Stigningen i svindel med autoriserede push-betalinger (APP) er blevet et stort problem for virksomheder i og uden for Storbritannien. Faktisk har UK Finance ifølge "Alene i 2022 blev der stjålet mere end 500 millioner pund fra virksomheder via APP-svindel.
Sean Moriarty, CFO,
AccessPay
I vores seneste webinar Sådan afværger du APP-svindel: Tal om forbedrede betalingskontroller med en CFO, vi sJeg er på vej ned med Sean Moriarty, Chief Financial Officer hos AccessPay, for at diskutere APP-svindel, dens udbredelse og de effektive foranstaltninger, virksomheder kan træffe for at forhindre det.
Denne blog dykker ned i deres samtale og fremhæver de vigtigste resultater og strategier, der blev diskuteret.Se hele webinaret on-demand
Hvad er APP-svindel?
Svindel med autoriserede push-betalinger er et sofistikeret system, hvor en svindler narrer en virksomhed til frivilligt at sende penge til en falsk konto. Bedrageriet involverer ofte, at svindleren udgiver sig for at være en ægte leverandør, medarbejder eller finansiel institution. Et af de mest bekymrende aspekter ved denne type svindel er, at den foregår under dække af autenticitet og er afhængig af social engineering-taktikker og avancerede teknologiske værktøjer til at narre intetanende ofre, normalt inden for økonomiteamet.
Hvorfor er APP-svindel så udbredt?
APP-svindel har vundet frem på grund af en kombination af faktorer. De økonomiske belønninger for svindlere er tillokkende, da selv et par vellykkede forsøg kan føre til betydelige gevinster for en person. Desuden har den digitale æra givet svindlere rigeligt med værktøjer til at udføre deres planer, herunder evnen til at hacke sig ind på e-mailkonti, oprette falske dokumenter og endda efterligne ledende medarbejderes kommunikationsstil. I takt med at fjernarbejde og elektronisk kommunikation er blevet normen, er svindlernes muligheder for at udnytte disse sårbarheder også kun blevet større.
Et eksempel fra den virkelige verden på APP-svindel
I løbet af Seans karriere som CFO har han set mange eksempler på APP-svindel.
En af hans andre CFO-kontakter fremhævede for nylig et chokerende eksempel, hvor en virksomheds økonomiteam blev direkte angrebet og led et betydeligt økonomisk tab.
Scenariet: Afsløring af en APP-svindelordning med skærmdeling
- Virksomhed: Anonym
- Indledende kontakt: Offeret modtager et opkald, der ser ud til at være fra Barclays, og rapporterer mistænkelig kontoaktivitet og blokerede udgående betalinger.
- Anmodning om pengeoverførsel: Den, der ringer op, overbeviser offeret om, at det haster med at overføre penge fra en konto til virksomhedens konto.
- Deling af skærm: Svindleren foreslår en skærmdelingssession for at løse problemet mere effektivt, og offeret indvilliger.
- Manipulation af skærmen: I løbet af sessionen får svindleren kontrol og viser transaktioner, der virkede ægte for offeret, men som var manipulerede.
- Anmodning om autorisationskode: Svindleren beder offeret om at indtaste en autorisationskode, som skjuler de faktiske transaktioner, der bliver godkendt.
- Utilsigtet overførsel: Offeret kommer uforvarende til at godkende forskellige transaktioner, hvilket resulterer i et tab på 200.000 pund for virksomheden.
Denne hændelse er en stærk påmindelse om, hvor vigtigt det er at implementere de rigtige sikkerhedstjek for at forhindre sådanne svindelnumre i fremtiden, en lektie vi vil uddybe yderligere, når vi deler eksempler på forebyggende foranstaltninger.
3 måder, du kan bekæmpe APP-svindel på
Spotte de røde flag og almindelige taktikker
Der er flere eksempler på APP-svindel, lige fra sofistikerede spear phishing-angreb til direkte manipulation af betalingsprocesser. Disse scenarier fra den virkelige verden understreger, hvor vigtigt det er at være på vagt og implementere forsvarsmekanismer i flere lag i organisationer. Ved at genkende de almindelige taktikker, som svindlere bruger - såsom at skabe en følelse af, at det haster, udnytte personlige oplysninger og manipulere e-mailkommunikation - kan økonomiteams identificere potentielle svindelnumre, før de eskalerer.
I det ovennævnte tilfælde er det tydeligt, at offeret burde have ringet tilbage til banken på et direkte nummer, men den hast, svindleren skabte, var nok til, at offeret følte sig presset til at løse problemet hurtigt.
