כך תתמודדו עם הונאת "שינוי פרטי בנק", תוספת קטנה להסכמים שלכם

Posted on by יהונתן קלינגר

בחודשים האחרונים, אנו רואים עליה קטנה בהונאות מבוססות על שינוי בפרטי חשבון בנק. ההונאה הזו מערבת יחסים אמיתיים בין צדדים, כאשר אחד הצדדים נפרץ ומודיע לצד השני על שינוי בפרטי הבנק שלו. לאחר הודעות אלו, התשלומים שאמורים היו להשלח נשלחים לחשבון בנק מזויף, והכסף נעלם.

בדרך כלל, מה שקורה כאן הוא שחשבון מייל אחד נפרץ על ידי התוקף, בדרך כלל במחלקת הכספים. אחרי פריצה כזו, התוקף שולח הודעת דואר לצד השני אשר מציין כי יש בעיה בהעברה או קבלה של כספים, וכי יש צורך בשינוי של הפרטים וכי הכספים יועברו לחשבון חדש.

זה יכול להעשות על ידי התחזות לחשבון מייל, כלומר רישום של כתובת דומיין כמו BUS1NESS.com במקום BUSINESS.com, או שימוש בתוי יוניקוד, ושליחה של הודעה אמיתית משם, או על ידי פריצה לחשבון המייל של הארגון וקבלת גישה, כאשר לאחר מכן ימחק התיעוד של התכתובת כדי להגן על ההונאה.

התקיפות מהסוג הזה עשויות לגרום לנזקים במיליוני דולרים, ומנגד קשה מאוד למצוא את התוקפים. אולם, יש דבר אחד שאתה יכול לעשות כדי להתגונן, וזה להוסיף מקטע קצר להסכמי ההתקשרות העתידיים שלך עם לקוחות וספקים. סעיף "שינוי פרטי התקשרות ובנקאות" זו ההצעה שלי אליכם.

בסעיף כזה, פרטי חשבון הבנק והתשלום מופיעים בהסכם בין הצדדים, וכל שינוי דורש הודעה בכתב או נוכחות פיסית של הצדדים, תיעוד חזותי בוידאו או מצב אחר בו שני הצדדים יכולים לראות אחד את השני, וזה לאחר שיש בינהם היכרות מוקדמת. כלומר, זה מוסיף שכבה של אבטחה להבטיח שאף אחד לא יחליף את פרטי הבנקאות בלא הסכמה או ידיעה.

הטקסט שלי (באנגלית) הוא : "The parties' payment and banking details are as stipulated hereinabove. any change in such details shall be made either via (i) physical meeting between the CEOs of both parties, which shall be coordinated and videotaped; or (ii) videoconferencing by both CEOs, after their identity was verified by both parties, where the exchange of details shall be documented as well. Any change of details shall require the notification to both parties' legal departments and shall require a notice of at least 7 days. Such notice shall suspend all pending payments until such confirmation is made".

ובעברית: "פרטי התשלום של הצדדים הם כמפורט דלעיל. כל שינוי בפרטים אלו יבוצע או (א) בפגישה פיסית בין מנכ"לי החברות אשר תתועד בתיעוד חזותי ותשמר; או (ב) שיחת וידאו בין שני מנכ"לי החברות, אחרי שזהותם תועדה בידי הצדדים, כאשר פרטי הצדדים והבנקים יועברו בצורה מאובטחת זו. כל שינוי ידרוש הודעה למחלקות המשפטיות של הצדדים לפחות שבעה ימים מראש ותקפיא כל תשלום עומד ותלוי עד לאחר ביצוע תהליך אימות זה".

במקרים נגישים יותר, אני מציע כי מנגנון כפול יופעל, אשר כולל גם החלפה של מפתחות קריפטוגרפיים ופגישה בחצרי הלקוח כדי לוודא זהות בצורה טובה יותר. [פורסם גם באנגלית]