Yrityksille toimivat pääsääntöisesti samat keinot suojautua kuin yksityishenkilöille, mutta yrityshuijauksissa on muutamia erityisominaisuuksia, jotka kannattaa ottaa huomioon.

Kysyimme OP Pohjolan petostorjunnan asiantuntijalta Maija Ahoselta, millaisia huijauksia yrityksiin kohdistuu.

Huomaa CEO- ja BEC-huijaukset

– Suuri osa huijauksista, jotka voivat kohdistua yksityishenkilöihin, voi kohdistua myös yrityksiin.

Huijauksissa pyritään kaappaamaan toimitusjohtajan tai työntekijän sähköpostitili.

Erityisesti yrityksiin kohdistuvat etenkin niin sanotut toimitusjohtaja- eli CEO-huijaukset ja BEC-huijaukset (Business Email Compromise). Niissä pyritään kaappaamaan työsähköpostitili.

Sähkopostitse tapahtuvasta kalastelusta, jonka tavoitteena huijarilla on saada haltuunsa työntekijän käyttäjätunnukset, puhutaan tyypillisesti Microsoft 365 -huijauksina: Microsoftin järjestelmät ovat yleisimmin yrityksillä käytössä.

Rakkaushuijauksia ei tietysti yrityksiin juurikaan kohdistu. Mutta jos yksityishenkilön pankkitiedot vaarantuvat vaikkapa rakkaushuijauksessa, sitä kautta voivat vaarantua myös yrityksen tilit.

Valjasta neljä silmää

Mitä ”neljän silmän periaate” tarkoittaa?

– Sitä, että prosessit kannattaa hajauttaa useammalle ihmisille, sopia esimerkiksi raja, jonka ylittävien maksujen täytyy mennä useamman kuin yhden ihmisen läpi. Jos yksi erehtyy – tai hänen sähköpostitilinsä on kaapattu – toinen voi vielä korjata tilanteen.

Ei liian laajoja käyttöoikeuksia yhdelle henkilölle.

Muutenkaan yhdellä henkilöllä ei ole hyvä olla liian suuria käyttöoikeuksia esimerkiksi taloushallintojärjestelmiin, jotta huijaus voidaan estää, ja sellaisen onnistuessa vauriot ovat rajatumpia.

Varmista tilinumeromuutokset

Liittyykö palkanmaksuun ja laskutukseen huijauksia?

– Huijari voi esiintyä yrityksen tuttuna kumppanina ja ilmoittaa esimerkiksi sähköpostitse, että yrityksen maksutili on muuttunut. Työntekijä taas saattaa ilmoittaa uudesta tilistä, jolle palkka pitää tulevaisuudessa maksaa. Todellisuudessa molempien ilmoitusten taustalla on huijari.

Viesti voi näyttää tulleen aidosta osoitteesta, jos huijari on onnistunut kaappaamaan palkollisen tai kumppanin sähköpostitilin.

Näissäkin auttaa neljän silmän periaate sekä se, että tilinumeromuutosten varalle on selkeä prosessi, joilla ne varmistetaan. Tällainen voi olla vaikkapa puhelinsoitto asianosaiselle.

Käytä kaksivaiheista tunnistautumista

Mitä muuta erityistä yrityksissä kannattaa ottaa huomioon huijausten suhteen?

– Kaikissa tärkeissä toiminnoissa kuten taloushallintajärjestelmissä kannattaa olla aina kaksivaiheinen tunnistautuminen.

Tunnistautumiseen käytetään palvelusta riippuen eri tapoja, esimerkiksi Authenticator-sovellusta tai vahvaa sähköistä tunnistautumista verkkopankin tai mobiilivarmenteen kautta. Tunnistautuessa täytyy vielä olla huolellinen, että tunnistaa varmasti omaa eikä huijarin istuntoa.

Yrittäjä, muista ainakin nämä asiat, jottet haksahda huijaukseen

  • Neljän silmän periaate: maksut menevät useamman henkilön läpi.
  • Hajautus: ei liikaa käyttö- ja toimintaoikeuksia yhdellä henkilöllä.
  • Kaksivaiheinen tunnistautuminen kaikissa tärkeissä toiminnoissa.
  • Henkilökohtainen liittyy aina firmaan: jos omat tunnukset vaarantuvat, myös yrityksen tunnukset saattavat vaarantua käyttöoikeuksien kautta.
  • Huolella mietityt prosessit: esimerkiksi kumppanin tai työntekijän tilinumerovaihdokset varmennetaan aina puhelinsoitolla.