Krāpnieki uzzina ar kādiem sadarbības partneriem uzņēmums strādā un to vārdā uzņēmumam nosūta informāciju.
Kiberkrāpniecības metodes kļūst arvien sarežģītākas, tiek rūpīgi izstrādātas, pētot savus potenciālos upurus un mērķētas uz konkrētiem uzņēmumiem vai indivīdiem, līdz ar to, arī grūtāk atpazīstamas. 2023.gadā Tet identificēja un apturēja 65,5 miljonus aizdomīgu e-pastu, no tiem 247 tūkstoši saturēja vīrusus vai ļaunatūras. Piekļūstot uzņēmumu e-pastiem, var tikt viltoti rēķini, lai turpmākos maksājumus novirzītu uz krāpnieku kontiem, dziļviltojumu kvalitātes uzlabošanās samazina iespējas pārliecināties, ka saziņa notiek ar īsto personu nevis krāpnieku un citi gadījumi. Kas ir biežākie krāpšanas veidi, ar ko saskarās uzņēmumi un kā sevi pasargāt, skaidro eksperti.
"Finanšu nozares asociācijas dati rāda, ka 2023.gadā 108 uzņēmumi ir kļuvuši par krāpniecības upuriem, katrs piektais mēģinājums ir ticis novērsts. Attiecīgi kopējie finansiālie zaudējumi uzņēmumiem sasniedz teju 1,37 miljonus eiro. Turklāt finanšu zaudējumi nav vienīgās sekas, veiksmīgas krāpšanas rezultātā, var tikt skarta uzņēmuma reputācija, kā arī radītie zaudējumi var ietekmēt uzņēmuma spējas izpildīt finansiālās saistības. Tādēļ ir svarīgi informēt un izglītot darbiniekus, īpaši tos, kuriem ir pieeja uzņēmuma bankas kontiem, par krāpšanas shēmām. Tāpat katram uzņēmumam ir iespējas administrēt internetbankas lietotāju tiesības, piemēram, maksājumus ļaujot veikt tikai no konkrētas IP adreses, ieviest dubulto autorizāciju maksājumiem, nosakot limitu, no kuras summas maksājumu nepieciešams apstiprināt vairākiem darbiniekiem," iesaka Marija Briede, Finanšu nozares asociācijas krāpšanas novēršanas darba grupas locekle un Luminor bankas krāpšanas novēršanas eksperte.
Pret uzņēmumiem vērstas krāpšanas var iedalīt trīs veidos - "viltus sadarbības partneris", kas arvien vairāk izplatās pēdējā laikā. Iegūstot informāciju no publiskās vides vai ar citām metodēm gūstot piekļuvi uzņēmuma e-pastam, krāpnieki uzzina ar kādiem sadarbības partneriem uzņēmums strādā un to vārdā uzņēmumam nosūta informāciju, ka mainījies konts vai rēķinu ar jaunu konta informāciju, attiecīgi mēģinot pārvirzīt maksājumu uz krāpniecisku kontu. Praksē Latvijā šobrīd vēl retāk sastopams ir "viltus vadības rīkojums", kad krāpnieki mēģina noteikt darbinieku, kurš rīkojas ar finanšu līdzekļiem un nosūta tam e-pastu it kā vadības vārdā, lūdzot veikt steidzamu rēķina apmaksu. Šādi kādam ārzemju uzņēmumam tika izkrāpti 25 miljoni dolāri, krāpniecībā izmantojot arī mākslīgo intelektu un nodrošinot, ka, tiek it kā sasaukta visu iesaistīto darbinieku attālināta sanāksme, lai pārliecinātos par naudas pārskaitījuma pieprasījuma patiesumu, bet tajā visi pārējie darbinieki bija nevis autentiskas personas, bet to dziļviltojumi. Trešā shēma, ko izmanto krāpnieki - "viltus algas konta maiņa", kad krāpnieks darbinieka vārdā nosūta e-pastu uzņēmumam, lūdzot nomainīt kontu uz kuru tiek veikta algas izmaksas. Protams, uzņēmumus var skart arī vispārējās krāpšanas - saistītas ar preces iegādi, piemēram, nesaņemot preci pēc samaksas veikšanas, tāpat krāpnieciskie e-pasti, zvani, īsziņas, kuru mērķis ir iegūt pieguvi internetbankas datiem un arī krāpšanās ar viltus investīcijām.
