U svijetu je vrsta prijevare izvedena lažnom poslovnom porukom već viđena stvar, a u nas su potencijalne žrtve sve tvrtke koje ne provjeravaju vjerodostojnost svoje poslovne korespondencije - posebno one koje posluju s inozemstvom
Prijevara lažnom poslovnom porukom počinje tako što se kriminalci „ubace“ u korespondenciju koja se između tvrtki odvija putem elektroničke pošte. Zatim, kad dođe vrijeme za plaćanje naručene robe ili usluge, šalju lažnu poruku, tako oblikovanu da ju je vrlo teško razlikovati od prethodnih poruka koje su tvrtke međusobno razmijenile dogovarajući i obavljajući tu poslovnu transakciju. Kriminalci se u tim porukama predstavljaju kao osoba iz tvrtke kojoj treba platiti naručeni proizvod ili uslugu i pri tome tvrde da se promijenio broj računa i banka putem koje je potrebno izvršiti plaćanje. U poruci navode podatke o tom drugom računu, kojeg su otvorili u svrhu prijevare i žrtvu navode na uplatu novca na taj račun.
Pravila koja treba poštovati
Obrana od ove vrste kriminalnog napada relativno je jednostavna, no zahtijeva strogo i stalno pridržavanje pravila o provjeravanju vjerodostojnosti poslovnog dopisivanja. Ljudi koji su u tvrtkama zaduženi za plaćanja ili ljudi u knjigovodstvenim servisima koje su tvrtke angažirale da za njih obavljaju i taj dio poslovanja, moraju - u svakom pojedinom slučaju u kojem zaprime poruke elektroničke pošte kojim ih trgovačka društva s kojima posluju obavještavaju da je u međuvremenu došlo do promjene banke i računa na koji je potrebno izvršiti uplatu za kupljenu robu, prije nego što izvrše uplatu - putem telefona i-ili video-konferencijskog poziva provjeriti vjerodostojnost i istinitost takve poruke. Ukoliko ustanove da je riječ o prijevari, moraju o tome odmah obavijestiti i MUP, prijavom u najbližoj policijskoj postaji.
Kako se to događa?
Problem s ovim napadom je što, za sada, nije posve precizno utvrđeno kako ga kriminalci izvode. Naravno, prvo saznaju ime točno određene osobe. No, kako to rade? Najčešće, tzv. socijalnim inženjeringom: skupljanjem podataka s društvenih mreža i tvrtkinih web stranica, presretanjem pošte koja dolazi u tvrtku koja im je cilj, pa čak i prisluškivanjem razgovora u kafiću u kojem se zaposlenici tvrtke-žrtve okupljaju u stankama za ručak ili poslije posla. Nakon toga, toj osobi pošalju e-mail s tzv. spear-phishing zloćudnim softverom. Kad se taj softver aktivira (nepromišljenim klikom na poveznicu u poruci ili na zaraženu datoteku u privitku te poruke) kriminalac dobije pristup žrtvinu računalu. To je jedna varijanta takvog napada. Druga varijanta izvodi se tako što taj, potajno instalirani zloćudni softver proslijedi sve poruke iz mape s poslanim porukama - ravno do elektroničkog poštanskog sandučića kojeg je za tu svrhu kreirao napadač. Nakon analize tih poruka, kao što smo uvodno već opisali, haker dizajnira lažnu poruku tako da žrtva teško može ustanoviti kako je riječ o poruci koja nije došla od osobe s kojom inače komunicira u vezi plaćanja računa toj drugoj tvrtki. Zloćudni softver koji služi za izvedbu ovakvih napada iznimno je sofisticiran, a hakeri se oko toga trude i dodatno, obrađujući ga tako kako bi bili sigurni da ga većina antivirusnih programa neće prepoznati - ili za taj napad koriste neke druge alate (primjerice, neki od alata za udaljeno upravljanje računalima) koje antivirusni programi neće prepoznati kao prijetnju.
Ima toga i u Hrvatskoj
U svijetu, ova vrsta prijevare (Business E-mail Compromise) nije nova stvar. Najviše se, tijekom posljednjih pet-šest godina, pojavljivala u Sjedinjenim Državama i Zapadnoj Europi, a najčešći cilj su joj bile tvrtke koje puno rade s inozemstvom. Banke koje su bile odredišta za plaćanje u tim slučajevima nalazile su se najviše u Kini.
Imali smo i nekoliko slučajeva u Hrvatskoj. No ne znamo točno – hrvatska policija za to zna, a tvrtke koje su pretrpjele štetu, radije šute o svemu tome.