Ekki „hefðbundin Nígeríusvindl“

Umfang netglæpa eykst sífellt og talið er að áætlað tap …
Umfang netglæpa eykst sífellt og talið er að áætlað tap á heimsvísu frá ársbyrjun 2015 er 350 milljarðar króna. mbl.is/Hanna

Flestar tilkynningar sem berast netbrotadeild lögreglunnar á höfuðborgarsvæðinu vegna tölvuglæpa, eða um 40% tilkynntra brota, eru af tegundinni Bus­iness Email Compromise (BEC) og er sögð ein al­var­leg­asta og arðvæn­leg­asta teg­und tölvu­árása í dag.

Þetta er meðal þess sem fram kom í erindi Daða Gunnarsson, lögreglufulltrúa hjá tölvurannsóknadeild lögreglunnar á höfuðborgarsvæðinu, á morgunverðarfundi Félags atvinnurekenda (FA),  þar sem vakin var athygli á vandanum sem fylgir netglæpum og leiðum til að verjast vefþrjótum og fyrirbyggja að fyrirtæki verði fyrir tjóni.

Að undanförnu hefur nokkuð verið fjallað um hvernig fyrirtæki og stofnanir hafa gengið í gildrur netþrjóta og tapað á því háum fjárhæðum. Margir sem lenda í slíku segja þó aldrei frá því opinberlega og er umfang vandans líklega meira en talið hefur verið.

„Það er ekki næstum því alltaf sem brotin heppnast,“ sagði Daði um BEC-brotin, en hann segir mikilvægt að brot séu tilkynnt til lögreglu, hvort sem þau heppnast eða ekki. Umfang BEC-brotanna hafi aukist undanfarið, ekki síst eftir afnám gjaldeyrishafta.

En hvers konar brot eru BEC-brot? Dæmi um nýlegt slíkt brot uppgötvaðist í Háskólanum á Akureyri fyrir skömmu þegar upp komst að tölvuþrjóti tókst að hafa á aðra milljón króna af skólanum með því að komast inn í tölvupóstsamskipti starfs­manns skól­ans við er­lent fyr­ir­tæki og fá starfs­mann­inn til að milli­færa á til­tek­inn banka­reikn­ing.

Háþróuð svikastarfsemi

Umfang netglæpa eykst sífellt og talið er að áætlað tap á heimsvísu frá ársbyrjun 2015 er 350 milljarðar króna, að því er fram kom í máli Guðnýjar Hjaltadóttur, lögfræðings FA, á fundinum, þar sem hún fór yfir eðli BEC-svika. Um er að ræða svokölluð stjórnendasvindl eða reikningasvindl, þar sem tölvuþrjótar komast inn í tölvupóstssamskipti aðila, kynna sér samskiptasögu og orðfræði þess aðila sem líkja á eftir.

Svikin lýsa sér meðal annars þannig að starfsmaður sem sér vanalegu um greiðslu reikninga fær tölvupóst frá forstjóra fyrirtækisins þar sem hann er beðinn um að leggja ákveðna upphæð inn á ákveðinn reikning. Oft er um raunverulegan reikning að ræða sem viðtakandi á von á, en með breyttum greiðslufyrirmælum.

Guðný segir að mikil þörf sé á vitundarvakningu um tölvupóstssvindl. „Það er stöðugt að bætast í hóp þeirra sem verða fyrir tjóni af þessari glæpastarfsemi. Ekki er um hefðbundið Nígeríusvindl að ræða heldur háþróaða svikastarfsemi sem gengur út á að blekkja fólk til að framkvæma venjulegar aðgerðir,“ sagði Guðný meðal annars í erindi sínu.

Netglæpir felast í að ná viðkvæmum upplýsingum

Valdimar Óskarsson, framkvæmdastjóri Syndis, sem sem aðstoðar fólk og fyrirtæki við að auka öryggi og tölvuvarnir gagnvart óprúttnum aðilum, fór yfir nokkur atriði sem ber að hafa í huga til að verjast tölvuþrjótum.

„Ég get nánast fullyrt að ef tölvuþrjóta ætla að brjóta sér inn leið í fyrirtæki þá tekst þeim það,“ sagði Valdimar. Þá sagði hann netglæpi í dag fyrst og fremst snúast um að ná viðkvæmum upplýsingum, tölvukerfið sjálf eru ekki lengur skotmark, heldur nota tölvuglæpamenn sérstakt orðalag, sálfræði og auglýsingar til að fá fólk í lið með sér.

Valdimar segir mestu máli skipta að vera á varðbergi í tölvupóstsamskiptum og beita rökhugsun. Þá skipti máli að lykilstarfsmenn, svo sem þeir sem sjái um millifærslur fyrirtækja, fái sérstaka fræðslu. Einnig er mikilvægt að skoða póstfangs sendanda tölvupóstsins, sem og reikningsnúmer og skoða eldri færslur og athuga hvort eitthvað hafi breyst.

Breyting á verkferlum sé ef til vill nauðsynleg, svo sem þegar um er að ræða háar upphæðir, en þá er til dæmi hægt að láta tvo starfsmenn samþykkja millifærsluna og virkja tvíþætta auðkenningu á viðkvæm kerfi. Háskólinn á Akureyri hefur til að mynda breytt verkferlum eftir að upp komst um svindlpóstamálið þar og nú þurfa starfsmenn að hringja í yfirmann áður en millifærsla er staðfest.

Hér má horfa á fund FA frá því í morgun í heild sinni, en yfirskrift fundarins var: „Hvernig geta fyrirtæki varist netglæpum?“

mbl.is

Bloggað um fréttina