Nemitīgi pieaug dažādu krāpšanas mēģinājumu skaits – risks uzķerties uz krāpnieku “āķa” ir arī uzņēmumiem un to darbiniekiem. Esam apkopojuši noderīgus digitālās drošības padomus, kas palīdzēs ikvienam uzņēmumam pasargāt savu naudu.
Tieši mazie un vidējie uzņēmumi ir ar mazāku gatavību šos uzbrukumus novērst. Lielākā daļa, proti, 60ؘ% no kiberuzbrukumiem, ir vērsti tieši pret maziem vai vidējiem uzņēmumiem, liecina Cyber Readiness Institute apkopotie dati.
Esam izstrādājuši materiālu "Naudas drošība paša rokās. Kā atpazīt krāpnieciskus mēģinājumus un kā rīkoties ar tiem saskatories?".
Krāpniecības veidi
Izprotot dažādos krāpniecības veidus, varat veiksmīgāk pasargāt sevi un savu uzņēmumu:
- Iejaukšanās biznesa sarakstē (angliski BEC – business e-mail compromise). Tiek iegūta piekļuve kāda sadarbības partnera e-pastam, kas tiek novērots. Vēlāk krāpnieki, izmantojot iegūto informāciju, mēģina pārvirzīt naudas plūsmu uz citu kontu - nosūtīt ziņu vai rēķinu par it kā mainītiem partnera rekvizītiem un aicinot norēķinus veikt uz jauno kontu.
Saņemot e-pastu no sadarbības partnera ar jauniem rekvizītiem vienmēr sazinieties ar partneri, izmantojot citu, oficiālu saziņas kanālu un pārliecinieties, ka izmaiņas tiešām ir notikušas.
- Vikšķerēšana (angliski — vishing) jeb tālruņu zvanu uzbrukumi, kad ļaundari zvana pa telefonu un izliekas par bankas, tiesībsargājošo iestāžu vai citu pakalpojumu sniedzēju darbinieku, apmānot zvana saņēmēju, lūdzot atklāt internetbankas datus, apstiprināt piekļuves un maksājumu pieprasījumus ar Smart-ID vai kodu kalkulatoru. Tiek izspēlēti arī asa sižeta filmu cienīgi scenāriji, kad klienti krāpniekiem nodod skaidru naudu “uzglabāšanai / jauna norēķinu konta atvēršanai” vai savu norēķinu karti it kā policijas izmeklēšanas vajadzībām.
Uzņēmumus aicinām veikt darbinieku, kuriem ir tiesības veikt maksājumus no uzņēmuma konta, regulāras apmācības, kā atpazīt krāpnieku zvanus, jo caur šādu darbinieku krāpnieks var piekļūt arī uzņēmuma finanšu līdzekļiem. Atcerieties — ar Smart-ID vai kodu kalkulatoru apstiprināta krāpnieku darbība nozīmē pazaudētu naudu.
- Pikšķerēšana (angliski - phishing). Ja esat saņēmis saiti uz kādu mājaslapu, pievērsiet uzmanību tās autentiskumam –– nereti krāpnieki izveido līdzīgu mājaslapu, piemēram, piegādes uzņēmumam, interneta veikalam, Swedbank interneta bankai, tādējādi radot ticamu priekšstatu, kas patiesībā ir maldīgs. Visdrošākais veids, kā apmeklēt internetbanku, ir ievadīt bankas adresi pārlūkprogrammas adreses laukā.
Gadījumos ar nezināmiem interneta veikaliem un citā lapām, ieteicams pameklēt internetā atsauksmes par šo vietni un citu lietotāju pieredzi, noskaidrot, vai nav jau kādas iepriekš saņemtas sūdzības par krāpšanas mēģinājumiem.
- Produkcijas vai preču izkrāpšana. Pēdējā laikā uzņēmumi piedzīvo situācijas, kad it kā liela uzņēmuma pārstāvji (pircēji) piedāvā lielos apjomos iegādāties uzņēmuma saražoto/ izplatīto produkciju ar pēcapmaksu, uzstājot, ka viņi kā liela kompānija priekšapmaksu neveic. Lai veicinātu uzticību, šie pārstāvji akcentē, ka viņu uzņēmuma kredītrisku apdrošina lielākās apdrošināšanas kompānijas. Cerot uz nozīmīgu darījumu un garantētu peļņu, uzņēmumi piekrīt pēcapmaksas nosacījumiem. Pēc nepieciešamās produkcijas piegādes (parasti piegādes adrese atšķiras no konkrētā uzņēmuma atrašanās vietas) un iestājoties apmaksas termiņiem, pircēja kontaktpersona vairs nav sasniedzama un apmaksa, protams, netiek veikta, šādā veidā uzņēmumam radot lielus zaudējumus.
