napadalcev.
Različica s ponarejeno korespondenco z direktorjem
Malo drugačna oblika tovrstne prevare pa v potvorjenem sporočilu vsebuje ponarejen pogovor z vodstvom podjetja. Tako izgleda, kot da je z direktorjem že vse dogovorjeno za plačilo, računovodstvo pa mora zgolj izvesti nakazilo. V lažnem pogovoru so navodila direktorja, naj poslovni partner pošlje podatke za nakazilo neposredno na naslov računovodstva.
Različica naprednejše oblike prevare z lažnim WhatsApp računom in deepfake posnetkom
Gre za bolj sofisticirano vrsto napada, ki običajno cilja na mednarodna podjetje, s sedeži v različnih državah. Napadalci kontaktirajo predstavnike povezanih podjetij in se predstavljajo kot direktor ali druga oseba iz vodstva matičnega podjetja. Kontakte največkrat vzpostavijo preko WhatsApp omrežja, na katerem naredijo lažen račun direktorja. Napad pa lahko vsebuje tudi element telefonskega ali video klica, pri katerem je glas oz. posnetek zmanipuliran z različnimi orodji umetne inteligence (t.i. deepfake posnetek). Tak klic lahko na prvi pogled izgleda zelo prepričljiv, kot da res kliče direktor podjetja. Scenarij običajno vključuje zaupno sporočilo o prevzemu nekega podjetja, v nadaljevanju pa sledi zahteva za nakazilo večjega zneska na nek tuj bančni račun.
Za razliko od prevar z vrivanjem v poslovno komunikacijo (t.i. BEC – Business Email Compromise), katerih bistven element je predhoden vdor v elektronsko pošto, je direktorska prevara v svoji osnovi zelo preprosta, saj v večjem delu temelji zgolj na socialnem inženiringu. Ampak kljub temu je lahko zelo učinkovita in povzroči visoka oškodovanja.
Ker prevara vsebuje izredno malo tehničnih elementov, jo avtomatizirani sistemi za detekcijo zlorab zelo težko prepoznajo. Uspešnost pravočasne zaznave je tako mnogokrat odvisna zgolj od tistih zaposlenih, ki so ciljani v napadu.
Priporočeni ukrepi
- Za zaščito pred tovrstnimi napadi svetujemo, da se vsaka zahteva za spremembo bančnih podatkov preveri po neodvisnem komunikacijskem kanalu, na primer preko telefonskega klica. To velja tudi v primeru, če zahteva za spremembo pride iz legitimnega naslova. Enako velja v primerih vzpostavitve kontaktov preko nestandardnih kanalov, npr. preko zasebnih sporočil.
- Podjetja naj uvedejo postopke, pri katerih so spremembe plačilnih metod potrjene na več ravneh.
- Pomembno je tudi redno izobraževanje zaposlenih, predvsem v računovodstvu, financah in vodstvu, da se zavedajo tveganj in poznajo pravilne postopke preverjanja. V primeru zaznave sumljivih ali neobičajnih sporočil je nujno, da zaposleni obvestijo pristojne službe v podjetju.
Take napade lahko prijavite na SI-CERT na naslov cert@cert.si. Če je prišlo do oškodovanja, krajo nemudoma prijavite na policijo.