» »

Direktor zahteva takojšnje plačilo večjega zneska na tuj TRR

Direktor zahteva takojšnje plačilo večjega zneska na tuj TRR

bastadu ::

Hja, čeprav naša računovodja na videz ne izgleda blond, je očitno vseeno globoko v sebi čistokrvna blondinka, saj je na polno nasedla tejle z aviona očitni spletni prevari, ki sodi že v kategorijo "saj ni res, pa je". Kakorkoli, članek priporoča, da naj informatiki vključijo varnostni mehanizem "preverjanje prisotnosti elektronske pošte". Elektronsko pošto imamo preko free variante Google Appsa, nastavljen SPF že od vsega začetka, ampak to je očitno samo za našo odhodno pošto, da jo SPAM filtri ne bi prepoznavali kot neželjeno pošto. Torej, kje in kako nastaviti "preverjanje prisotnosti elektronske pošte" za dohodno pošto? Za branje pošte nekateri uporabljajo Outlook (verzije 2007-2013), nekateri pa Googlov spletni vmesnik. Hvala za nasvet!
  • spremenilo: bastadu ()

noraguta ::

prisotnosti zagotavlaš z obstojem. Pristnoat je pandruga reč.
Pust' ot pobyedy k pobyedye vyedyot!

Yacked2 ::

Podpisovanje emailov ? Tako preveriš verodostorjnost, pa še šifiraraš lahko.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

bastadu ::

noraguta je izjavil:

prisotnosti zagotavlaš z obstojem. Pristnoat je pandruga reč.

To je copy & paste iz linka policije, očitno imajo napako ja, pravilno bi bilo "pristnosti" ...

SeMiNeSanja ::

Ja, problem je, ker bi rad vsakdo pošiljal maile od vsepovsod, zato preverjanje SPF zapisov ni univerzalna rešitev, sploh pa ne rešitev pred tovrstnimi prevaranti.

Edina malo bolj resna zaščita pred tovrstnimi zadevami je že omenjeno digitalno podpisovanje 'pomembnejših' sporočil. Nekatera podjetja so dejansko že uvedla, da se mora vsa poslovna korespondenca podpisovati z digitalnimi certifikati.

dz0ny ::

Za začetek vključiš DMARC poročila, ki ti povejo kdo spoofa sporočila in od kje. IP-je blokiraš na dohodnem strežniku. SPF ima comformni(samo doda oppozorilo v glavo) in eksplicitni(zavrže pošto) način, tukaj ti spet pomaga DMARC, ki ti pove kateri nastavitev v spf moraš spremeniti bodisi whitelistat bodisi blacklistat.

Za preverjanje pošte znotraj podjetja lahko uporabiš S/MIME (Comodo,Slovenska davčna ti da free cert) ali pa sam vodiš PKI.

1. Primer DMARC poročila (https://dmarc.postmarkapp.com/), lahko si tudi sam nastaviš report callback mailbox.

darkolord ::

O, kul tale DMARC tool. Nazadnje, ko sem to imel vklopljeno, ni bilo nobenega pametnega toola za to, po XMLjih na roke gledat se mi pa hitro ni dalo več.

mailer ::

In koliko je nakazala?
Asus B560-I, Intel 11500, Corsair 16GB 3200MHz

SeMiNeSanja ::

Kaj ti pomaga SPF&Co, če 'direktor' pošlje mail z gmail, yahoo,... accounta? Po možnosti pravega, ampak kompromitiranega? Edino z digitalnim podpisom lahko preveriš, če je res direktor poslal mail, ne pa 'direktor'.

Ampak tu se spet skriva nevarnost, da si nekdo priskrbi poceni - zastonjski certifikat za podpisovanje mailov. Če pogledaš certifikat samo površno, ne boš opazil, da se ne gre za tistega 'pravega', katerega uporablja direktor ampak za povsem drugega....

Skratka - če je vsota večja, sporočilo pa še tako pristno videt - pokličeš direktorja (menda imaš njegovo mobitel številko, če si računovodja?) in ga osebno vprašaš, če je zadeva košer, ali pa te skuša nekdo naplahtat. Dvomim, da bo kateri direktor zameril tako vestno preverjanje.

Še bolje pa je, da se jasno definira pravila igre, da se nakazila nad zneskom x€ lahko zahteva izključno po klasični 'papirnati' metodi, ne glede na to, kako je zadeva nujna ali kdo je podal zahtevo - brez kakršnekoli izjeme. Če se vsi držijo tega, do hujših prevar na tak način sploh priti ne more.

Najboljše rešitve niso nujno tehnične.....

darkolord ::

'Papirnata' metoda ima prav iste pomanjkljivosti.

SeMiNeSanja ::

darkolord je izjavil:

'Papirnata' metoda ima prav iste pomanjkljivosti.

Malo težje bo, da neka nepooblaščena nepoznana zunanja oseba prinese računovodkinji papir z zahtevo po nakazilu, pa da bo stvar kar 'požrla'. Takoj bo v verigi vsaj še ena oseba, ki bo morala stvar odobriti.

