Παρασκευή απόγευμα, η λογίστρια μιας μικρής εταιρείας λαμβάνει email από τον διευθύνοντα σύμβουλο. «Είμαι σε σύσκεψη, μην με πάρεις τηλέφωνο. Κλείνουμε μια εξαγορά και πρέπει να φύγει σήμερα ένα έμβασμα 38.000 ευρώ. Είναι εμπιστευτικό, μην το συζητήσεις με κανέναν.» Λίγα λεπτά αργότερα χτυπάει το σταθερό. Στην άλλη άκρη μια φωνή που μοιάζει με του αφεντικού επιβεβαιώνει: «Το είδες το μήνυμα; Προχώρα.»

Δεν είναι το αφεντικό. Είναι μια καλοστημένη απάτη που στοχεύει αποκλειστικά επιχειρήσεις και που στα αγγλικά λέγεται Business Email Compromise (BEC). Δεν χρειάζεται να σπάσει κανείς το λογισμικό σου ούτε να βάλει ιό. Αρκεί να πείσει έναν άνθρωπο με πρόσβαση στον τραπεζικό λογαριασμό ότι μιλάει με κάποιον που εμπιστεύεται. Το τηλέφωνο εδώ δεν είναι η αρχή της απάτης - είναι το εργαλείο που δίνει την τελική σπρωξιά.

Οι δύο βασικές παραλλαγές

Στην πράξη η επίθεση παίρνει δύο μορφές που μοιάζουν επιφανειακά αλλά χτυπούν διαφορετικά σημεία της εταιρείας. Καλό είναι να τις ξεχωρίζεις, γιατί η άμυνα διαφέρει ελαφρώς.

Η πρώτη είναι το κλασικό CEO fraud: ένας απατεώνας υποδύεται κάποιο ανώτερο στέλεχος - τον ιδιοκτήτη, τον οικονομικό διευθυντή - και ζητά από υπάλληλο με πρόσβαση στα οικονομικά να κάνει ένα έκτακτο, επείγον και εμπιστευτικό έμβασμα. Παίζει με την ιεραρχία: είναι δύσκολο να πεις «όχι» ή «περίμενε» στο αφεντικό σου.

Η δεύτερη είναι η απάτη του ψεύτικου προμηθευτή. Ένας υπαρκτός συνεργάτης σου - λογιστής, προμηθευτής, εργολάβος - φαίνεται να σου στέλνει email ότι «άλλαξε ο τραπεζικός μας λογαριασμός, ο νέος IBAN είναι ο εξής». Συχνά συνοδεύεται από ένα ψεύτικο τιμολόγιο που μοιάζει πανομοιότυπο με τα γνήσια. Λίγο αργότερα ακολουθεί μια τηλεφωνική κλήση «επιβεβαίωσης» από κάποιον που μιλά εκ μέρους του προμηθευτή. Πληρώνεις ένα γνήσιο χρέος, αλλά τα χρήματα πάνε σε λάθος λογαριασμό.

Πώς στήνεται η σκηνή πριν την κλήση

Καμία τέτοια απάτη δεν είναι αυθόρμητη. Πριν χτυπήσει το τηλέφωνο, οι απατεώνες έχουν κάνει την προεργασία τους, και αυτό είναι που τους κάνει πειστικούς.

Συχνά έχουν αποκτήσει πρόσβαση σε ένα πραγματικό email - του προμηθευτή ή κάποιου μέσα στην εταιρεία - και διαβάζουν αλληλογραφία για εβδομάδες. Μαθαίνουν ποιος εγκρίνει πληρωμές, πώς μιλάει το αφεντικό, ποια έργα τρέχουν, ποιος είναι σε άδεια. Όταν επιλέξουν τη στιγμή, το μήνυμά τους κουμπώνει τέλεια με την πραγματικότητα της εταιρείας. Γι' αυτό φαίνεται τόσο αληθινό.

Η τηλεφωνική κλήση που ακολουθεί στηρίζεται σε δύο τεχνικά εργαλεία. Το πρώτο είναι η πλαστογράφηση της αναγνώρισης κλήσης, ώστε στην οθόνη να εμφανίζεται ο πραγματικός αριθμός του στελέχους ή του προμηθευτή. Είναι το ίδιο φαινόμενο που αναλύουμε στον οδηγό για το spoofing του αριθμού: ο αριθμός στην οθόνη γεμίζει από αυτόν που καλεί και δεν αποδεικνύει ποιος είναι. Το δεύτερο, ολοένα και πιο συχνό, είναι η κλωνοποίηση φωνής με τεχνητή νοημοσύνη.

