Gdy pensja nie dociera na czas z reguły myślimy, że po prostu będzie jeden dzień później. Gdy jednak wszyscy w biurze dostali już swoje przelewy, sytuacja robi się podejrzana. Dzwonimy do HR a tam okazuje się, że przelew wyszedł – ale na cudze konto.
Przestępcy czasem mają specyficzne talenty. Szczególnie dotyczy to oszustów. Jednym z takich talentów jest podszywanie się pod inne osoby i wykorzystywanie istniejących procesów do osiągnięcia osobistych korzyści. Z takim przykładem spotkała się ostatnio jedna z polskich firm. Dowiedzieliśmy się o tym od czytelnika, który pragnął zachować anonimowość, dlatego w tekście nie wskazujemy jego danych ani danych poszkodowanej firmy.
Niespodzianka w dziale HR
Kiedy do działu HR zadzwonił jeden z pracowników z pytaniem, kiedy otrzyma swoją pensję, nikt się specjalnie nie przejął problemem. Co prawda od wysłania przelewów minęły już dwa dni, ale wcześniej także zdarzało się, że pieniądze nie docierały następnego dnia. Kiedy jednak pojawił się drugi i trzeci telefon, pracownicy działu zaczęli się zastanawiać, co mogło się stać. Sprawdzili przelewy w banku – wyszły wystarczająco wcześnie. Jeden z pracowników działu zwrócił jednak uwagę na dziwną zbieżność – wszyscy troje poszkodowani w trakcie miesiąca zgłosili emailowo zmianę numeru rachunku, na który ma wpływać ich pensja…
Dalsze śledztwo wykazało, że żaden z pracowników nie przypominał sobie składania takiej dyspozycji. Firmowa procedura przewidywała jedynie przesłanie odpowiednio wypełnionego formularza w formie skanu – i w skrzynkach HR znalazły się wypełnione formularze. Podpisy nie zgadzały się z prawdziwymi podpisami nadawców, jednak procedura nie przewidywała ich weryfikacji – w końcu emaile nadeszły z prawdziwych skrzynek ich rzekomych nadawców. Analiza logów poczty wskazała, że ktoś kilkanaście dni wcześniej zalogował się na ich skrzynki, prawdopodobnie za pomocą wykradzionych lub wyłudzonych wcześniej haseł. Kolejne nieautoryzowane logowania miały miejsce w odstępie kilku dni i każdemu towarzyszyło wysłanie wiadomości do działu HR. Ofiarami ataku padło jedynie kilku pracowników całkiem sporej firmy – choć niewykluczone, że w innych firmach mogły mieć miejsce podobne incydenty.
Sposób działania przestępców
Każda ze złożonych dyspozycji zmiany numeru rachunku wskazywała na inne konto – choć wszystkie założone były w tym samym banku. Ofiary nie były ze sobą powiązane niczym oprócz firmy i pozycji w firmowej hierarchii – byłī wystarczająco wysoko na szczeblach kariery, by otrzymywane wypłaty przekraczały (w jednym przypadku znacznie) kwotę 10 000 PLN. Nie wiemy, czy te same rachunki były także wykorzystywane w podobnych atakach w innych firmach, ale nawet jeśli nie, to i tak operacja musiała się przestępcom opłacać. Koszt pozyskania rachunku w banku na podstawioną osobę, nawet przy pomocy pośredników, raczej nie przekracza kwoty 1500 PLN a sprytni przestępcy są w stanie takie rachunki pozyskać znacznie niższym kosztem.
Co ciekawe, znaleziono także ślady nieautoryzowanego logowania na konto pocztowe pracownika, którego nie okradziono z pensji – za to użyto jego tożsamości do uzyskania z działu HR informacji o tym, jak wygląda procedura zmiany numeru konta oraz potrzebnego w tym celu formularza. Pracownik, z którego konta przestępcy korespondowali z działem HR, był w tym czasie na urlopie.
