Kyk mooi na bankbesonderhede per e-pos ontvang: wees bedag op kuberbedrog in die vorm van Besigheids E-pos Kompromie (“BEC”)
“... om bankbesonderhede per e-pos te stuur is inherent gevaarlik, en moet dus óf vermy word, ten gunste van byvoorbeeld 'n veilige portaal, óf dit moet vergesel word van ander voorsorgmaatreëls soos telefoniese bevestiging of toepaslike waarskuwings wat veilig gekommunikeer word.” (Uittreksel uit die uitspraak hieronder; eie vertaling)
Voordat jy op sterkte van 'n e-pos faktuur enige betaling na 'n verskaffer se bankrekening maak, moet jy seker maak dat die bankrekeningbesonderhede in die faktuur wel dié van die betrokke verskaffer is.
As jou of die verskaffer se e-posstelsel in 'n BEC (“Business Email Compromise”)-bedrogspul gekraak is (“hacked”), is dit moontlik dat die besonderhede wat op die faktuur verskyn, bedrieglik is. Dit kan beteken dat jy fondse na die bedrieër se bankrekening oorbetaal, terwyl jy onder die indruk is dat jy ‘n betaling aan die regte verskaffer maak.
Eiendomstransaksies is die gewildste BEC-teikens, maar nie die enigstes nie!
Jy het waarskynlik al heelwat kennisgewings ontvang en gesien waarin mense gewaarsku word om op hul hoede te wees vir die wêreldwye probleem van e-pos swendelary (“scams”) met betrekking tot eiendomsoordragte. Dit behels dat e-posse onderskep word en dat bankrekeningbesonderhede wat in die fakture of in die e-posse self verskyn, vervang word met vervalste rekeningbesonderhede. Eiendomstransaksies is gewoonlik hoëwaardetransaksies en dus 'n natuurlike teiken vir bedrieërs.
Dit gebeur egter al hoe meer dikwels dat ander, nie-eiendomsverwante besigheid-tot-besigheid en besigheid-tot-kliënt-transaksies geteiken word – hoe hoër die waarde van die transaksie, hoe groter is die risiko van hierdie aanlynmisdaad.
Ons kyk na ‘n relevante voorbeeld...
Danksy beurtkrag, is dit nou die tyd om hoëwaarde omskakelaars te installeer, en die misdadigers neem kennis ...
Jy besluit om 'n hoëwaarde omskakelaar (“inverter”) te installeer, om Eskom se beurtkragvooruitsigte te hanteer. Die installeerders – kom ons noem hulle “Speedy Sparkies Inverter Systems” – stuur vir jou 'n kwotasie vir R145,000. Jy aanvaar die kwotasie en ontvang ‘n faktuur per e-pos van fred@speedysparkies.co.za waarin jy gevra word om ‘n R100 000 vooraf te betaal om die materiaalkostes te dek. Jy betaal die R100 000 oor na die “X Bank” rekening soos op die faktuur aangedui en vra wanneer hulle die omskakelaar gaan kom installeer. Jy ontvang ‘n vriendelike antwoord per e-pos terug wat lui, “Dankie vir die betaling, ons kan jou volgende week Donderdag inpas. Groete, Fred”.
Donderdag breek aan, maar daar is geen Fred in sig nie. Jy bel hom. “Maar jy het ons nog nie betaal nie,” sê Fred. "Ja ek het, ek het verlede week die fondse in jou rekening inbetaal en jy het ontvangs van die betaling per e-pos bevestig". “Nee, ons het beslis geen betaling ontvang nie en geen e-pos gestuur wat ontvangs bevestig nie.” “Dis onmoontlik Fred, ek het jou e-posadres voor my”. Dit is op hierdie stadium dat jy met ‘n keel wat toetrek opmerk dat daardie laaste e-pos van fred@speedy-sparkies.co.za gekom het – met 'n koppelteken. “Nee, ek is regtig jammer,” sê Fred, “maar daar is geen koppelteken in ons e-posadres nie en ons bank by “Y Bank” nie by “X Bank” nie. Jy is die slagofffer van bedrog. Ons sal probeer om jou te help, maar jy moet die R100 000 (weer!) aan ons oorbetaal voordat ons met die installasie kan begin.”