Še bolj čudna bi se mi zedla varianta, da bi nekdo X prišel v firmo in trdil, da ga pošilja direktor z nalogom....

Ta X bo kot prvo moral imeti ponaredek podpisa, ki je najmanj na približno podoben direktorjevemu, poleg tega pa se barabin ne bo želel na tak način osebno izpostavljat, saj bi ga računovodkinja lahko identificirala s pomočjo policije.

Sploh pa pri tem odpadejo barabe, ki živijo tisoče kilometrov proč.

johnnyyy ::

Ne vem kakšno računovodjo imate ampak očitno je bolj zelena kot pa blond. Poleg tega pa se stvari kažejo v tem da finance v podjetju niso urejene. Za vsak pridobljen račun mora obstajati ponudba in nekdo, ki je prevzel/prejel material/storitev. To da nekomu pošlješ denar brez prijete začetne ponudbe, potrditve ponudbe in na koncu računa je zame zrelo za suspenz.

In ja, papirnate metode imajo isti problem. Eno izmed prvih del našega direktorja (takrat še ni bil direktor), je bilo preverjanje računov. Torej vsak račun, ki pride na firmo je preveril ali je bil dostavljen material oz. opravljena storitev. In glede na njegove besede, je bilo fail računov velik.

darkolord ::

SeMiNeSanja je izjavil:

Malo težje bo, da neka nepooblaščena nepoznana zunanja oseba prinese računovodkinji papir z zahtevo po nakazilu, pa da bo stvar kar 'požrla'. Takoj bo v verigi vsaj še ena oseba, ki bo morala stvar odobriti.

Še bolj čudna bi se mi zedla varianta, da bi nekdo X prišel v firmo in trdil, da ga pošilja direktor z nalogom....

Ta X bo kot prvo moral imeti ponaredek podpisa, ki je najmanj na približno podoben direktorjevemu, poleg tega pa se barabin ne bo želel na tak način osebno izpostavljat, saj bi ga računovodkinja lahko identificirala s pomočjo policije.

Sploh pa pri tem odpadejo barabe, ki živijo tisoče kilometrov proč.
Ja, bolj tvegano je, je pa vseeno izvedljivo. Večkrat sem videl, da imajo v računovodstvu kupček računov, potrjenih s strani direktorja, ki čakajo na plačilo. Če se v kupčku znajde še kakšen ...

Lonsarg ::

johnnyyy je izjavil:

Poleg tega pa se stvari kažejo v tem da finance v podjetju niso urejene. Za vsak pridobljen račun mora obstajati ponudba in nekdo, ki je prevzel/prejel material/storitev. To da nekomu pošlješ denar brez prijete začetne ponudbe, potrditve ponudbe in na koncu računa je zame zrelo za suspenz.

This.

Finance v podjetju morajo biti tako urejena, da je vsako nakazilo/plačilo jasno razvidno v internem IT programu, ki se ga za to uporablja. Načeloma se ima en program za manjše birokratske zadeve(potni nalogi itd), za vse večje pogodbe z strankami pa se ponavadi razvije celo svojo rešitev z pomočjo SQL baze(pač čisto od situacije odvisno). Vglavnem mail temu pač NI namenjen...

Obstaja sicer varianta, da to podjetje ima vse to urejeno, ampak so samo pozabili tajnico podučiti o tem, da se po mailih takih stvari ne pošilja..

Zgodovina sprememb…

  • spremenil: Lonsarg ()

Ziga Dolhar ::

Bolj kot tehnična zaščita se za Fake President Fraud priporoča definiranje politik. Npr., da je za plačila nad določenimi zneski potrebna odredba vsaj dveh oseb, da mora računovodja vsako tako naročilo preveriti (ne po emailu :)), in celo plačilni dnevi. Aja, pa da se navodila v stilu "tole je zaupno, ne smete omenjati niti meni" nujno ignorirajo :).
https://dolhar.si/

Invictus ::

S firmami po tujini, s katerimi sodelujem, imajo 1x - 2x na mesec sestanek, kjer se preverja vse račune.

Pa ni to samo direktor plus računovodja...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Machete ::

Pri nas vse račune, ki so namenjeni plačilu v računovodstvu, ročno popisujemo preden jih dobi računovodkinja. Tudi elektronske se printa in podpiše :) Je pa tako kot pravi Darklord, to so metri kuvert v višino.
Predračune pa se telefonsko potrdi ali naroči plačilo z negeneričnim mailom, kjer bi šlo težko za poneverbo (interni pripisi za kaj se gre, narečje v besedilu, smajliji itd :P)

Seveda smo pa sedaj lahko pametni, 100 podjetij, 100 okoliščin in praks..
LC1000|Asrock-H470PG|i7-10700K|2x16GB|RTX-3080 EAGLE|W10Pro
new Nintendo 2DS & 3DS XL|Galaxy S24+

Zgodovina sprememb…

  • spremenil: Machete ()

SaXsIm ::

Enostavno - za to delo zadolžiš dve osebi. Ena vnaša zadeve v spletno banko, druga jih potrjuje. Praktično vse poslovne spletne banke ponujajo to možnost.
SaXsIm

noraguta ::

Če gre za manjše podjetje. Se pač preveri. Načeloma direktor odgovarja, računovodje zgolj izvedejo transakcijo.
Če gre pa za večje zneske, pa samo hohohoho da računovodja ne preveri naloga in stranke.
Pust' ot pobyedy k pobyedye vyedyot!

