1 145 Table of Contents 147 151

URN_NBN_SI_DOC-I9KTOX1O

SIR * IUS, maj 2020 146 Odgovornost pri preprečevanju goljufij s poslovno elektronsko pošto IZ PRAKSE ZA PRAKSO (PR-RIS 2-2/20) Problematiko preprečevanja goljufij s poslovno elektronsko pošto (angl. Busines E-mail Compromise Scheme) 1 pri poslih dajanja zagotovil in revidiranja informacijskih sistemov je obravnaval Odbor sekcije preizkušenih revizorjev informacijskih sistemov (v nadaljevanju: PRIS) in pripravil strokovno razlago. IZHODIŠČE Goljufije s poslovno elektronsko pošto so široka družina pogosto skrbno načrtovanih goljufij, katerih cilj je, da končni uporabnik nakaže denar na bančne račune goljufov. Včasih goljufi žrtve prepričajo tudi v nakupe različnih vrednotnic, na primer darilnih kartic za spletne in celo fizične storitve. Organizacije te goljufije včasih odkrijejo šele več tednov po nastanku, kar goljufom omogoči dovolj časa, da nezakonito pridobljeno nakazilo prenakažejo tako, da ga ni mogoče več iztirjati. Žrtve goljufij so praviloma zaposleni, ki imajo pravice izvrševati bančna nakazila, pri goljufijah z vrednotnicami pa tudi zaposleni v različnih trženjskih funkcijah. Goljufi si zaupanje žrtve pridobijo tako, da se predstavljajo za njihove sodelavce, na primer za nadrejene ali za sodelavce, odgovorne za sodelovanje z dobavitelji. Občutek pristnosti dosežejo na primer tako, da si z usmerjenim ribarjenjem (angl. Spear Phishing) pridobijo dostop do elektronske pošte sodelavca žrtve in ji preko komunikacijskega kanala, ki mu žrtev zaupa, dajo zavajajoča navodila za ravnanje. V preteklosti so bila ta navodila pogosto zahteva za nujno plačilo novemu dobavitelju in obvestila, da je obstoječi dobavitelj zamenjal bančni račun, na katerega naj podjetje poravna obstoječe obveznosti. Preprostejše različice prevare s poslovno elektronsko pošto namesto pošiljanja sporočil iz notranjega računa elektronske pošte uporabijo slepilna sporočila 1 V Republiki Sloveniji za to vrsto prevare mediji včasih uporabljajo tudi izraz direktorske prevare , pri čemer pa vse tovrstne prevare niso izvedene z lažnim predstavljanjem članov poslovodstva.

RkJQdWJsaXNoZXIy