Laskutushuijaukset lisääntyvät kesäisin - näin suojaudut huijauksilta

Tietoturva Nyt!

Yritysten rahaliikenteeseen kohdistuvat huijaukset lisääntyvät kesän lomakauden aikana. Pitäkää huolta siitä, että organisaationne maksukäytännöt ovat kaikkien työntekijöiden tiedossa.

Huijauksen kohteeksi voi joutua minkä kokoinen yritys tahansa toimialasta riippumatta.

BEC-huijauksissa (business email compromise) rahaliikennettä hoitavalle henkilölle, kuten kirjanpitäjälle lähetetään esimerkiksi toimitusjohtajan tai yhteistyökumppanin nimissä kehotus maksaa laskuja tai siirtää rahaa. Lähetetyt viestit voivat olla täysin aidon näköisiä ja näyttää siltä, että ne olisi lähetetty yrityksen sisältä tai yhteistyökumppaneilta. Sähköpostiviestejä voi seurata puhelu uskottavan kuuloiselta henkilöltä. Hän saattaa esimerkiksi pyytää työntekijää nopeuttamaan maksusuoritusta.

Valelasku voi näyttää päällisin puolin aidolta, mutta todellisuudessa siinä laskutetaan palveluista, joita vastaanottaja ei ole tilannut. Huijarit lähettävät valelaskuja massapostituksina siinä toivossa, että vastaanottajat maksavat ne epähuomiossa.

Huijari voi vedota kiireeseen ja väittää, että viestin vastaanottaja olisi ainoa riittävän luotettava henkilö hoitamaan asian.

Tyypillisesti huijaukset ajoittuvat loma-ajoille. Tehokkain tapa suojautua laskutushuijauksilta, on suhtautua sähköpostitse tuleviin maksupyyntöihin varauksella ja varmistaa asia epäselvissä tapauksissa puhelimitse ja alkuperäisiä laskuttajan yhteystietoja käyttämällä.

Huijarin kanssa voi joutua juttusille myös puhelimessa

Teknisesti BEC-huijauksia on ainakin neljää eri tyyppiä. Kehittyneemmissä versioissa rikollinen on murtautunut esimerkiksi yrityksen johtajan tai yhteistyökumppanin sähköpostitilille. Koska huijareilla on pääsy sähköpostiviesteihin, he voivat käyttää vakuuttavaa kieltä sekä sisältöä viesteissä.

Vähemmän teknisissä versioissa huijarit väärentävät sähköpostiosoitteet näyttämään sellaisilta, että ne näyttävät tulevan esimerkiksi yrityksen johtajalta. On myös mahdollista, että huijari ottaa yhteyttä työntekijään pelkästään puhelimitse esiintyen esimerkiksi yrityksen johtajana. Neljännessä versiossa yrityksiin lähetetään paperinen lasku väärillä tilitiedoilla.

Huijauksia voidaan estää jakamalla tietoa

BEC-huijaukset ovat toisinaan taitavasti toteutettuja, ja niiden kohteeksi voi joutua minkä kokoinen yritys tahansa toimialasta riippumatta. Jos huijaus onnistuu, rahat siirtyvät usein Euroopan ulkopuolisiin pankkeihin. Poliisin mukaan rahaliikenteen selvittäminen jälkikäteen voi osoittaa, että rahoja on siirrelty hyvinkin monimutkaisesti eri tileille.

Huijauksen kohteeksi joutuminen voi hävettää, minkä takia onnistuneista huijauksista ei useinkaan kerrota julkisesti. BEC-huijauksista on kuitenkin tärkeää jakaa tietoa, jotta muissa yrityksissä osattaisiin tunnistaa vastaavat huijausyritykset.