"Mēs intensīvi visus savus darbiniekus apmācam jau kopš 2019.gada. Ir svarīgi apzināties, ka tā nav kampaņveidīga aktivitāte, bet regulārs ikdienas darbs, turklāt pielāgots dažādām amatu grupām. Uzskatām, ka ir jāmāca visi uzņēmuma darbinieki, arī tie, kuri varbūt tik daudz nestrādā ar datoru un nelieto e-pastus. Apmācības gan runājam par teorētiskām zināšanām - kas ir pikšķerēšanas ziņas, kā tās izskatās, kā atpazīt, bet vēl svarīgāks ir praktiskais treniņš. Ikviens Tet darbinieks vismaz reizi mēnesī saņem vismaz vienu pikšķerēšanas ziņu, ko esam veidojuši mēs. Tas ļauj novērtēt apmācību rezultātu - kurš ir ziņai uzklikšķinājis, kurš ievadījis datus, nomainījis paroli, bet vērtīgākais rezultāts, ko sagaidām - cik ir ziņojuši, ka šo viltus ziņu saņēmuši. Tāpat varam identificēt, kas ir vājās vietas, zināšanas, par kurām nepieciešams vēl stāstīt un skaidrot darbiniekiem," stāsta Uldis Lībietis, Tet datu aizsardzības un IT drošības vadītājs.
Viņš arī uzsver drošas saziņas pamatprincipus - lai pārliecinātos par uzdevuma autentiskumu un steidzamību, sazināties ar kolēģi citā kanālā. Tā pārliecinoties, ka netiks papildināts krāpnieku guvums. Ar kolēģiem vērts vienoties arī par kādu slēptu autentifikācijas apstiprinājumu, piemēram, balss paroli, žestu, kas arī attālinātā saziņā ļautu atpazīt, vai kameras priekšā ir īstais cilvēks. Kiberdrošības jomā dziļviltojumu tehnoloģijas izmantošana identitātes viltojumos pagājušā gadā pieaugusi par 3000% - ja iepriekš tas bijis ļoti niecīgs, tad attīstoties tehnoloģijām, 2023.gadā ir noticis milzīgs lēciens dziļviltojumu attīstībā, kas dod resursu arī kiberkrāpniekiem.
Tehnoloģiju eksperts Elviss Strazdiņš uzņēmumiem iesaka vienmēr pārliecināties, ka izmantotās tehnoloģijas ir drošas, kā arī izstrādāt un sekot līdzi konkrētiem protokoliem, kā tiek apstrādāti maksājumi: "Bezvadu tehnoloģija ir pavērsusi jaunas iespējas uzbrukumiem, jo jebkurš var mēģināt lasīt starp ierīcēm pārvadītos datus, tādēļ svarīgi izmantot mūsdienīgas tehnoloģijas, kur datu šifrēšanai pievērsta liela uzmanība. Tāpat uzņēmumam nevajadzētu dot piekļuvi savam wi-fi rūterim ārējām personām, tam ieteiktu iegādāties atsevišķu rūteri. Pat, ja šī persona pats nav krāpnieks, jums nevar būt garantija, ka kāds cits jau iepriekš nav inficējis viņa izmantotās ierīces ar ļaunatūru, kas var nozagt jūsu datus. Savukārt autentifikācijas lietotnēm aicinātu noņemt automātiskās notifikācijas, jo tad kādā brīdī varam neuzmanības pēc automātiski ievadīt tās PIN kodu, apstiprinot, piemēram, kādu maksājumu, ko pats nemaz neesat veicis."
Kā min Tet kiberdrošības pakalpojumu konsultants Raivis Bidiņš, 90% no visiem kiberincidentiem veiksmīgi izmanto tieši cilvēcisko elementu, jo tas krāpniekam ir daudz vieglāks ceļš, nekā uzlauzt vai apiet IT drošības sistēmas. Tādēļ ir ļoti svarīgi uzņēmumos ieviest IT drošības prasmju attīstības programmu, iedibinot pasākumu kopumu. "No pieredzes redzam, ka biežāk uzņēmumi mums pieprasa projekta veida aktivitāti, vienas apmācības. Tomēr jāņem vērā, ka jaunā Eiropas Savienības kiberdrošības direktīva NIS2, kas saistoša arī Latvijas uzņēmumiem, kā arī attiecīgi tās prasības, kas tiks ieviestas gan Nacionālās kiberdrošības likumā, gan ar to saistītajos MK noteikumos, prasīs nevis vienreiz gadā novadītu apmācību pasākumu, bet gan vairāk - regulāras aktivitātes, kas ļauj nemitīgi pilnveidot uzņēmuma darbinieku noturību pret kiberuzbrukumiem," uzsver Raivis Bidiņš.
Ir svarīgi saprast, ka šobrīd labākā taktika, lai uzņēmēji spētu sevi pasargāt, ir regulāras apmācības un piksķerēšanas simulāciju testi. Lai šāda prasmju attīstības programma būtu veiksmīga, ir svarīgs augstākās vadības atbalsts apmācību procesam kā daļai no ikdienas darba. Uzturot un papildinot apmācības ar jauniem, aktuāliem resursiem, ar pikšķerēšanas e-pastiem regulāri mērot programmas efektivitāti, piedāvājot kādus bonusus darbiniekiem par mērķu sasniegšanu, iespējams būtiski stiprināt uzņēmuma un tā darbinieku noturību pret kiberuzbrukumiem, kas nākotnē kļūs tikai arvien sarežģītāki un grūtāk identificējami.