- Pārliecinieties, ka saņemtās korespondences e-pasta adreses domeins ir korekts un reģistrēts jau ilgstoši.
- Pievērsiet uzmanību mājas lapas adresei un sīkām niansēm rakstībā. Nereti krāpnieki izveidojuši identisku attiecīgā uzņēmuma mājas lapu ar krāpnieku kontaktinformāciju.
- Sazinieties ar uzņēmuma pārstāvi par attiecīgo piedāvājumu, atrodot korektu kontaktinformāciju publiski pieejamās datu bāzēs.
- Pirmos pasūtījumus, kaut nelielā apjomā, ir vēlams veikt ar priekšapmaksu.
- Pievērsiet uzmanību piegādes adresei (vai neatšķiras valsts, produkcijas saņēmējs, noliktavas adrese u.tml.).
Drošības padomi, kā pasargāt uzņēmumu
Lai uzņēmums samazinātu krāpniecības riskus, ieteicams izvērtēt zemāk esošos padomus un aktivizēt tos uzņēmumu internetbankā:
sadaļā Maksājumi, konti ➨Digitālā banka ➨Lietotāji un maksājumu limiti.
Drošības uzstādījumus var aktivizēt tikai ar internetbankas administrēšanas tiesībām.
Ja esat Swedbank internetbankas lietotājs, kam ir tiesības pārstāvēt uzņēmumu vienpersoniski, tad jums šīs tiesības jau ir aktivizētas. Lai jūs kā uzņēmuma vadītājs aktivizētu sev internetbankas administrēšanas tiesības gadījumā, ja jums tās nav vēl piešķirtas, rakstiet bankas ziņojumu internetbankā vai apmeklējiet filiāli.
Padoms #1: Dubultā maksājumu autorizācija
Vairums uzņēmumu Latvijā izmanto dubulto maksājumu autorizāciju, kas nozīmē, ka, lai izpildītu maksājumu, ir nepieciešami divi cilvēki — maksājumu papildu apstiprina vēl otrs darbinieks. Piemēram, grāmatvedis sagatavo rēķina apmaksu un to vēl apstiprina uzņēmuma vadītājs. Te nav runa par neuzticēšanos, bet gan finanšu līdzekļu aizsardzību.
Šī ir viena no vislabākajām aizsardzībām pret sociālo inženieriju, kas informācijas drošības kontekstā nozīmē cilvēka psiholoģisku manipulēšanu, lai panāktu noteiktu darbību veikšanu vai konfidenciālas informācijas izpaušanu.
Mūsdienās informācija par personu vai uzņēmumu ir atrodama un pieejama tiešsaistē, tāpēc ļaundaris mēģinās uzdoties par to, kas viņš nav. Varbūtība, ka krāpniekam izdosies veikt manipulēšanu ar diviem uzņēmuma internetbankas lietotājiem, ir ievērojami zemāka. Viens darbinieks steigā var zaudēt modrību un tas traucē pieņemt izsvērtus lēmumus, kamēr otrs maksājuma apstiprinātājs palīdzēs apzināties notiekošo un novērst krāpniecību, tātad finanšu līdzekļu zudumu.
Padoms #2: Fiksēta IP adrese internetbankas lietošanai
Fiksētā IP adrese nodrošina vienu un nemainīgu IP adresi visām klienta veiktajām datu pārraides sesijām, kas ir viens no efektīvākajiem aizsardzības risinājumiem.
Swedbank uzņēmumiem piedāvā noteikt internetbankas piekļuvi no vienas vai vairākām fiksētām IP adresēm, ko var noteikt gan lietotāja, gan uzņēmuma līmenī.
Piemēram, tas ļauj iestatīt, ka uzņēmuma internetbanka būs lietojama tikai no biroja IP adreses un piekļuve nebūs iespējama no mājām, kafejnīcā, braucot ar auto vai tml. Iesakām šo uzstādījumu izmantot tikai lietotāja, piem., grāmatveža līmenī, jo IP adreses ierobežošana visam uzņēmumam, ļaus piekļuvi tikai un vienīgi no šīs adreses visam uzņēmumam un nebūs pieejama arī Swedbank mobilā lietotne.
