( krix | 2021. 11. 30., k – 10:13 )

Szerkesztve: 2021. 11. 30., k – 10:17

És ezt még mindig beszívja valaki.. hihetetlen. Mondjuk ez cégenként változhat... Sok tényezős lehet ez a sztori.

- Titkárnő kapott egy fals emailt a VezérIg. feladóval, stb. hogy most azonnal utaljuk át ezt az összeget ide és oda.

És itt jön az összetettebb kérdés.. milyen a titkárnő <-> főnök viszony? Ha olyan hogy mindenért is le van baszva a tnő, vagy hogy ha megy az állandó "csesztetés" főnöki oldalról, hogy miért nem intézted még el? stb stb. szóval van rajta alapból egy nyomás, akkor simán elképzelhető hogy elutalja az összeget.. mert hát ugye nem akar konfliktust a nagyfőfőnökkel .. mert már volt így is belőle elég.

Ez ugye tipikusan az a szitu, hogy a főnök egy barom és úgy kezeli az alkalmazottait mint az útszéli kutyát.

- Másik eset, titkárnői oldal, jött a főnöktől ez a "scam/spam" hogy utald át ide, ha esetleg volt benne valami hogy "XY projekt TOP1-2-3-4-5-6 utalás" akkor simán beszívja a titkárnő, még ha nagyobb összegről is van szó.

Itt egyértelműen a titkárnő a felelős.

Alapvetően ezeket úgy lehetne megelőzni sima módon, hogy felvesszük a telefont felhívjuk a vezért, hogy ez így mehet tényleg ? Igen mehet -> igen mehet.

Technikai oldalról pedig úgy, hogy utalást csak úgy lehet elvégezni ha banki programon belül az ügyintéző / titkárnő / stb elindít egy elutalási kérelmet, akkor azt minimum 2 főnek rendes HW kulcsos mókával hitelesíteni kell és akkor megy végbe az utalás. -> ugye itt már előjöhet az hogy wtf ez az 500millás tétel mondjuk amit utalni akarunk, itt jó esetben az egyik félnél már "megszólal" a csengő hogy csak fel kéne hívni azt aki az utalást kezdeményezte, hogy ezt mire is akarjuk ?

Az pedig hogy milyen infók alapján tudnak ilyen csalás végrehajtani, megnézik az adott cég weboldalát, FB hirdetéseit, FB posztjait, stb. Ebből nagyjából össze lehet rakni hogy a cég mivel foglalkozik, adott esetben milyen futó "pályázatai" vannak, milyen támogatási programok szaladnak éppen. Innentől nem nehéz egy olyan általános SCAM/SPAM -et generálni ami akár hihető is lehet.  Ez ilyen tipikus social engineering . Szerintem ha valaki követ egy adott céget, max 1-2 hónap ráfordítással egész szépen lehet majd olyan emailt megfogalmazni ilyen utalásra, amit el is utalnak. 1-2 hónap alatt mondjuk a csaló követ ~50 céget, szépen felépíti a sémát nem egy nagy meló, utána szépen megfogalmazza az emailt, elküldi és vár. Ha 50-ből 2 -en utalnak össszegtől függően, az már profit a csaló számára...

De ezt szerintem "robotosítani" nem lehet, tippre ez célzott támadás volt és valódi ember van mögötte nem pedig egy "robot".

De mint fentebb is említették ez nem feltétlen technikai oldal. Ennyi erővel hülye példa, de egy kinyomtatott A4-es papírt is át lehet adatni valami pecsét szerűséggel postán, hogy ide és oda utalni kell most.

ps.: de fixme, ha esetleg hibás a gondolatmenetem :)