Fałszywe adresy e-mail są narzędziem wykorzystywanym przez cyberprzestępców. Ich celem staje się każdy sektor gospodarki, a zatem także branża transportowa. Fałszywe e-maile służą do wyłudzania pieniędzy. Jedną z powszechnych metod jest podszywanie się pod pracowników lub kontrahentów, by przekierować płatność na swoje konto. Niestety w transporcie metoda ta bywa szczególnie skuteczna. Dzieje się tak z uwagi na częste transakcje oraz międzynarodowy charakter współpracy, a to utrudnia wykrycie oszustwa.
Jak działa wyłudzanie środków na fałszywy adres email? Okazuje się, że mechanizm tego rodzaju oszustwa jest stosunkowo prosty.
– Oszuści podszywają się pod osobę lub firmę (najczęściej dostawcę usług lub towarów), by przechwycić płatność, która zgodnie z umową powinna trafić na konto rzeczywistego odbiorcy. Przestępcy uzyskują dostęp do skrzynek e-mailowych lub tworzą adres e-mail łudząco podobny do prawdziwego (na przykład z minimalnie zmienioną literą lub rozszerzeniem domeny), a następnie wysyłają wiadomość z instrukcją przelewu na „nowe” konto bankowe – mówi Paulina Eliasz-Pietrusewicz, radca prawny z TC Kancelarii Prawnej.
Uważaj na faktury i rachunki bankowe
Najczęściej schematy te obejmują fałszywe faktury. Oszust wysyła e-mail z fakturą wyglądającą jak oryginalna, często z pozornie autentycznymi danymi nadawcy, jednak z podanym fałszywym numerem konta.
Niebezpieczne są również instrukcje zmiany rachunku bankowego. Przestępcy informują, że rachunek bankowy dostawcy uległ zmianie i proszą o przelanie środków na nowy, fałszywy rachunek.
Wykorzystywane jest także podszywanie się pod osoby zarządzające. Przestępca wysyła wiadomość, w której podszywa się pod członka zarządu lub dyrektora finansowego, polecając pilny przelew na podany rachunek.
Fałszywe adresy e-mail, fałszywe numery konta, a co na to sąd?
W Polsce doszło niedawno do sytuacji, w której firma transportowa padła ofiarą oszustwa. Po otrzymaniu wiadomości z adresu e-mail, którego nadawca podszywał się pod kluczowego dostawcę, firma przelała należność na fałszywy rachunek w innym kraju. Przestępcy wykorzystali lukę w zabezpieczeniach e-mailowych oraz brak procedur weryfikacji płatności. Ostatecznie sprawa trafiła do sądu.
Przewoźnik pozwał swojego kontrahenta, który wysłał wynagrodzenie na numer konta wskazany w fałszywym mailu, zamiast na konto na fakturze. Kontrahent tłumaczył się, że wraz z przypomnieniem o płatności otrzymał fakturę z nowym numerem konta. Mail przyszedł z adresu, z którego wcześniej otrzymywał wiadomości mailowe od przewoźnika. Z tego powodu kontrahent uznał, że spełnił świadczenie i nie ma obowiązku płacić za tą samą usługę drugi raz. Sąd uznał jednak, że kontrahent ponosi odpowiedzialność za weryfikację danych do przelewu i powinien był zachować większą ostrożność. Nawet jeśli padł ofiarą oszustwa, nie spełnił swojego zobowiązania wobec przewoźnika. Skoro kontrahent nie zachował szczególnej ostrożności przy weryfikacji konta, powinien ponownie zapłacić powodowi, który nie otrzymał przelanych środków. (Wyrok Sądu Rejonowego w Kaliszu z dnia 30.11.2022 sygn akt:V GC 460/18)
Transport szczególnie podatny na wyłudzenia
Przyczynę tego stanu rzeczy radca prawny z TC Kancelarii Prawnej dostrzega w specyfice sektora TSL. Branża transportowa wiąże się z częstymi i szybkimi transakcjami międzynarodowymi. Zlecenia są realizowane w różnych krajach i na dużą skalę. To zwiększa trudność w śledzeniu wszystkich płatności i komunikacji. W takich warunkach trudno wychwycić fałszywe wiadomości, zwłaszcza gdy oszuści dobrze przygotują wiadomość. Załączają na przykład dokumenty wyglądające na prawdziwe faktury i listy przewozowe.
