Odsłuchaj ten artykuł
Fot. Depositphotos
Coraz więcej wyłudzeń w branży transportowej. Nie daj się nabrać na fałszywy e-mail
Firmy z branży transportowej, podobnie jak z innych sektorów, coraz częściej stają się celem cyberprzestępców, którzy wykorzystują fałszywe e-maile do wyłudzania pieniędzy. Jedną z powszechnych metod jest tzw. fraud email lub phishing, w której przestępcy podszywają się pod pracowników lub kontrahentów, by przekierować płatność na swoje konto.
Zastosowanie tej metody w transporcie bywa szczególnie skuteczne z uwagi na wysoką częstotliwość transakcji oraz międzynarodowy charakter współpracy, co często utrudnia wykrycie oszustwa. A mechanizm tego rodzaju oszustwa jest stosunkowo prosty.
– Oszuści podszywają się pod osobę lub firmę (najczęściej dostawcę usług lub towarów), by przechwycić płatność, która zgodnie z umową powinna trafić na konto rzeczywistego odbiorcy. Przestępcy uzyskują dostęp do skrzynek e-mailowych lub tworzą adres e-mail łudząco podobny do prawdziwego (na przykład ze zmienioną jedną literą lub rozszerzeniem domeny), a następnie wysyłają wiadomość z instrukcją przelewu na „nowe” konto bankowe – mówi Paulina Eliasz-Pietrusewicz, radca prawny z TC Kancelarii Prawnej.
Najczęściej schematy te obejmują fałszywe faktury – oszust wysyła e-mail z fakturą wyglądającą jak oryginalna, często z pozornie autentycznymi danymi nadawcy, jednak z podanym fałszywym numerem konta.
Niebezpieczne są również instrukcje zmiany rachunku bankowego – przestępcy informują, że rachunek bankowy dostawcy uległ zmianie i proszą o przelanie środków na nowy, fałszywy rachunek.
Wykorzystywane jest także podszywanie się pod osoby zarządzające. Przestępca wysyła wiadomość, w której podszywa się pod członka zarządu lub dyrektora finansowego, polecając pilny przelew na podany rachunek.
Przelew na fałszywy numer konta – wyrok sądu
W Polsce doszło niedawno do sytuacji, w której firma transportowa padła ofiarą oszustwa. Po otrzymaniu wiadomości z adresu e-mail, którego nadawca podszywał się pod kluczowego dostawcę, firma przelała należność na fałszywy rachunek w innym kraju. Przestępcy wykorzystali lukę w zabezpieczeniach e-mailowych oraz brak procedur weryfikacji płatności.
Ostatecznie sprawa trafiła do sądu. Przewoźnik pozwał swojego kontrahenta, który wysłał wynagrodzenie na numer konta wskazany w fałszywym mailu, zamiast na konto na fakturze. Kontrahent tłumaczył się, że wraz z przypomnieniem o płatności otrzymał fakturę z nowym numerem konta z adresu mailowego, z którego wcześniej otrzymywał wiadomości mailowe od przewoźnika. Z tego powodu kontrahent uznał, że spełnił świadczenie i nie ma obowiązku płacić za tą samą usługę drugi raz.
Sąd uznał jednak, że kontrahent ponosi odpowiedzialność za weryfikację danych do przelewu i powinien był zachować większą ostrożność. Nawet jeśli padł ofiarą oszustwa, nie spełnił swojego zobowiązania wobec przewoźnika. Skoro kontrahent nie zachował szczególnej ostrożności przy weryfikacji konta, powinien ponownie zapłacić powodowi, który nie otrzymał przelanych środków. (Wyrok Sądu Rejonowego w Kaliszu z 30 listopada 2022 r. sygn. akt: V GC 460/18).
Transport szczególnie podatny na wyłudzenia
Przyczynę tego stanu rzeczy radca prawny z TC Kancelarii Prawnej dostrzega w specyfice sektora TSL.
– Branża transportowa wiąże się z częstymi i szybkimi transakcjami międzynarodowymi. Zlecenia są realizowane w różnych krajach i na dużą skalę, co zwiększa trudność w śledzeniu wszystkich płatności i komunikacji. W takich warunkach trudno wychwycić fałszywe wiadomości, zwłaszcza gdy oszuści dobrze przygotują wiadomość – na przykład załączając dokumenty wyglądające na prawdziwe faktury i listy przewozowe – mówi Paulina Eliasz-Pietrusewicz.
Dodatkowo transport wymaga współpracy z wieloma partnerami, co zwiększa szansę, że oszustwo zostanie przeoczone. Przestępcy często korzystają z momentów, gdy firmy działają pod presją, np. z konieczności szybkiej dostawy lub opłacenia usług w terminie, by wywołać pośpiech i zmniejszyć szansę na weryfikację danych.
Można się ustrzec przed wyłudzeniami na fałszywy e-mail
Ochrona przed phishingiem i wyłudzeniami w branży transportowej wymaga szeregu środków ostrożności oraz wdrożenia specjalnych procedur. Pierwszą i podstawową linią obrony jest edukacja, czyli szkolenia dla pracowników. Muszą oni wiedzieć, jak rozpoznawać potencjalnie podejrzane e-maile, szczególnie te zawierające instrukcje dotyczące płatności.
Ważna jest też weryfikacja zmian w danych płatniczych – każde zgłoszenie dotyczące zmiany rachunku bankowego powinno być zweryfikowane przez kontakt telefoniczny z osobą, która wystawiła fakturę. Jest to szczególnie istotne, gdy wiadomość pojawia się w niespodziewanym momencie lub od kontrahenta, z którym kontakt był dotychczas rzadki.
Ponadto, każda zmiana w rachunku bankowym czy warunkach płatności powinna przechodzić przez dedykowaną osobę w firmie, odpowiedzialną za weryfikację tych informacji. Pracownicy działów finansowych powinni być szkoleni, by na każdą niecodzienną prośbę o zmianę danych reagować z ostrożnością i weryfikować prawdziwość zgłoszenia.
Trzeba także pamiętać o stosowaniu bezpiecznych kanałów komunikacji. Korzystanie z systemów do zarządzania finansami z dwuskładnikową weryfikacją oraz odpowiednimi zabezpieczeniami może pomóc uniknąć sytuacji, w której ktoś uzyskuje dostęp do poufnych informacji lub przejmuje komunikację mailową.
Oprócz tego regularne monitorowanie wszelkich zmian w danych dostawców i klientów może pomóc w szybszym wykryciu oszustw. W przypadku wszelkich podejrzeń, należy dokładnie sprawdzić wszystkie dane kontaktowe, by wykluczyć, że są fałszywe.
Schemat działania w przypadku podejrzenia wyłudzenia
Jeśli firma transportowa odkryje, że padła ofiarą wyłudzenia, kluczowe jest natychmiastowe podjęcie kilku kroków. Wpierw niezwłoczne zgłośmy to do banku – może zwiększyć szanse na cofnięcie przelewu, jeśli oszustwo zostanie wykryte wystarczająco wcześnie. Potem należy zawiadomić policję. Cyberprzestępstwa, takie jak wyłudzenie środków, powinny być zgłaszane organom ścigania. W przypadku działań międzynarodowych policja może uruchomić współpracę z zagranicznymi służbami
Ważna jest też analiza incydentu i wzmocnienie zabezpieczeń. Każda firma, która doświadczyła wyłudzenia, powinna przeprowadzić audyt bezpieczeństwa i wdrożyć dodatkowe procedury, by zapobiec oszustwom w przyszłości.