Det er altid bedst at tale direkte med en mere erfaren kollega, hvis en kommunikation eller betaling virker uregelmæssig. Her var den almindelige taktik at "skabe panik" hos offeret, og i dette tilfælde gav det desværre pote.
Sean giver et eksempel fra det virkelige liv på APP-svindel, og hvordan han overvandt det.
Opbygning af effektive forsvarsstrategier
For at bekæmpe APP-svindel effektivt er virksomheder nødt til at vedtage en omfattende tilgang, der omfatter både medarbejderuddannelse og teknologiske løsninger. Det er afgørende at etablere et stærkt samarbejde mellem økonomi-, sikkerheds-, IT- og GRC-teams (governance, risk and compliance).
Regelmæssige træningssessioner kan forbedre medarbejdernes evne til at identificere og rapportere mistænkelige aktiviteter. Derudover kan integration af teknologi, såsom bekræftelse af betalingsmodtager-tjenester, give realtidskontrol af kontooplysninger og sikre, at betalinger sendes til legitime modtagere.
En sådan uddannelse udstyrer enkeltpersoner og organisationer med viden til at identificere almindelige svindeltaktikker, herunder phishing-e-mails og manipulerende kommunikation. Den understreger vigtigheden af at verificere betalingsanmodninger og modtageroplysninger og fremmer praksisser som Confirmation of Payee (CoP) (mere om dette senere) for at forhindre svigagtige transaktioner. Derudover indgyder træningen til sikre digitale vaner, såsom robust administration af adgangskoder og årvågenhed over for phishing-angreb.
I virksomheder øger specialiseret træning medarbejdernes bevidsthed og reducerer risikoen for insidertrusler. I det tilfælde, Sean nævnte, var hans medarbejdere forberedt og klar til at afvise phishing-forsøg af den art, da de havde fået den korrekte træning, men der er selvfølgelig situationer, hvor virksomheder ikke er så heldige. En litauisk mand, Evaldas Rimasauskas, orkestrerede et klassisk tilfælde af business email compromise (BEC), hvor han sammen med medsammensvorne havde held til at stjæle over $100 millioner fra Facebook og Google. De udgav sig for at være Taiwan-baserede Quanta Computer og sendte overbevisende phishing-mails med forfalskede fakturaer og kontrakter over to år fra 2013 til 2015.
Vil du vide mere om, hvordan du implementerer effektive forsvarsstrategier?
Download vores gratis guide: Den praktiske vejledning i bekæmpelse af svindel med autoriserede push-betalinger
Udnyttelse af teknologi til forebyggelse
Bekræftelse af betalingsmodtager (CoP) spiller en afgørende rolle i at afværge forsøg på APP-svindel. CoP giver organisationer mulighed for at krydsreferere kontonumre, sorteringskoder og kontonavne for at sikre, at de matcher. Ved at udføre disse kontroller, før betalingskørsler påbegyndes, kan virksomheder identificere uoverensstemmelser og forhindre, at midler når frem til svigagtige konti; det fungerer som et robust autentificeringslag. Enhver uoverensstemmelse mellem navne udløser en alarm, der beder betaleren om at verificere
transaktion. CoP afværger social engineering-taktikker, som svindlere bruger, og forbedrer sporbarheden i tilfælde af et brud.
Hvis dette offers team havde besluttet at foretage en betaling, ville CoP-funktionen have været afgørende for at beskytte organisationen. Den ville have markeret uoverensstemmelserne mellem kontonavnet og den person, der blev betalt, og stoppet betalingen fra at blive godkendt, indtil disse detaljer blev gennemgået.
Læs mere om, hvordan du implementerer og automatiserer CoP i dine finansielle processer her.
APP-svindel udgør en betydelig risiko for virksomheder i alle størrelser og brancher. Men med en proaktiv tilgang, der kombinerer uddannelse af medarbejdere og teknologidrevne løsninger, kan organisationer mindske risikoen for at blive offer for disse sofistikerede ordninger.
Ved at opretholde et stærkt samarbejde mellem finans- og sikkerhedsteams og udnytte avancerede værktøjer som CoP, kan virksomheder styrke deres forsvar og beskytte deres aktiver mod den evigt tilstedeværende trussel om svindel.
Find ud af mere om bekræftelse af betalingsmodtager, og hvordan du kan opdage mistænkelige transaktioner, før de foretages, med vores Suite til forebyggelse af svindel og fejl.