Όταν η φωνή του αφεντικού δεν είναι του αφεντικού

Με λίγα δευτερόλεπτα ηχογραφημένης φωνής - από ένα βίντεο στο LinkedIn, μια συνέντευξη, ένα παλιό μήνυμα - σύγχρονα εργαλεία αναπαράγουν τον τόνο και τη χροιά ενός ανθρώπου. Ο υπάλληλος ακούει «το αφεντικό» να επιβεβαιώνει το έμβασμα και η τελευταία αμφιβολία διαλύεται.

Αυτή η διάσταση αλλάζει το παιχνίδι, γιατί παλιά η φωνητική επιβεβαίωση θεωρούνταν ασφαλής. Πώς λειτουργεί η κλωνοποίηση και πώς προστατεύεσαι το αναλύουμε στο άρθρο για το vishing και την κλωνοποίηση φωνής με AI. Στο πλαίσιο της επιχείρησης, το συμπέρασμα είναι ένα: η φωνή από μόνη της δεν είναι πια απόδειξη ταυτότητας.

Οι μοχλοί χειραγώγησης

Είτε μιλάμε για CEO fraud είτε για ψεύτικο προμηθευτή, οι απατεώνες χρησιμοποιούν τους ίδιους ψυχολογικούς μοχλούς. Όταν τους αναγνωρίσεις, η κλήση χάνει τη δύναμή της.

  • Επείγον. «Πρέπει να φύγει σήμερα», «χάνουμε τη συμφωνία αν καθυστερήσουμε». Ο χρόνος συμπιέζεται για να μη σκεφτείς.
  • Εξουσία. Η εντολή έρχεται από ψηλά, οπότε ο υπάλληλος διστάζει να την αμφισβητήσει.
  • Μυστικότητα. «Είναι εμπιστευτικό, μην το πεις σε κανέναν.» Αυτή η φράση υπάρχει για να σε εμποδίσει να ρωτήσεις δίπλα σου.
  • Αληθοφάνεια. Σωστά ονόματα, σωστά ποσά, σωστός τόνος - όλα από την προεργασία.

Το πιο ύποπτο σημάδι είναι ο συνδυασμός «επείγον» και «μυστικό». Καμία γνήσια εταιρική διαδικασία δεν απαιτεί να παρακάμψεις τους ελέγχους επειδή κάτι «πρέπει να γίνει τώρα και κρυφά». Αντίθετα, αυτός ακριβώς ο συνδυασμός είναι η υπογραφή της απάτης.

Η άμυνα: δύο συνήθειες που τη σταματούν

Η καλή είδηση είναι ότι αυτή η κατηγορία απάτης σταματά με διαδικασίες, όχι με ακριβό λογισμικό. Δύο συνήθειες αρκούν για να κλείσουν την πόρτα.

  1. Διπλή έγκριση (dual control). Κάθε έμβασμα πάνω από ένα όριο που ορίζεις πρέπει να εγκρίνεται από δύο πρόσωπα. Έτσι κανένας μεμονωμένος υπάλληλος δεν μπορεί να εκτελέσει πληρωμή μόνος του, όσο πειστική κι αν είναι η εντολή.
  2. Επανάκληση σε γνωστό αριθμό. Κάθε φορά που λαμβάνεις εντολή πληρωμής ή ανακοίνωση αλλαγής IBAN, κλείνεις και καλείς εσύ το στέλεχος ή τον προμηθευτή στον αριθμό που ήδη έχεις από τη σύμβαση - όχι σε αυτόν που έδωσε το email ή η κλήση.
  3. Επαλήθευση κάθε αλλαγής IBAN ξεχωριστά. Μια αλλαγή τραπεζικού λογαριασμού δεν επιβεβαιώνεται ποτέ μέσω του ίδιου καναλιού που την ανακοίνωσε. Τηλεφωνείς σε γνωστό πρόσωπο και επιβεβαιώνεις ότι όντως άλλαξε.

Το κλειδί στην επανάκληση είναι η λέξη «γνωστό». Αν ο απατεώνας σου δώσει έναν αριθμό για να «επιβεβαιώσεις», θα απαντήσει ο ίδιος ή συνεργός του. Χρησιμοποίησε πάντα έναν αριθμό από προηγούμενη, ανεξάρτητη πηγή - τη σύμβαση, ένα παλιό τιμολόγιο, την επίσημη ιστοσελίδα. Αν θες να δεις γρήγορα τι αναφέρουν άλλοι για έναν ύποπτο αριθμό, μπορείς να τον αναζητήσεις και σε μια βάση αναφορών όπως το «Ποιος Κάλεσε», αλλά η επανάκληση στον σωστό αριθμό μένει το αποφασιστικό βήμα.

Λίστα ελέγχου για την εταιρεία

Πριν φύγει οποιοδήποτε εταιρικό έμβασμα, πέρνα νοερά αυτή τη λίστα. Είναι ιδιαίτερα χρήσιμη για όποιον χειρίζεται πληρωμές.

