Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Księgowa z siedleckiej firmy dostała maila od szefa z poleceniem wykonania przelewu. Problem w tym, że nie zauważyła iż koresponduje z fałszywym szefem…
Dość prosty, ale niestety skuteczny scam opisuje właśnie mazowiecka policja:
(…) podszyli się pod prezesa siedleckiej firmy, stworzyli adres mailowy łudząco podobny do tego prawdziwego i przesłali księgowej spreparowaną fakturę do zapłaty na kwotę ponad 12 tys. zł. Kobieta z racji tego, że wielokrotnie otrzymywała takie polecenia od szefa drogą mailową, straciła czujność. Ten e-mail nie wzbudził w niej żadnych podejrzeń. Postąpiła zgodnie z procedurami i zapłaciła należność.
O nieco podobnym przypadku, poinformowała nas jakiś czas temu Monika:
Taka wiadomość odebrała moja pracownica, zaraz mi to zgłosiła…. ktoś chyba grzebie w KRS naszej spółki, bo dostępne są tam pesele, stanowiska członków zarządu oraz drugie imię, którym się nigdy oficjalnie nie posługuję.
W tym ostatnim przypadku, na szczęście nikogo nie udało się nabrać (zwraca uwagę mało poradny podpis – podwójne imię oraz totalnie dziwny e-mail).
~ms
Księgowa przed każdym przelewem powinna sprawdzić konto w rejestrze VAT, gdyby to zrobiła nie byłoby problemu, musi sprawdzać bo zapłata na inne konto rodzi dalsze problemy z kosztami i VAT.
Co więcej, większość programów księgowych same sprawdzają konto przy księgowaniu czy płatności faktury
Paradoksalnie raczej z dochodowym. Ale zauważ ze tu było poniżej 15 tys.
To nie rozwiązuje problemu, bo w wielu firmach klienci dostają nr rachunku technicznego wygenerowanego tylko dla nich – w celu automatyzacji obsługi płatności. Tych rachunków nie ma w rejestrze VAT.
Wystarczyło sprawdzić telefonicznie u szefa…
W miejscowości (…) pewien listonosz postanowił zostać krezusem finansów i podrabiał rachunki za energię elektryczną, podmieniał tylko numer rachunki i … wrzucał do skrzynki…
Zgadnijcie jaki był efekt… Niestety społeczeństwo wierzy w to co dostaje mailem, pocztą itp. Fraud wisi w powietrzu.
„Trzeba było” – mądry polak po szkodzie ;). Złote rady wuja Stacha?
To tak nie działa. Musisz zapłacić na rachunek z białej listy. Pamiętajmy że mówimy o relacji pomiędzy przedsiębiorcami. Jedyny wyjątek to mechanizm podzielonej płatności, ale to raczej nie miało tu miejsca.
A kiedykolwiek robiłeś taki przelew? Spróbuj kiedyś to się dowiesz że konta indywidualne także figurują na białej liście.
Nie trzeba KRS-u.
Z reguły na stronach internetowych firm są informacje o składzie zarządu, a w kontaktach e-mail do księgowości.
Wystarczy prosty skrypt i mamy taką wiadomość do wielu firm.
No jak te informacje są na stronach zarządu to to nie będzie prosty skrypt bo musiałby każdą stronę skanować na obecność imion nazwisk oraz e-maili czyli w sumie niemożliwe.
Księgowa dane do przelewu powinna sprawdzić w rejestrze VAT.
Ja mam z chłopakiem weryfikację na podstawie kodów jednorazowych. Mamy w telefonach aplikacje do generowania kodów i jak chce przelew, albo jakieś hasło, to prosimy o podanie kodu jednorazowego TOTP. Proste i skuteczne.
A jak dostaniesz fakturę za prąd, wodę czy gaz w skrzynce pocztowej to do kogo wysyłasz ten kod OTP?
A wystarczył by najprostszy system do akceptowania faktur i żadnych wyjątków że jak ktoś chce mieć zapłaconą fakturę, to musi ją klepnąć w systemie a nie tylko wysłać mailem.
Niby tak. Ale szef też może dostać tego samego maila od tych samych fraudsterów (pfu… złodziei). Ktoś jednak musi innym kanałem zweryfikować że faktura i nr rachunku jest prawidłowy.
Wejdzie KSeF to poczyści takie fraudy.