Ontkenning, woede, aanvaarding. Dan bank toe om hulp te vra en na SAPD om ‘n klagte te lê. Jou bank en die polisie is simpatiek, maar nie optimisties dat die fondse teruggekry kan word nie. So, wat het hier gebeur?
Hoe het jy sopas R100 000 verloor?
Deur uitvissings-taktieke te gebruik, het die bedrieërs Speedy se e-posstelsel gekraak en al hul e-posse gemonitor en gewag vir 'n bestelling van hoë waarde. Hulle het toegeslaan en die e-pos aan jou met die faktuur onderskep, en toe die terugstuur-e-posadres en die bankrekeningbesonderhede verander.
Jy het niks vermoed nie. Die e-pos en die faktuur het heeltemal eg voorgekom. Die bewoording van die e-posse was net soos Fred s’n (dit het selfs sy standaard e-pos afsluiting, “Groete, Fred”, bygehad). Die verskil in die e-posadres was so subtiel dat jy dit nie raakgesien het nie. In sommige gevalle is die bedrieërs so vaardig, dat hulle die e-posadres oënskynlik gebruik (“spoof”) wat beteken dat die e-posadres wat hulle gebruik, op die oog af dieselfde lyk as die ware en korrekte adres.
Dit lyk alles 100% eg, en teen die tyd dat jy en Fred besef dat iets skort, is jou geld natuurlik lankal daarmee heen.
Die enigste wenners hier is die bedrieërs en die vraag is nou, "wie is die verloorder?"
Wie dra die verlies? Wie betaal nou vir jou omskakelaar? Kan jy dagvaar?
Jy blameer vir Speedy omdat hulle toegelaat het dat hul stelsels gekraak word. Jy beskuldig hulle van nalatigheid en dat hulle versuim het in hul plig om jou data veilig en in ooreenstemming met die POPI-Wet (die Wet op die Beskerming van Persoonlike Inligting) te hou. Maar Speedy ontken alle skuld. Hulle sê dat jy die risiko dra, dat dit in elk geval jou fout was deur nie die vervalste e-posadres raak te sien nie, en dat jy nie vir Fred gebel het om die bankrekeningbesonderhede te bevestig nie. Speedy se versekeraars bevestig dat hulle geen dekking vir hierdie soort bedrog het nie.
Het jy 'n eis teen die besigheid? Daar is geen duidelike antwoord hierop nie. Die uitsprake in onlangse hofsake oor die onderwerp, verskil afhangende van die feite van elke betrokke saak. Faktore wat die howe oorweeg, sluit in onder andere die beginsels van nalatigheid, die nakoming van betalingsinstruksies, “oorwegings van regs- en openbare beleid”, en ‘n verwysing na ‘n algemene reël dat enigiemand wat ‘n betaling aan iemand anders maak, veronderstel is om te bevestig dat hulle na die korrekte bankrekening oorbetaal.
As kliënt is jou veiligste opsie om van die veronderstelling uit te gaan dat jy die party is wat die risiko dra. Dit beteken dat jy (ten minste van jou kant af) sal moet kan bewys dat die besigheid op ‘n manier nalatig was, ten einde ‘n suksesvolle eis teen hulle te kan instel.
