کلاهبرداری APP چیست؟
جرایم سایبری تهاجمی است. به خانه های ما نفوذ می کند، به دفاتر ما نفوذ می کند و به دستگاه های تلفن همراه ما نفوذ می کند – قربانیان را گیج می کند. آسیب پذیر؛ ویران شده است و اکنون این بزرگترین جنایت در کشور ما است.
پرداختهای مستقیم مجاز (APP) نوعی کلاهبرداری سایبری است که در آن افراد فریب میخورند تا پولی را به مجرمان بپردازند و معتقدند که این یک پرداخت قانونی است. با توجه به تاید (آگوست 2018)، تنها در سال 2017 نزدیک به 44000 مورد کلاهبرداری APP گزارش شده است که برای کسب و کارهای کوچک بیش از 236 میلیون پوند هزینه داشته است.
در حال حاضر هیچ اقدام اصلاحی وجود ندارد. برخلاف سایر انواع کلاهبرداری های مالی، بانک ها و موسسات مالی همیشه نمی توانند پول خود را پس بگیرند و مجبور نیستند قربانیان کلاهبرداری APP را بازپرداخت کنند.
چرا چنین است زیرا تمام تقصیر و مسئولیت بر عهده شخصی است که پرداخت را مجاز کرده است، تنها یک چهارم از 44000 مورد گزارش شده توسط شرکت های خدمات مالی بازیابی شده است.
راستش این اتفاق برای ما افتاد
من 10 سال است که Pillow May را اجرا میکنم، فراز و نشیبهای خود را داشتهایم، اما هرگز به اندازه زمانی که فهمیدم قربانی یک کلاهبرداری APP شدهایم احساس نابودی نکردهام.
من تازه در وین سوار قایق می شدم تا برای اولین قسمت از تعطیلات تابستانی خود با خانواده ام به براتیسلاوا سفر کنم که تماسی دریافت کردم که همه از آن می ترسیم. یکی از اعضای تیمم به من هشدار داد که امروز صبح یک کلاهبرداری سایبری کشف کردند. بدتر از آن، پرداخت های متقلبانه ای که ما مجوز داده بودیم از طرف یکی از مشتریان ما بود – ما حلقه آسیب پذیر بودیم.
پس از بررسی، مشخص شد که اگرچه دلیل اصلی این کلاهبرداری هک کردن سیستم ایمیل مشتری ما بود، اما تنها به دلیل سیستم های ضعیف در Pillow May موفق بود. همانطور که در مورد اکثر کلاهبرداری های APP گزارش شده است – بانک قادر به ارائه هرگونه غرامت پولی به مشتری برای جرم نبود.
نتیجه
خوشبختانه، بهبودی مالی برای مشتری ما وجود داشت، اما در مورد چیزهایی که از نظر مالی نمی توانید آن را اصلاح کنید، چه می شود.
مشتری ما بسیار سخاوتمند بود و زمانی را با ما به اشتراک گذاشت تا به ما در بهبود سیستم هایمان کمک کند. ما دقیقاً بررسی کردیم که چه چیزی اشتباه رخ داده است و سپس با هم بحث کردیم که چگونه سیستم می تواند بهبود یابد.
برای من روشن بود که برای پیشرفت باید درس های مثبتی از این حادثه بگیریم. من از نزدیک به فرآیندهای داخلی، سیاست های امنیتی، میزان پوشش بیمه سایبری و فرهنگ کسب و کارمان نگاه کردم.
دانش من از حملات سایبری
1. مطمئن شوید که کسب و کار شما دارای بیمه و امنیت مناسب است
از زمان حمله، ما اکنون بیمه مسئولیت سایبری که پرداخت های متقلبانه را پوشش می دهد، گرفته ایم. اگرچه ما در آن زمان تحت پوشش بیمه غرامت حرفه ای خود بودیم، اگر پرداخت های تقلبی تامین کننده متعلق به Pillow May بود، ما تحت پوشش قرار نمی گرفتیم.
بیمهگران فهرستی از اقدامات امنیتی را در اختیار ما قرار دادند که باید در کارمان پیادهسازی کنیم، مانند تغییر گذرواژه اصلی هر 90 روز.