Furbo ::

Za nazaj in teorijo smo vsi lahko pametni, ampak v precej podjetjih bi šlo tole gladko skozi, ker se tudi sicer taki maili dnevno dogajajo.
i5-13600K, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO, Toughpower GF3 1000W
RTX3070, ALIENWARE AW3821DW, DELL U3014

AnotherMe ::

Furbo je izjavil:

Za nazaj in teorijo smo vsi lahko pametni, ampak v precej podjetjih bi šlo tole gladko skozi, ker se tudi sicer taki maili dnevno dogajajo.



Tale tvoj stavek me navdaja z zelo groznimi mislimi... Kaj smo res taki idioti??

Ampak sedaj je tu poslovna priložnosto, oz. kar dve:

1. cenovno ugodno izobračevanje in ozaveščanje podjetij in njihovih zaposlenih o (ne)varnosti na spletu in pa še dodatno tehnično podprte rešitve.
Ker to že kar precej podjetij dela in vedno jokajo, da se njihove storitve vsem zdijo predrage in da jih ne rabijo, predlagam drugo karierno pot:

2. nategnit čimvečje število takšnih podjetij kar je možno! Doprinosa sta dva:
2.1 - direkt keš
2.2 - na trgu se ustvarijo razmere za prvo navedeno poslovno priložnost :)

ABX ::

bastadu je izjavil:

Hja, čeprav naša računovodja na videz ne izgleda blond, je očitno vseeno globoko v sebi čistokrvna blondinka, saj je na polno nasedla tejle z aviona očitni spletni prevari, ki sodi že v kategorijo "saj ni res, pa je". Kakorkoli, članek priporoča, da naj informatiki vključijo varnostni mehanizem "preverjanje prisotnosti elektronske pošte". Elektronsko pošto imamo preko free variante Google Appsa, nastavljen SPF že od vsega začetka, ampak to je očitno samo za našo odhodno pošto, da jo SPAM filtri ne bi prepoznavali kot neželjeno pošto. Torej, kje in kako nastaviti "preverjanje prisotnosti elektronske pošte" za dohodno pošto? Za branje pošte nekateri uporabljajo Outlook (verzije 2007-2013), nekateri pa Googlov spletni vmesnik. Hvala za nasvet!


Ni praktične rešitve.
Pouči kader da za take zadeve se vedno preveri.
Vaša inštalacija je uspešno spodletela!

tikitoki ::

Tolk nezapolenih, na delovnih mestih pa nesposobnezi, ki ne morejo niti verodostojnosti nalogo za placila preveriti :S

johnnyyy ::

Furbo je izjavil:

Za nazaj in teorijo smo vsi lahko pametni, ampak v precej podjetjih bi šlo tole gladko skozi, ker se tudi sicer taki maili dnevno dogajajo.

Dnevno dogajajo?! Noben račun ni tako važen, da bi ga moral plačati takoj. Poleg tega je osnova za nakazilo račun in ne nek mail, ki ga je napisal direktor. Takšna dejanja so sumljiva za pranje denarja in to bi moral vedeti tisti, ki se s financami ukvarja.

Mi pa vse skupaj deluje, da se je to zgodilo nekomu brez hrbtenice, ki svojemu nadrejenemu samo kima.

Ziga Dolhar ::

Račun ni (edina) osnova za nakazilo. No, iz računa terjatev zagotovo ne nastane.
https://dolhar.si/

darkolord ::

Precejkrat gre tudi po predračunu/ponudbi. Tam se plača "takoj" in ni nobene dobave, ki bi jo lahko preveril.

Zgodovina sprememb…

  • spremenilo: darkolord ()

Malajlo ::

darkolord je izjavil:

Precejkrat gre tudi po predračunu/ponudbi. Tam se plača "takoj" in ni nobene dobave, ki bi jo lahko preveril.

Ampak nabavni nalog obstaja. In referenca nanj v predračunu.

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Gmail blokada

Oddelek: Pomoč in nasveti		141642 (1258) p1nky
»

Pomoč pri spletnem nategu

Oddelek: Omrežja in internet		435213 (2678) AndrejS
»

Pošiljanje emaila na @siol.net

Oddelek: Pomoč in nasveti		294462 (3631) SeMiNeSanja
»

Kako so spletni prevaranti ukradli 40 milijonov evrov

Oddelek: Novice / Varnost		298787 (6311) darkolord

Več podobnih tem