Компании сталкиваются с новым вызовом: мошенники атакуют не системы, а людей

«Достаточно одного момента невнимательности, чтобы компания понесла ущерб в сотни тысяч», отмечает руководитель повседневного корпоративного банкинга Coop Pank Эрье Меттас. По её словам, в последнее время мошенники всё чаще используют слабости людей вместо взлома систем, заставляя их быстро реагировать на письма или телефонные звонки.

По оценке Меттас, многие случаи мошенничества можно было бы предотвратить, если бы больше компаний внедрили несколько простых, но эффективных мер. «Безопасность не только вопрос технологий. Это также вопрос организации работы и привычек».

Подтверждение платежей двумя людьми помогает снизить самые серьёзные риски

Один из самых эффективных способов защитить средства компании это настроить проведение платежей в интернет-банке так, чтобы они всегда требовали подтверждения двумя людьми. В таком случае мошенник не сможет завершить платёж даже если получит PIN-коды одного сотрудника.

«Во многих компаниях из соображений удобства проведение платежей доверено одному человеку. С точки зрения безопасности это означает, что достаточно того, что данные одного пользователя окажутся скомпрометированы», отмечает Меттас. Она подчёркивает, что хотя двойное подтверждение может казаться неудобным в повседневной работе, в случае проблем оно помогает избежать очень больших потерь.

Компаниям стоит пересмотреть права и лимиты на проведение платежей, а также установить в интернет-банке или мобильном приложении лимиты на операции с обязательным участием двух человек (принцип A+A). Также разумно проверить, кто вообще имеет право инициировать или подтверждать платежи, поскольку в системах часто остаются старые пользователи или временные права, что создаёт неожиданный риск, если такой пользователь становится жертвой мошенничества.

Держите лимиты мгновенных платежей на уровне повседневных расходов

Мошенники умело используют и мгновенные платежи, поскольку из-за них остановка транзакций и отслеживание средств становятся практически невозможными. Для снижения рисков компаниям следует установить отдельные лимиты для таких платежей.

«Лимиты должны быть достаточными для покрытия повседневных расходов. Для более крупных платежей их можно временно увеличить в соответствии с потребностями. Это более безопасное решение, чем постоянно держать лимиты высокими на случай возможных крупных затрат», говорит Меттас. Поскольку увеличение лимитов требует отдельного подтверждения, это снижает вероятность того, что мошенники смогут вывести крупные суммы со счёта компании.

Проверьте, у кого есть банковская карта компании и какие у неё лимиты

Аналогично лимитам на платежи, лимиты по банковским картам компании также следует держать на уровне повседневных потребностей.

«С банковскими картами действует та же логика, что и с платежами: держите лимиты достаточно высокими, чтобы покрывать обычные расходы, но достаточно низкими, чтобы в случае попадания карты в чужие руки не возникло больших потерь. Важно учитывать, что лимиты по картам и по платежам устанавливаются отдельно. Как и в случае с платежами, лимиты по картам при необходимости можно быстро изменить», объясняет Меттас.

Она напоминает, что помимо лимитов стоит время от времени проверять, у скольких людей вообще есть банковская карта компании. «Иногда карты остаются у сотрудников по привычке или из удобства, например у тех, кто уже не использует их ежедневно или кому карта была нужна временно. Также обязательно нужно проверить, что карты уволившихся сотрудников закрыты», говорит она. Это снижает количество людей, через которых мошенники могут получить доступ к активам компании.

Будьте критичны к неожиданным письмам и телефонным звонкам

Многие мошеннические схемы против компаний начинаются с электронных писем, которые якобы отправлены от партнёров, курьерских служб, банка или даже руководителя компании. Цель таких писем - заставить получателя быстро действовать, например открыть ссылку, скачать вложение или ввести свои данные на странице, которая выглядит надёжной и достоверной.

Помимо писем мошенники часто используют и телефонные звонки, в ходе которых пытаются получить доступ к компьютеру человека и данным компании.

По словам Меттас, к неожиданным письмам и звонкам следует относиться с осторожностью. Если отправитель, содержание или вложения вызывают хоть малейшие сомнения, не следует открывать ссылки или скачивать файлы. «Одно простое правило помогает избежать многих рисков: входите в интернет-банк и вводите PIN-коды только по собственной инициативе, а не по ссылке из письма или по просьбе в телефонном разговоре», подчёркивает она.

По словам Меттас, в последние годы мошенники становятся всё более изощрёнными, а новые технологии помогают им создавать ещё более правдоподобный образ. «Поэтому необходимо ежедневно быть всё более внимательными и внедрять меры, которые максимально защищают как компанию, так и её сотрудников», объясняет она.