Podsumowanie
- Jeśli odpowiadacie za bezpieczeństwo w swoich organizacjach, przyjrzyjcie się procesowi zmiany numeru konta, na które trafia wynagrodzenie. Wymóg osobistego stawiennictwa w dziale HR wydaje się trudny do wdrożenia w każdej organizacji, ale wniosków takich raczej nie powinno być zbyt wiele, więc potwierdzenie telefoniczne złożonej dyspozycji (gdzie HR dzwoni do osoby składającej wniosek na firmowy numer telefonu) jest chyba dobrym pomysłem.
- Dobrym pomysłem (choć nieco bardziej kosztownym i/lub skomplikowanym do wdrożenia) jest uniemożliwienie logowania z zewnątrz do firmowych skrzynek bez dodatkowego uwierzytelnienia (certyfikatem czy tokenem). Także monitorowanie zdalnych logowań może się przydać – szczególnie, jeśli ktoś loguje się z tego samego adresu IP kolejno do kilku skrzynek pod rząd (o ile nie jest to akurat cały dział sprzedaży na imprezie integracyjnej w tym samym hotelu).
- Jako zwykli pracownicy również możecie zapytać w swoim dziale HR jak wygląda proces zmiany numeru konta, na które trafia Wasza pensja. W opisywanym przypadku firma oczywiście wypłaciła wynagrodzenia – tym razem na właściwe rachunki – ale lepiej dmuchać na zimne.
- Jeśli zaś chcecie przeszkolić swój personel, by był bardziej wyczulony na takie i podobne oszustwa, to polecamy nasze szkolenia, gdzie opowiadamy o wielu sprytnych sposobach, w jakie przestępcy próbują oszukać firmy i ich pracowników.
Komentarze
Jedna z większych firm. Przenosiłem ostatnio pensję do innego banku i nie dało się tego „papierowo” tylko i wyłącznie online. Czyli wypełniam formularz, bank robi klik-klik i wysyła do pracodawcy zgrzebne pisemko. Sam byłem ciekaw jak to działa w praktyce i czy tak hop-siup zadziała.
Na szczęście nie, miła pani z finansów poprosiła abym jednak się na tym pisemku z banku podpisał :-)
Rzeczywiście „[…] podpisy nie zgadzały się z prawdziwymi podpisami nadawców, jednak procedura nie przewidywała ich weryfikacji […]” urocze.
Wniosek o zmianę składam przez zewnętrzny system, należący do zewnętrznej firmy, która to audytuje i sprawdza z bankiem docelowym oraz z moim pracodawcą, zanim zmianę aktywuje.
Całość niestety zajmuje 2 cykle „wypłatowe”.
Bezpieczeństwo tego zewnętrznego systemu to zupełnie inna opowieść ;-)
Takie rzeczy to najlepiej żeby były załatwiane analogowo i osobiście, z pokazaniem dowodu tożsamości zgodnym z danymi o danym pracowniku jakie ma firma (włącznie ze zdjęciem).
Zmiana konta to nie jest jakaś decyzja którą się robi co kilka miesięcy, zwykle z bankiem człowiek wiąże się na lata więc nawet w wypadku dużych firm to mogłoby być załatwiane przez pracownika HR „przy okazji”.
Nie przypominam sobie, aby moj pracodawca kiedykolwiek wykonal kserokopie/scan mojego dowodu. Inna sprawa, ze w firmach (tych wiekszych) nikt nie posluguje sie dowodem osobistym. Dostajesz swoj badge i tyle.
Moja firma wymaga tokenow przy logowaniu z zewnatrz, wczesniej trzeba go sobie skonfigurowac (musi to byc zrobione wewnatrz sieci). Jesli taki Kowalski nigdy tego nie zrobil to nie widze opcji by zmienic numer konta w panelu. Hasla zmieniane co 90dni, dyski szyfrowane, unix na pokladzie. Nie twierdze, ze nie jest to do obejscia, ale jednak napastnik wolalby wybrac latwiejszy target.
Jeżeli nikt nie kopiował/ skanował Twojego dowodu to bardzo dobrze, ponieważ pracodawca nie ma prawa przechowywać kopii dowodu osobistego pracownika.