As ‘n besigheid, aan die ander kant, is jou regsposisie nie noodwending veilig nie. Indien jou stelsels gekraak is, sal jy van nalatigheid (en dalk ook van oortreding van die POPI-Wet) beskuldig word. Selfs waar dit jou kliënt se e-posrekening is wat gekraak is, dra jy steeds ‘n risiko, soos wat ‘n onlangse uitspraak van die Hooggeregshof bevestig het. Hier het die hof ‘n bedrag van R5,5 miljoen (plus rente en koste op die bestraffende prokureur- en kliënteskaal) aan ‘n kliënt in ‘n eiendomstransaksie toegeken. Hier het die hof beslis dat die aktebesorgingsfirma (die oordragprokureurs) ‘n regsplig van sorgsaamheid teenoor 'n eiendomskoper het. Die hof meen dat, as dit nie was vir die nalatige versending van sy rekeningbesonderhede en die versuim om die koper vooraf van die inherente gevare van BEC te waarsku nie, die koper nie hierdie verlies sou gely het nie. In die woorde van die hof, "die stuur van bankbesonderhede per e-pos is inherent gevaarlik, en moet dus óf vermy word deur byvoorbeeld die gebruik van 'n veilige portaal, óf dit moet vergesel word van ander voorsorgmaatreëls soos telefoniese bevestiging of toepaslike waarskuwings wat veilig gekommunikeer word." (Eie vertaling)
Op 'n praktiese vlak, is jou reputasie op die spel en daardie 5-ster Google Resensies kan dalk 'n knou kry.
Wat is die uiteindelike gevolgtrekking? Verkry regsadvies oor jou spesifieke omstandighede. Dalk word beide die partye geadviseer om jul skade te beperk en om die verliese 50/50 te deel. Glad nie ideaal nie, maar baie beter as uitgerekte en onplesierige litigasie.
Soos altyd, is dit beter om te voorkom dat dinge in die eerste plek skeefloop. Hieronder deel ons 'n paar idees oor hoe om jouself vanuit die staanspoor te beskerm teen hierdie soort kuberbedrog.
Voorkoming – dit is wat jy kan doen.
- Besighede: Die heel belangrikste is om jou stelsels teen kuberkrakers te beskerm. Jou hele personeel moet ingelig en opgelei word oor die toenemend gesofistikeerde aard van uitvissings-e-posse. Maak seker jou sagteware is op datum en dat voldoende antivirus en ander beskermingsagteware- en protokolle in plek is. Oorweeg dit om nie jou bankbesonderhede op fakture te plaas nie en vra vir kliënte om jou te skakel om enige besonderhede wat aan hulle gestuur word, te bevestig. Dink daaraan om 'n veilige betalingsportaal met twee-faktor-verifikasie (2FA) te gebruik en beskerm enige PDF-dokumente wat jy uitstuur (dit is 'n mite dat PDF dokumente nie verander kan word nie). Maak dit duidelik aan kliënte op elke e-pos wat jy uitstuur dat jy nooit enige veranderinge aan jou bankbesonderhede per e-pos aan hulle sal kommunikeer nie. Doen navraag by jou versekeraars of jy dekking vir hierdie tipe risiko kan kry.
- Kliënte: Sit dieselfde streng maatreëls in plek om jouself teen kuberkrakers te beskerm. Moet nooit enigiets betaal sonder om die bankbesonderhede van die besigheid self na te gaan nie, hetsy persoonlik of telefonies (moenie die telefoonnommers op die e-posse of fakture gebruik nie, dit kon maklik ook vervals gewees het). Gaan e-posadresse noukeurig na – maak seker dat die terugstuuradres dieselfde as die afsender se adres is. ('n Paar wenke oor hoe om dit te doen, is hier beskikbaar). Let op na subtiele veranderinge soos '.co.za' wat '.com' word of andersom, en onthou dat elke koppelteken, elke letter en elke nommer in die e-posadres tel. Waar moontlik, gebruik bankgedefinieerde begunstigdes vir aanlynbankdienste. Wees baie agterdogtig oor enige kommunikasie met die strekking dat "ons bankbesonderhede verander het”.
Provided by B. R. Sandwith Inc.
© DotNews. All Rights Reserved.