Metoda stara jak świat
Mimo że jest to metoda stara jak świat, wciąż atakowane są firmy za pomocą fałszywych faktur. Co więcej, skala tego zjawiska rośnie, bo cyberprzestępcy doskonale wiedzą, że wystarczy tylko chwila nieuwagi, bardziej intensywny i stresujący czas w firmie, aby przedsiębiorca z automatu opłacał faktury, również te fałszywe.
Atak, o którym mowa, polega na dostarczeniu do firmy (czasem też osoby prywatnej) fałszywej faktury. Aby wiadomość była skuteczna, bardzo często sugeruje ona konieczność uregulowania niedopłaty, zmianę numeru konta bankowego lub nadwyżkę w płatnościach.
Przykład? Kilka tygodni temu Aleksander Gołaszewski, prezes Unlimitech, napisał na LinkedIn, że do jednego z jego pracowników trafiła podejrzana faktura. Jej treść, jak podaje Gołaszewski, miała wyglądać tak: "W załączniku pilna faktura do opłacenia, wyślij ekspresowo".
Prezes Unlimitech nie dał się jednak oszukać, bo mimo że styl, w jakim została napisana wiadomość, przypominał jego, to wątpliwości wzbudziło kilka nieścisłości.
Po pierwsze, adres e-mail. Co prawda, nadawcą był "Aleksander Gołaszewski", ale adres wyglądał tak: [email protected]. Po drugie, w wiadomości nie było stopki z podpisem prezesa. Po trzecie, firma nigdy nie współpracowała z rzeszowską firmą Ideo Software, co zweryfikowano w specjalnym rejestrze prowadzonym przez Unlimitech. Po czwarte, numer rachunku bankowego Ideo nie zgadzał się z tym, który firma ma na swojej stronie.
„Ktoś w tym oszustwie wykorzystał bezprawnie wizerunek respektowanej firmy z branży IT (Ideo), ale dla innej ofiary może wykorzystać Twój. Albo z Ciebie próbować zrobić ofiarę. Bądźcie czujni!” – przestrzegał na swoim LinkedIn Aleksander Gołaszewski.
Błyskawiczna reakcja Ideo
Na publikację prezesa Unlimitech niemal natychmiast zareagował Łukasz Szymański, Head of Marketing and PR w Ideo Software: „Panie Aleksandrze, dzięki informacji od Pana i (jak dotąd) kilkudziesięciu innych osób/firm, wiemy o sprawie i mogliśmy szybko zareagować. Podjęliśmy wszelkie niezbędne kroki prawne i współpracujemy z odpowiednimi organami ścigania w tej sprawie. Niestety okazało się, że w ostatnim czasie taki proceder funkcjonuje na szeroką skalę i nie jesteśmy jedyną firmą, której dotyczy to oszustwo, dlatego każdemu zalecamy ostrożność. Pozostaje nam mieć nadzieję, że mimo wszystko nikt nie da się nabrać”.
Oficjalny komunikat w sprawie oszustwa pojawił się także na stronie Ideo.
„Informujemy o ważnej sytuacji, która wymaga naszej uwagi i czujności. Ideo padło ofiarą oszustwa polegającego na podszywaniu się pod naszą firmę w celu wyłudzenia środków finansowych. Od rana otrzymujemy liczne telefony i zapytania od różnych firm oraz organizacji dotyczące faktur, które rzekomo zostały wystawione przez naszą firmę. Wszystkie dane na tych dokumentach są zgodne z naszymi, z wyjątkiem numeru rachunku bankowego. Pamiętajcie, aby nie otwierać załączników i linków, które mogą pojawiać się w takich wiadomościach. Podjęliśmy wszelkie niezbędne kroki prawne i współpracujemy z odpowiednimi organami ścigania w tej sprawie. Prosimy o zachowanie szczególnej ostrożności i dokładne sprawdzanie numeru rachunku bankowego wskazanego na otrzymanych fakturach. Jedyne prawidłowe numery naszych rachunków bankowych są opublikowane na białej liście podatników VAT. W przypadku otrzymania dokumentu z błędnymi danymi prosimy o czujność i kontakt z naszym działem finansowym: [email protected]”.
Jak rozpoznać fałszywą fakturę?
Czujność Aleksandra Gołaszewskiego sprawiła, że Unlimitech nie padł ofiarą cyberprzestępstwa. Jak zatem pójść w jego ślady i umiejętnie rozpoznawać fałszywe faktury? Na początek warto nauczyć się rozpoznawać znaki ostrzegawcze. Jednym z nich może być nagła zmiana numeru konta bankowego. Gdy coś takiego dzieje się bez wcześniejszego uprzedzenia, warto skontaktować się z firmą telefonicznie i upewnić się przed dokonaniem przelewu, że taka zmiana miała faktycznie miejsce.
Warto też zweryfikować usługę, za którą rzekomo mamy zapłacić. Czy aby na pewno jest ona zgodna ze stanem faktycznym? Kolejne czerwone flagi to: wysłanie faktury z innego maila niż dotychczas, błędy w danych firmy, inny styl komunikacji niż dotychczas.
W przypadku wątpliwości można także skorzystać z tzw. białej listy VAT, która jest dostępna na stronie Ministerstwa Finansów. Biała lista VAT to rejestr podatników VAT, w którym znajdują się dane o statusie podatkowym firm oraz numerach rachunków bankowych. Fałszywą fakturę pomaga także namierzyć technologia. Mowa tu o systemach do zarządzania dokumentacją, takich jak ERP czy CRM, które często mają wbudowane mechanizmy kontroli i weryfikacji faktur.
Warto również zadbać o wewnętrzne procedury, na przykład o podwójną weryfikację płatności, regularną aktualizację listy kontrahentów oraz procedury raportowania oszustw.