Padoms #3: Pievienošanās internetbankai no noteiktas valsts
Swedbank uzņēmumiem piedāvā ierobežot valsti, no kuras internetbankas lietotājs var pievienoties internetbankai, ņemot vērā, ka krāpnieki bieži izmanto ārvalstu IP adreses. Ja gadījumā klientam jāveic maksājums, atrodoties ārzemēs, uzņēmumam jāparūpējas par virtuālo privāto tīklu (angliski — VPN jeb virtual personal network) vai laikus jāizvēlas cits aizsardzības risinājums.
Jāņem vērā tas, ka krāpnieki, atrodoties ārzemēs, spēj veidot pieslēgumus no Latvijas IP adresēm.
Līdz ar to, vērtējot drošības risinājumus, šī funkcija sniedz mazāku aizsardzību, tomēr, tā joprojām ir vērtīga un pietiekami efektīva.
Rūpes par savu datu drošību
Eiropas Savienības otrā Maksājumu pakalpojumu direktīva (PSD2) paredz banku pienākumu nodrošināt licencētiem un sertificētiem uzņēmumam piekļuvi klientu datiem, ja klients tam devis piekrišanu. Šis regulējums paver iespējas radīt jaunus atvērtās sadarbības platformas (Open Banking) digitālos risinājumus, tajā pašā laikā uzliek arī lielāku atbildību klientam, kādiem pakalpojumu sniedzējiem tiek atļauta pieeja jūsu konta informācijai.
Klientiem ir vērts pievērst uzmanību izvēlētajiem kontu informācijas pakalpojumiem un maksājumu ierosināšanas metodēm. Klientam izvēloties trešās puses pakalpojumus, bankai ir jānodrošina piekļuve noteiktiem klienta datiem, piemēram, lietotāja numurs, lietotāja personas kods, kontu atlikumi, izraksti. Tas nozīmē, ka apstiprinot darbības caur trešās puses risinājumu, jārēķinās, ka klienta dati kļūst pieejami arī trešās puses pakalpojumu sniedzējam.
Jāuzmanās no pārlieku izdevīgiem piedāvājumiem
Uzņēmumiem ir jāuzmanās no tā saucamās investīciju krāpšanas, kad ļaundari piedāvā milzīgas peļņas ieguldījumus un ļoti izdevīgus aizdevumus. Ja kāds pakalpojumu sniedzējs uzstājīgi piedāvā pārāk lielu ienesīgumu, tas uzreiz ir trauksmes zvans — no kā rodas šis labums? Praksē novērots, ka aiz pārāk izdevīgiem piedāvājumiem, var slēpties finanšu piramīda, neesošas kriptovalūtas biržas vai cita krāpnieciska shēma. Svarīgi ievērot papildu piesardzību, lai uzņēmuma līdzekļi vienmēr ir drošībā. Paturiet prātā, ka visus Latvijā licencētus investīciju un brokeru pakalpojumu sniedzējus ir iespējams pārbaudīt Latvijas Bankas mājas lapā. Pat ja uzņēmums, kas piedāvā investīcijas iespējas nav krāpniecisks, bet Latvijā nav licencēts, jebkuru domstarpību risināšana prasīs vairāk pūļu, jo Latvijas uzraugošajām iestādēm būs ļoti neliela iespēja ietekmēt šos uzņēmumus.
Atcerieties - banka nekad nezvanīs un nelūgs nosaukt lietotāja numuru, personas kodu, vadīt Smart-ID pieejas kodus. Ja ir radušās bažas, ka iespējams jūsu uzņēmuma internetbankas pieejas kodi ir nonākuši krāpnieku rokās, nekavējoties zvaniet pa tālruni 67444444.
- Vairāk par dažādiem finanšu krāpniecības veidiem un kā no tiem izvairīties uzzini Finanšu nozares asociācijas īpaši izveidotajā mājas lapā Neuzkeries.lv un FKTK mājas lapā.
- Savukārt, lai pārliecinātos, vai platforma ir vai nav īsta, pārbaudot patiesos rādītājus sev tīkamajiem finanšu instrumentiem, var izmantot tādus resursus kā https://investing.com un https://finance.yahoo.com/.