APP-petosten (Authorized Push Payment) yleistymisestä on tullut merkittävä huolenaihe yrityksille kaikkialla Yhdistyneessä kuningaskunnassa ja sen ulkopuolella. Itse asiassa UK Finance -lehden mukaan "pelkästään vuonna 2022 yrityksiltä varastettiin yli 500 miljoonaa puntaa APP-petosten avulla.
Sean Moriarty, TALOUSJOHTAJA,
AccessPay
Äskettäisessä webinaarissamme Miten torjua APP-huijaukset: Keskustelemalla tehostetusta maksuvalvonnasta talousjohtajan kanssa, me sSean Moriartyn kanssa, AccessPayn talousjohtaja, keskustelemaan APP-petoksista, niiden yleisyydestä ja tehokkaista toimenpiteistä, joita yritykset voivat toteuttaa petosten estämiseksi.
Tässä blogissa syvennytään heidän keskusteluunsa ja tuodaan esiin keskeisimpiä asioita ja strategioita, joista keskusteltiin.Katso koko webinaari on-demand
Mitä on APP-petos?
Valtuutettu push-maksupetos tarkoittaa kehittynyttä järjestelmää, jossa huijari huijaa yritystä lähettämään vapaaehtoisesti varoja petolliselle tilille. Petokseen liittyy usein se, että huijari esiintyy aitona toimittajana, työntekijänä tai rahoituslaitoksena. Yksi tämäntyyppisen petoksen huolestuttavimmista piirteistä on se, että se toimii aidon verukkeella ja käyttää sosiaalista manipulointia ja kehittyneitä teknisiä välineitä petkuttaakseen pahaa-aavistamattomia uhreja, jotka ovat yleensä taloushallinnon työntekijöitä.
Miksi APP-petokset ovat niin yleisiä?
APP-petokset ovat tulleet tunnetuiksi useiden tekijöiden yhdistelmän vuoksi. Huijareiden taloudelliset palkkiot ovat houkuttelevia, sillä jo muutama onnistunut yritys voi johtaa huomattaviin voittoihin. Lisäksi digitaalinen aikakausi on tarjonnut petoksentekijöille runsaasti välineitä suunnitelmiensa toteuttamiseen, kuten mahdollisuuden murtautua sähköpostitileille, luoda väärennettyjä asiakirjoja ja jopa jäljitellä ylimpien johtajien viestintätyylejä. Kun etätyöstä ja sähköisestä viestinnästä on tullut normaalia, myös petosten tekijöiden mahdollisuudet hyödyntää näitä haavoittuvuuksia vain lisääntyvät.
Todellinen esimerkki APP-petoksesta
Seanin talousjohtajan uran aikana hän on nähnyt monia esimerkkejä APP-petoksista.
Yksi hänen talousjohtajakollegoistaan toi äskettäin esiin järkyttävän esimerkin, jossa yrityksen taloushallintotiimi joutui suoraan hyökkäyksen kohteeksi ja kärsi huomattavia taloudellisia tappioita.
Skenaario: APP-huijausjärjestelmän paljastaminen näytön jakamisen avulla
- Yritys: Anonyymi
- Ensimmäinen yhteydenotto: Uhri saa puhelun, joka vaikuttaa olevan Barclaysilta ja jossa ilmoitetaan epäilyttävästä tilitoiminnasta ja estetyistä lähtevistä maksuista.
- Varojen siirtopyyntö: Soittaja suostuttelee uhria siirtämään varoja takaisin yrityksen tilille tililtä, mikä luo kiireen.
- Näytön jakaminen: Huijari ehdottaa näytön jakamista ongelman ratkaisemiseksi tehokkaammin, ja uhri suostuu siihen.
- Näytön manipulointi: Istunnon aikana huijari saa hallinnan ja näyttää maksutapahtumia, jotka näyttivät uhrin mielestä aidoilta, mutta olivat manipuloituja.
- Valtuutuskoodipyyntö: Huijari pyytää uhria syöttämään valtuutuskoodin, joka peittää todelliset hyväksytyt maksutapahtumat.
- Tahaton siirto: Uhri antaa tietämättään luvan erilaisiin liiketoimiin, mikä aiheuttaa yritykselle 200 000 punnan tappion.
Tämä tapaus muistuttaa voimakkaasti siitä, miten tärkeää on toteuttaa oikeat turvatarkastukset, jotta tällaiset huijaukset voidaan estää tulevaisuudessa.
3 tapaa torjua APP-petoksia
Punaisten lippujen ja yleisten taktiikoiden havaitseminen
APP-petoksista on useita esimerkkejä, jotka vaihtelevat kehittyneistä spear phishing -hyökkäyksistä suoriin maksuprosessien manipulointeihin. Nämä todelliset skenaariot korostavat, kuinka tärkeää on pysyä valppaana ja ottaa organisaatioissa käyttöön monikerroksisia puolustusmekanismeja. Tunnistamalla huijareiden käyttämät yleiset taktiikat - kuten kiireen tunteen luominen, henkilötietojen hyödyntäminen ja sähköpostiviestinnän manipulointi - taloushallinnon tiimit voivat tunnistaa mahdolliset huijaukset ennen niiden laajenemista.
Edellä mainitussa tapauksessa on selvää, että uhrin olisi pitänyt soittaa pankkiin takaisin suoraan numeroon, mutta huijarin luoma kiire riitti siihen, että uhri tunsi painetta ratkaista asia nopeasti.