  • Η εντολή ήρθε με πίεση χρόνου και αίτημα μυστικότητας; Σταμάτα και επαλήθευσε.
  • Πρόκειται για νέο ή αλλαγμένο IBAN; Επιβεβαίωσε με τηλεφώνημα σε γνωστό αριθμό.
  • Καλείς εσύ πίσω σε αριθμό από τη σύμβαση, ποτέ στον αριθμό που έδωσε το μήνυμα.
  • Υπάρχει δεύτερη υπογραφή/έγκριση για ποσά πάνω από το όριο;
  • Το email του αποστολέα είναι ακριβώς ο σωστός τομέας ή ένα γράμμα διαφέρει;
  • Ξέρει το προσωπικό ότι κανένα γνήσιο στέλεχος δεν τιμωρεί όποιον επαληθεύει μια πληρωμή;

Αυτή η τελευταία γραμμή είναι κρίσιμη. Πολλές απάτες πετυχαίνουν επειδή ο υπάλληλος φοβάται να φανεί ότι δεν εμπιστεύεται το αφεντικό. Μια καθαρή πολιτική που λέει «πάντα επαληθεύουμε, κανείς δεν παρεξηγείται» αφαιρεί αυτόν τον φόβο.

Συχνές ερωτήσεις

Το email ήρθε από τη σωστή διεύθυνση του διευθυντή. Πώς γίνεται;

Δύο εκδοχές. Είτε ο λογαριασμός του πραγματικά παραβιάστηκε και ο απατεώνας στέλνει από μέσα, είτε χρησιμοποιείται μια διεύθυνση που μοιάζει σχεδόν ίδια - με ένα γράμμα ή έναν τομέα αλλαγμένο, κάτι που δεν προσέχεις βιαστικά. Σε κάθε περίπτωση, η ταυτότητα του αποστολέα δεν αποδεικνύεται από το email. Επαληθεύεις με τηλεφώνημα σε γνωστό αριθμό.

Μπορεί η τράπεζα να σταματήσει το έμβασμα αν κατάλαβα αργά την απάτη;

Μερικές φορές, αν κινηθείς πολύ γρήγορα. Κάλεσε αμέσως την τράπεζά σου στον επίσημο αριθμό και ζήτα ανάκληση ή πάγωμα του εμβάσματος, ειδικά αν δεν έχει ολοκληρωθεί. Όσο πιο γρήγορα ειδοποιήσεις, τόσο μεγαλύτερη η πιθανότητα να ανακτηθεί μέρος των χρημάτων. Δεν υπάρχει εγγύηση, γι' αυτό η πρόληψη μετράει περισσότερο.

Είμαστε μικρή επιχείρηση, μας αφορά πραγματικά;

Ναι, ίσως περισσότερο από τις μεγάλες. Οι μικρές και μεσαίες επιχειρήσεις συχνά δεν έχουν αυστηρές διαδικασίες πληρωμών και βασίζονται στην εμπιστοσύνη μεταξύ λίγων ατόμων. Αυτό τις κάνει ελκυστικό στόχο. Το καλό είναι ότι η διπλή έγκριση και η επανάκληση εφαρμόζονται εύκολα και χωρίς κόστος.

Έκανα ήδη το έμβασμα. Τι κάνω τώρα;

Ειδοποίησε αμέσως την τράπεζα, μάζεψε όλα τα email και τους αριθμούς που σε κάλεσαν, και υπόβαλε καταγγελία στη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος στο 11188. Πρόκειται για ποινικό αδίκημα απάτης κατά το άρθρο 386 του Ποινικού Κώδικα. Τα βήματα με σειρά προτεραιότητας τα συγκεντρώνουμε στον οδηγό έδωσα στοιχεία σε απάτη, τι κάνω.

Συνοπτικά

Το CEO fraud και η απάτη του ψεύτικου προμηθευτή δεν χτυπούν τους υπολογιστές σου - χτυπούν την εμπιστοσύνη και τη βιασύνη. Στήνουν μια αληθοφανή σκηνή με κλεμμένα στοιχεία, εμφανίζουν σωστό αριθμό στην οθόνη, ίσως αναπαράγουν και τη φωνή του αφεντικού, και ζητούν επείγον, μυστικό έμβασμα ή αλλαγή IBAN. Η άμυνα δεν είναι τεχνολογία: είναι δύο σταθερές συνήθειες, η διπλή έγκριση και η επανάκληση σε γνωστό αριθμό. Καμία αληθινή πληρωμή δεν χάλασε ποτέ επειδή κάποιος σήκωσε το τηλέφωνο για να επιβεβαιώσει.