Kam pievērst uzmanību, lai neiekristu krāpnieku nagos, uzticoties viltus e-pastiem?

Pēdējā laikā arvien biežāk dzirdams par krāpnieku mēģinājumiem nelikumīgā ceļā piekļūt iedzīvotāju finanšu līdzekļiem, izsūtot viltus e-pasta ziņas. Pikšķerēšana (phishing) jeb e-pasta krāpniecība ir plaši izmantots krāpniecības veids privātpersonu vidū, taču tas apdraud arī uzņēmumus. Tieši uz uzņēmumu darbiniekiem krāpnieki mērķē, cenšoties iegūt sensitīvu informāciju, piemēram, paroles, kredītkartes datus, finanšu informāciju vai piekļuvi uzņēmuma sistēmām - kā liecina Luminor dati, pērn 31% Latvijas mazo un vidējo uzņēmumu saskārušies ar viltus e-pastiem. Kā atpazīt viltus e-pastus un pasargāt savu uzņēmumu, stāsta Luminor bankas krāpšanas novēršanas eksperte Marija Celma.

Ierasti e-pasti tiek sūtīti no "uzticamiem" avotiem

Krāpnieki bieži izmanto e-pastus, kas izskatās kā oficiāli paziņojumi no bankām, piegādātājiem, valsts institūcijām vai citiem uzticamiem avotiem, lai maldinātu uzņēmuma darbiniekus un iegūtu piekļuvi uzņēmuma resursiem. Šādi uzbrukumi ir īpaši bīstami, ņemot vērā, ka atšķirībā no privātpersonām uzņēmumi ir pakļauti lielākam riskam vienā krāpšanas gadījumā zaudēt lielākus naudas līdzekļus, jo noteiktie darījuma limiti visbiežāk ir ievērojami augstāki.

Pikšķerēšanas gadījumos uzņēmumiem tiek izsūtītas maldinošas ziņas, kas satur saites uz šķietami īstām tīmekļa vietnēm, kā arī var būt pielikumi ar ļaunprātīgu programmatūru. Krāpnieku mērķis ir panākt, lai ziņas saņēmējs krāpnieciskajā saitēievada nepieciešamo informāciju, piemēram, konta piekļuves informāciju, vai arī atver pievienoto pielikumu, tādā veidā inficējot datoru (arī uzņēmuma tīklu) ar dažāda rakstura ļaunprātīgām programmatūrām, kas tālāk tiek izmantotas informācijas zagšanai vai tiešai līdzekļu izspiešanai. "Jebkuras krāpniecības shēmas pamatā ir manipulēšana ar cilvēku emocijām un dažādu psiholoģisko aspektu izmantošana. Arī e-pastu krāpniecība nav izņēmumus - ziņas saturs tiek veidots tā, lai saņēmējs būtu emociju pārņemts un instinktīvi mestos pildīt norādījumus, lai situāciju atrisinātu, kā rezultātā veiktu nepārdomātas un pārsteidzīgas darbības. Visbiežāk krāpnieki vēlas radīt ilūziju, piemēram, par apdraudējumu uzņēmuma finanšu līdzekļiem kontā, norādot ka tikai ziņas saņēmējs ir spējīgs šos līdzekļus "glābt", taču svarīgi rīkoties ātri un neiesaistot citas personas," stāsta Marija Celma.

Uzticams sadarbības partneris vai krāpnieks?

Ir vairākas pazīmes, kas liecina par to, ka saņemtais e-pasts ir krāpniecisks. Lai radītu uzticamību, krāpnieki vilto jau zināmas sūtītāju e-pasta adreses, taču tajās parasti ir redzami neierasti simboli, iztrūkst burti vai tiek pievienoti papildu vārdi. Piemēram, e-pasts no uzņēmuma, kura oficiālā adrese ir @company.com, var nākt no adreses, kas izskatās pēc kaut kā līdzīga, taču tai ir pievienots papildu vārds vai simbols, piemēram, @company-support123.com. Ieteicams uzņēmumā arī izveidot risinājumu, kas brīdina e-pasta saņēmēju par to, ka e-pasts ir ārpus organizācijas.

Krāpnieciski e-pasti bieži satur saites, kas ved uz viltus vietnēm, tāpēc pirms tā tiek atvērta, ieteicams novietot kursoru virs saites, lai redzētu patieso tīmekļa adresi. Vislabāk veikt informācijas pārbaudi manuāli apmeklējot it kā e-pasta sūtītāja vietni un pārliecinoties par ziņas patiesumu. Tāpat nereti šādiem e-pastiem tiek pievienoti pielikumi, kas satur ļaunprātīgu programmatūru, kas tiek instalēta, kolīdz pielikums tiek atvērts. Krāpnieciski e-pasti teju vienmēr aicinās pēc iespējas ātrāk veikt darbības, piemēram, atjaunot kontu, veikt maksājumu sadarbības partnerim, aizpildīt pievienoto anketu vai iepazīties ar lēmumu par nodokļu parādu. Visbiežāk šie pieprasījumi var šķist uzstājīgi, steidzami vai draudēt ar sekām, piemēram, naudas sodu vai konta bloķēršanu ja konkrētā darbība netiek veikta.

Kā pasargāt savu uzņēmumu?

Mūsdienās ir pieejami dažādi aizsardzības risinājumi, kas var palīdzēt pasargāt uzņēmumu un tā darbiniekus no krāpniekiem. Lai nodrošinātu to, ka krāpnieciski e-pasti tiek bloķēti un tie nemaz nenonāk pie darbiniekiem, ieteicams uzstādīt visaptverošas datu aizsardzības programmatūras. Tāpat ļoti svarīgi ir izmantot daudzfaktoru autentifikāciju piekļuvei svarīgām sistēmām, piemēram, finanšu programmatūrai, datubāzēm vai internetbankai. Tādā veidā pat, ja krāpnieks iegūs darbinieka paroli, tam tāpat būs nepieciešams vēl viens autentifikācijas solis, piemēram, kods no mobilās lietotnes.

Lai izvairītos no zaudējumiem krāpšanas rezultātā, būtiska loma ir arī pašu darbinieku informētībai un zināšanām. Uzņēmumiem ieteicams organizēt regulāras apmācības par aizdomīgu e-pastu atpazīšanu, piemēram, demonstrējot konkrētus e-pasta paraugus vai veicot simulētus krāpnieku uzbrukumus. Tāpat svarīgi izveidot un ieviest uzņēmuma iekšējo drošības politiku, nosakot kā darbiniekiem jārīkojas situācijās, ja tiek saņemts aizdomīgs e-pasts.

Atgādinām, ka arī bankas kontu pārvaldībā ir iespējami dažādi risinājumi - noteiktas IP adreses uzstādīšana maksājuma veikšanai, nepieciešamība apstiprināt maksājumus vairāk nekā vienam lietotājam, kā arī regulāra lietotāju maksājumu limitu pārskatīšana.