On aina parasta puhua suoraan ylemmän tason kollegalle, jos jokin viestintä tai maksu vaikuttaa epäsäännölliseltä. Tässä tapauksessa yleinen taktiikka oli uhrin "panikoiminen", ja valitettavasti tässä tapauksessa se kannatti.
Sean kertoo tosielämän esimerkin APP Fraudista ja siitä, miten hän voitti sen.
Tehokkaiden puolustusstrategioiden rakentaminen
Jotta APP-petoksia voidaan torjua tehokkaasti, yritysten on omaksuttava kokonaisvaltainen lähestymistapa, joka kattaa sekä työntekijöiden koulutuksen että tekniset ratkaisut. Vahvan yhteistyön luominen talous-, turvallisuus-, IT- ja hallinto-, riski- ja compliance-tiimien (GRC) välille on ratkaisevan tärkeää.
Säännölliset koulutustilaisuudet voivat parantaa työntekijöiden kykyä tunnistaa epäilyttävät toimet ja ilmoittaa niistä. Lisäksi teknologian, kuten maksunsaajan vahvistuspalvelujen, integrointi voi tarjota reaaliaikaisia tilitietojen tarkistuksia, joilla varmistetaan, että maksut ohjataan laillisille vastaanottajille.
Tällaisessa koulutuksessa yksilöt ja organisaatiot saavat tietoa tavanomaisten petostaktiikoiden, kuten phishing-sähköpostien ja manipuloivan viestinnän, tunnistamisesta. Koulutuksessa korostetaan maksupyyntöjen ja vastaanottajan tietojen tarkistamisen tärkeyttä ja edistetään maksunsaajan vahvistuksen (Confirmation of Payee, CoP) kaltaisia käytäntöjä (tästä lisää myöhemmin) petollisten tapahtumien estämiseksi. Lisäksi koulutuksessa opetetaan turvallisia digitaalisia tottumuksia, kuten vankkaa salasanojen hallintaa ja valppautta phishing-hyökkäyksiä vastaan.
Yritysympäristöissä erityiskoulutus lisää työntekijöiden tietoisuutta ja vähentää sisäpiirin uhkien riskiä. Seanin mainitsemassa tapauksessa työntekijät olivat valmistautuneet ja valmiita kyseenalaistamaan tämänkaltaiset phishing-yritykset, koska heillä oli asianmukainen koulutus, mutta tietysti on tilanteita, joissa yritykset eivät ole yhtä onnekkaita. Liettualainen Evaldas Rimasauskas järjesti klassisen yrityssähköpostin vaarantamistapauksen (BEC), jossa hän yhdessä salaliittolaisten kanssa onnistui varastamaan yli $100 miljoonaa euroa Facebookilta ja Googlelta. He esiintyivät taiwanilaisena Quanta Computerina ja lähettivät vakuuttavia phishing-sähköpostiviestejä, jotka sisälsivät väärennettyjä laskuja ja sopimuksia, kahden vuoden ajan vuosina 2013-2015.
Haluatko tietää lisää tehokkaiden puolustusstrategioiden toteuttamisesta?
Lataa ilmainen oppaamme: Käytännön opas valtuutettujen push-maksupetosten torjuntaan
Teknologian hyödyntäminen ennaltaehkäisyssä
Maksunsaajan vahvistamisella (CoP) on keskeinen rooli APP-petosyritysten estämisessä. CoP:n avulla organisaatiot voivat verrata tilinumeroita, lajittelukoodeja ja tilinimiä keskenään varmistaakseen, että ne vastaavat toisiaan. Tekemällä nämä tarkistukset ennen maksujen käynnistämistä yritykset voivat tunnistaa epäjohdonmukaisuudet ja estää varojen päätymisen petollisille tileille; tämä toimii vankkana todentamiskerroksena. Kaikki nimivirheet aiheuttavat hälytyksen, joka kehottaa maksajaa tarkistamaan, että kyseessä on
liiketoimi. CoP estää huijareiden käyttämät sosiaaliset manipulointitaktiikat ja parantaa jäljitettävyyttä rikkomustapauksissa.
Jos tämän uhrin ryhmä olisi päättänyt suorittaa maksun, CoP-ominaisuus olisi ollut ratkaisevan tärkeä organisaation suojaamiseksi. Se olisi huomauttanut epäjohdonmukaisuuksista tilin nimen ja maksettavan henkilön välillä ja estänyt maksun hyväksymisen, kunnes nämä tiedot olisi tarkistettu.
Lisätietoja CoP:n käyttöönotosta ja automatisoinnista talousprosesseissasi löydät täältä.
APP-petokset aiheuttavat merkittäviä riskejä kaikenkokoisille yrityksille ja toimialoille. Organisaatiot voivat kuitenkin pienentää riskiä joutua näiden kehittyneiden järjestelmien uhreiksi, jos ne noudattavat ennakoivaa lähestymistapaa, jossa yhdistyvät työntekijöiden koulutus ja teknologiapohjaiset ratkaisut.
Ylläpitämällä tiivistä yhteistyötä talous- ja tietoturvaryhmien välillä ja hyödyntämällä CoP:n kaltaisia kehittyneitä työkaluja yritykset voivat vahvistaa puolustustaan ja suojella omaisuuttaan jatkuvasti läsnä olevalta petosuhalta.
Lue lisää maksunsaajan vahvistamisesta ja tavoista, joilla voit havaita epäilyttävät maksutapahtumat ennen niiden toteuttamista. Fraud & Error Prevention Suite.