Spletni napadalci posebej radi izvedejo napade, kjer je njihova vloga omejena na to, da žrtev prepričujejo. Prepričujejo pa jo v nekaj, česar sicer zagotovo ne bi naredila v normalnih okoliščinah. Da to dosežejo najpogosteje uporabijo eno od metod:
- Ustvarjanje pritiska in nujnosti
- Vzpostavljanje odnosa zaupanja med napadalcem in žrtvijo
Da bi napadalec lahko uspešno izvedel pretvarjanje, da je dejansko predstavnik poslovnega partnerja, mora vzpostaviti določeno stopnjo zaupanja z žrtvijo. Njegov cilj je, da žrtev prepriča, da bo izvedla spremembo matičnih podatkov podjetja, za katerega se napadalec pretvarja, da ga zastopa.
Ko je zaupanje vzpostavljeno, želi napadalec, da se izvede sprememba matičnih podatkov podjetja (sprememba podatkov o bančnem računu).
Scenarij napada
Kontaktira te oseba, ki se predstavlja, da je predstavnik poslovnega partnerja (dobavitelj, ponudnik storitve ali upnik). Kontakt se lahko izvede preko kateregakoli komunikacijskega kanala – preko telefona, pisma, faksa, elektronske pošte, ali kombinacije navedenega. Napadalec potem zahteva, da spremeniš matične podatke o družbi – spremeniti bi bilo potrebno podatke, ki so namenjeni izvedbi plačila prihodnjih računov. Seveda je nov račun pod nadzorom in upravljanjem napadalca.
Zaščita pred napadom
Najpogosteje se področje celovito obravnava preko KYP postopkov (know your partner). Ti postopki so namenjeni temi, da organizacija v njih določi kako bo izvajala preverjanje podatkov o poslovnih partnerjih in kako bo izvajala ažuriranja podatkov. Takšni postopki največkrat delijo poslovne partnerje po obsegu prometa in določajo strožje postopke za pravne osebe, ki prestavljajo za organizacijo večjo izpostavljenost. Tako lahko na primer za partnerje, kjer se ustvari do 200 EUR uporabi »zaupanje«, do 5.000 EUR preverjanje matičnih podatkov iz javno dostopnih baz (ajpes.si, bizi.si) in nad 5.000 EUR se od partnerja zahteva kopijo listin, kjer so navedeni matični podatki (izpisek iz sodnega registra,…). Seveda gre pri tem za interne predpise, ki sledijo odločitvam vodstva in povezanimi sprejemljivimi ocenami tveganja. Podjetja pogosto določijo postopke in načine za upravljanje sprememb matičnih podatkov, s katerimi seznanijo tudi svoje poslovne partnerje. S tem je zagotovljeno, da morebitne spremembe sporočajo na obvladovan in nadzorovan, predvsem pa pričakovan način, kar pomeni, da dodatna preverjanja niso potrebna.
Proces sistematične zaščite
Celotnemu procesu sistematične zaščite pred spremembami podatkov o poslovnih partnerjih pogosto pravimo KYC ali KYP.
Koncepta »Spoznaj svojo stranko« (KYC – Know Your Customer) in »Spoznaj svojega partnerja« (KYP – Know Your Partner) sta bistveni preventivni praksi v različnih panogah, predvsem v finančnih funkcijah in poslovanju. Praksi sta namenjeni preverjanju identitete in ozadja strank in poslovnih partnerjev z namenom preprečevanja goljufij, pranja denarja in drugih nedovoljenih dejavnosti. Te prakse pomagajo organizacijam upravljati tveganja, povezana s posamezniki ali pravnimi subjekti, s katerimi sodelujejo, in zagotoviti skladnost s predpisi ter zakonodajo.
Spoznajte svojo stranko (KYC)
KYC je niz postopkov in praks, ki jih uporabljajo finančne institucije, kot so banke, zavarovalnice in investicijska podjetja, za preverjanje identitete svojih strank. KYC želi vzpostaviti naslednje ključne informacije o stranki:
- Preverjanje identitete (ime, datum rojstva, naslov in osebni dokument, ki ga je izdal državni organ),
- Razumevanje finančnega ozadja stranke in vira sredstev,
- Ocena profila tveganja stranke in ali je morda vpletena v nezakonite dejavnosti, kot je pranje denarja ali financiranje terorizma.
Primarni cilj KYC je zmanjšati tveganje finančnih kaznivih dejanj in zagotoviti, da finančne institucije nenamerno ne pomagajo kriminalcem pri pranju denarja ali drugih nezakonitih dejavnostih.
Spoznajte svojega partnerja (KYP)
KYP, znan tudi kot “spoznaj svojega poslovnega partnerja” (KYBP – Know Your Business Partner) ali “spoznaj svojo nasprotno stranko” (KYCp – Know Your Competitor), razširja načela KYC na svet poslovnih partnerstev in transakcij. KYP vključuje postopek skrbnega pregleda za ocenjevanje identitete, ugleda in integritete poslovnih partnerjev, dobaviteljev, strank in nasprotnih strank. Ključni elementi KYP vključujejo:
- Preverjanje obstoja in registracije pravne osebe,
- Ocena finančne stabilnosti poslovnega partnerja,
- Preverjanje preteklosti poslovnega partnerja, vključno z vsemi preteklimi pravnimi težavami ali kršitvami predpisov,
- Ocenjevanje tveganja ugleda, povezanega s partnerstvom.
Cilj KYP je zagotoviti, da podjetje vstopa v poslovni odnos z uglednim in zaupanja vrednim partnerjem, s čimer se zmanjša tveganje goljufije, finančne izgube in škode lastnemu ugledu.
Prakse KYC in KYP so ključne za skladnost s predpisi, obvladovanje tveganja ter ohranjanje integritete in ugleda organizacije. Neizvajanje ustreznega skrbnega pregleda KYC in KYP lahko povzroči pravne in finančne posledice, vključno z globami in škodo za ugled podjetja. Te prakse so še posebej pomembne v panogah, ki so zelo regulirane in kjer obstaja večje tveganje za pranje denarja, goljufije ali druge finančne zločine.