Dodatkowo transport wymaga współpracy z wieloma partnerami, co zwiększa szansę, że oszustwo zostanie przeoczone. Przestępcy często korzystają z momentów, gdy firmy działają pod presją, np. z konieczności szybkiej dostawy lub opłacenia usług w terminie, by wywołać pośpiech i zmniejszyć szansę na weryfikację danych.
Jak chronić się przed wyłudzeniami?
Ochrona przed podszywaniem i wyłudzeniami w branży transportowej wymaga szeregu środków ostrożności oraz wdrożenia specjalnych procedur. Pierwszą i podstawową linią obrony jest edukacja, czyli szkolenia dla pracowników. Muszą oni wiedzieć, jak rozpoznawać potencjalnie podejrzane e-maile, szczególnie te zawierające instrukcje dotyczące płatności. Ważna jest też weryfikacja zmian w danych płatniczych. Każde zgłoszenie dotyczące zmiany rachunku bankowego powinno być zweryfikowane przez kontakt telefoniczny z osobą, która wystawiła fakturę. Jest to szczególnie istotne, gdy wiadomość pojawia się w niespodziewanym momencie lub od kontrahenta, z którym kontakt był dotychczas rzadki. Ponadto, każda zmiana w rachunku bankowym czy warunkach płatności powinna przechodzić przez dedykowaną osobę w firmie. Taką, która odpowiada za weryfikację tych informacji. Pracownicy działów finansowych powinni przechodzić szkolenia, by na każdą niecodzienną prośbę o zmianę danych reagować z ostrożnością i weryfikować prawdziwość zgłoszenia.
Pamiętajmy także o stosowaniu bezpiecznych kanałów komunikacji. Korzystanie z systemów do zarządzania finansami z dwuskładnikową weryfikacją (2FA) oraz odpowiednimi zabezpieczeniami jest wskazane. Może to pomóc uniknąć sytuacji, w której ktoś uzyskuje dostęp do poufnych informacji lub przejmuje komunikację mailową.
Zwróćmy uwagę również na regularne monitorowanie wszelkich zmian w danych dostawców i klientów. Może to pomóc w szybszym wykryciu oszustw. W przypadku wszelkich podejrzeń, należy dokładnie sprawdzić wszystkie dane kontaktowe, by wykluczyć, że są fałszywe.
Fałszywe adresy e-mail wyłudziły ode mnie pieniądze. Co mam robić?
Jeśli firma transportowa odkryje, że padła ofiarą wyłudzenia, kluczowe jest natychmiastowe podjęcie kilku kroków. Niezwłoczne zgłoszenie sprawy do banku może zwiększyć szanse na cofnięcie przelewu. Potem należy zawiadomić policję. Cyberprzestępstwa, takie jak wyłudzenie środków, powinny być zgłaszane organom ścigania. W przypadku działań międzynarodowych policja może uruchomić współpracę z zagranicznymi służbami
Ważna jest też analiza incydentu i wzmocnienie zabezpieczeń. Każda firma, która doświadczyła wyłudzenia, powinna przeprowadzić audyt bezpieczeństwa i wdrożyć dodatkowe procedury, by zapobiec przyszłym oszustwom.
Skutki wyłudzeń e-mailowych mogą być dla firm transportowych bardzo dotkliwe. Oprócz bezpośredniej straty finansowej firmy ponoszą dodatkowe koszty związane z dochodzeniem i odzyskiwaniem środków. Jest to szczególnie trudne w przypadku oszustw międzynarodowych. Takie incydenty mogą negatywnie wpłynąć na relacje biznesowe, jeśli firmy nie są w stanie wypełnić swoich zobowiązań płatniczych.
Jeśli sprawa trafi do sądu, proces dochodzenia swoich praw jest długotrwały, a zwrot środków – niepewny.
Paulina Eliasz-Pietrusewicz uczula, że skuteczna obrona przed tego typu przestępstwami wymaga przede wszystkim edukacji pracowników. Konieczne są też skrupulatne procedury weryfikacyjnych oraz szybkie reagowanie na podejrzane sytuacje. Działania te mogą nie tylko zapobiec znacznym stratom finansowym, ale również zwiększyć poziom bezpieczeństwa współpracy na międzynarodowych rynkach. Zastosowanie zaawansowanych systemów antyfraudowych oraz współpraca z instytucjami finansowymi i agencjami ścigania może w znacznym stopniu zmniejszyć liczbę tego typu incydentów.