Mądry Polak po szkodzie. W PGZ trwa kontrola, bo księgowi wysłali 4 mln zł na fałszywe konto
Wystarczył mail z prośbą o zmianę konta, by wyłudzić kilka milionów złotych – pracownicy spółki Cenzin, należącej do Polskiej Grupy Zbrojeniowej, dali się podejść jak dzieci.
Phishing to prawdopodobnie najprostszy sposób na wyciągnięcie pieniędzy z firmy. Zabezpieczenia są tak dobre, jak ich najsłabsze ogniwo. A, że zwykle tym najsłabszym punktem jest człowiek...
Ta prawda okazała się aktualna po raz kolejny. RMF FM informuje, że do firmy Cenzin przyszły maile z prośbą o zmianę konta, na które były przelewane pieniądze za dostawy. Wydawać by się mogło, że w sytuacji, w której mówimy o milionowych kwotach, taka operacja powinna podlegać pewnej weryfikacji. Tej jednak prawdopodobnie zabrakło, bo księgowi Cenzin zmienili numer rachunku i w ciągu kolejnych miesięcy przelali łącznie ok. 4 mln zł na konto oszustów.
Gdy spółka zorientowała się, że pieniądze poszły nie tam gdzie trzeba, rozpoczął się błyskawiczny audyt. RMF podaje, że dwie osoby straciły już pracę (w tym osoba odpowiedzialna za bezpieczeństwo), a kolejne dwie dostały naganę. Władze PGZ zmartwiły się też chyba, że takich trupów z szafy wyleci więcej, bo zaczęły weryfikować, czy reszta przelewów idzie aby we właściwe miejsca.
Szkoda tylko, że po raz kolejny słyszymy o tak banalnym sposobie wyprowadzenia potężnych pieniędzy z firmy. Na podobne historie można trafić w mediach niemal co tydzień, a krótkie przeszkolenie pracowników z metod obrony przed atakami phishingowymi nie powinno być chyba poza zasięgiem grupy, która rocznie obraca miliardami złotych.
Nie tylko Polacy.
Żeby jednak nie było, że to problem wyłącznie Polaków. W podobnie banalny sposób dali się podejść w ubiegłym roku pracownicy Lazio Rzym, przelewając oszustom 2 mln euro. Przestępcy podszyli się po prostu pod holenderski Feyenoord Rotterdam i przypomnieli Włochom, że ci wciąż nie zapłacili całej należności za transfer jednego z obrońców. W swojej pomyłce zorientowali się dopiero wtedy, gdy maila z żądaniem spłaty przysłał "właściwy" Feyenoord.
Bardziej wyrafinowanych sztuczek używała za to firma Positive Technologies. W ramach testu rozesłała pracownikom dużych korporacji maile z zainfekowanymi załącznikami (i chwytliwymi tytułami jak np. zwrot podatku). Złamała w ten sposób co 4. osobę.