2. کارکنان خود را آموزش دهید و آموزش دهید
کل فرهنگ شرکت خود را در مورد کلاهبرداری سایبری آگاه و هوشیار کنید. هرکسی که بتواند برای شرکت یا از طرف مشتریان شما مجوز یا پرداخت انجام دهد باید آموزش ببیند.
ما یک جلسه آموزشی تیم حسابداری برگزار کردیم که در آن دقیقاً چه چیزی اشتباه رخ داد را بررسی کردیم و در مورد چگونگی جلوگیری از تکرار مجدد آن بحث کردیم، مانند درک ماهیت هر معامله برای اطمینان از سازگاری آن با معاملات عادی تجاری مشتریان و خطر. اتکای بیش از حد به ایمیل
3. از پرسیدن سوال نترسید
این شاید من را به بزرگترین درس برای ما می رساند که از پرسیدن نترسید. اگر پرداختها هشدارهایی را نشان میدهند؛ مانند مبلغی بیشتر از حد معمول، تامین کننده جدید یا حساب بانکی جدید، هرگز از برداشتن تلفن برای چک کردن نترسید. یک تماس سریع با مشتری یا فروشنده خود با استفاده از اطلاعات تماس تاریخی می تواند به راحتی مشروعیت را تأیید کند.
متأسفانه کلاهبرداری APP که ما نیز قربانی آن شدیم بسیار پیچیده بود، زیرا آنها از داده های تاریخی واقعی مشتری استفاده می کردند، اما گاهی اوقات اشتباهات املایی یا دستوری آشکاری وجود دارد که می توانید آنها را تشخیص دهید، بنابراین کارکنان خود را تشویق کنید تا نسبت به خطاهای موجود در فاکتورها/ایمیل ها به عنوان یک پرچم هشدار هوشیار باشند. .
4. درباره سیستم ها و سیاست های داخلی خود تحقیق کنید
قربانی شدن در یک حمله سایبری تا حد زیادی خارج از کنترل شما است، اما نحوه واکنش شما به اتفاقات رخ داده می تواند تجربه را به چیزی مثبت تبدیل کند، مانند دلیلی که باید سیستم های داخلی خود را بررسی کنید. ما دقیقاً این کار را انجام دادیم و متعاقباً بررسیهای امنیتی، خطمشیها و بهروزرسانیهای اضافی و همچنین یک سند تعهد حسابداری جدید را معرفی کردیم.
یکی از مهمترین تغییراتی که ما معرفی کردهایم، مجوز دوگانه بانکی برای همه مشتریان حسابداری است و ما همه مشتریان خود را تشویق میکنیم که در صورت پردازش پرداختهای داخلی، همین کار را انجام دهند. این به دلیل عدم اعتماد نیست، بلکه برای جلوگیری از مسئول شدن یک فرد برای پرداخت متقلبانه است.
تأیید دو مرحلهای باید بدون در نظر گرفتن درجه دستمزد انجام شود، زیرا کلاهبرداری مدیر عامل به طور مرتب اتفاق میافتد. همچنین باید در نظر بگیرید که مجوز بانک در طول مرخصی کارکنان چگونه کار می کند.
از ما یاد بگیرید
من واقعاً امیدوارم که با به اشتراک گذاشتن چنین جزئیات خاصی در مورد تجربه خودمان در مورد حمله سایبری، همه مشتریان ما چیزهایی را که ما آموختهایم در نظر بگیرند و در تجارت خود برای شناسایی هرگونه ضعف سایبری گام بردارند. متأسفانه، من فکر میکنم این موضوع فقط مربوط به زمانی است که مورد حمله قرار میگیرید، نه اگر، اما اقدامات پیشگیرانه ساده مانند تشویق کارکنان به زیر سوال بردن پرداختهای غیرعادی میتواند بسیار مؤثر باشد یا حداقل دامنه مالی هر حمله را محدود کند.
لطفاً اگر کسی از Pillow May برای تأیید پرداخت در آینده با شما تماس گرفت، ناراحت نشوید، ما تمام تلاش خود را میکنیم تا در برابر این جنایت رو به رشد بیشتر هوشیار باشیم.