Nadużycia po amerykańsku, czyli kij i marchewka

Data: 20 sierpnia 2014 | Autor: | Brak komentarzy »

Czytelnicy Fraud IQ z pewnością zwrócili uwagę na to, że większość opisywanych tutaj spraw miała miejsce w Stanach Zjednoczonych. Ma to swoje źródło oczywiście w znacznie większej przejrzystości korporacyjnej oraz łatwym dostępie do tego rodzaju informacji, ale nie bez znaczenia jest także fakt, że państwo robi tam wiele, aby zachęcić organizacje do aktywnego przeciwdziałania oraz zwalczania nadużyć gospodarczych. Chyba najszerzej znanym tego typu mechanizmem są zasady sformułowane w ramach Federal Sentencing Guidelines for Organizations, które chciałbym nieco przybliżyć.

Amerykanie wyszli z prostego założenia, że organizacje, podobnie jak ludzie, łamią prawo, w związku czym ich postępowanie podlega ocenie sądu, a sama osoba prawna może zostać skazana. Wprawdzie firma nie powędruje do więzienia, ale istnieje szerokie spektrum innych środków karnych mających w tym przypadku zastosowanie – można je z grubsza podzielić na trzy grupy: środki ograniczające samodzielność działania organizacji (np. wdrożenie określonego programu naprawczego), wpływające na jej reputację (np. upublicznienie informacji o zakazanych praktykach) oraz – chyba najbardziej bolesne – kary pieniężne.

Przeczytaj całość wpisu »


Visa wprowadza scoring ryzyka transakcji

Data: 13 sierpnia 2014 | Autor: | Brak komentarzy »

Najwierniejsi Czytelnicy Fraud IQ mogą pamiętać, że niemal dokładnie 4 lata temu pisałem o skimmingu kart płatniczych dokonywanym przy wykorzystaniu czytników kart zamontowanych w samoobsługowych dystrybutorach na stacjach benzynowych (ang. pay-at-the-pump). Stwierdziłem wtedy, że „Ponieważ straty ponoszą w tym przypadku tak banki, jak i koncerny paliwowe / właściciele stacji, należy oczekiwać rychłej odpowiedzi na ten problem. Z pewnością szybko zostaną opracowane standardy i procedury bezpieczeństwa dla płatności we wszystkich tego typu urządzeniach (…)”. Wg danych, jakie pojawiły się w późniejszym okresie, średnia wartość strat z tytułu oszukańczych transakcji na samoobsługowych stacjach była niemal czterokrotnie wyższa od średniej w innych punktach handlowych. Tymczasem na pierwsze próby wyeliminowania tego procederu przyszło nam czekać aż do dnia dzisiejszego.

W ostatnich dniach Visa ogłosiła, iż zakończyła fazę pilotażową nowego rozwiązania pod nazwą Visa Transaction Advisor, które ma pomóc w zmniejszeniu tego typu nadużyć. Jednocześnie poinformowała, że nadużycia typu pay-at-the-pump są zaledwie pierwszym krokiem w zastosowaniu tej technologii, a docelowo ma ona objąć także – a może przede wszystkim – transakcje dokonywane w internecie (czyli card-not-present). Oczywiście będzie ona implementowana na życzenie klientów wszędzie tam, gdzie klienci – a także oszuści – dokonują transakcji bez pośrednictwa obsługi, czyli w miejscach, w których mogą się oni posługiwać kartami skradzionymi lub sklonowanymi i uniknąć ujawnienia tego faktu.

Przeczytaj całość wpisu »


Karty płatnicze celem „wyskrobywaczy pamięci”

Data: 7 sierpnia 2014 | Autor: | Brak komentarzy »

Temat gigantycznego wycieku danych kart płatniczych należących do ponad 110 milionów klientów sieci handlowej Target, jaki miał miejsce pod koniec ubiegłego roku, nie gościł na łamach Fraud IQ. W owym czasie wydawało mi się bowiem, że raczenie Czytelników niuansami technicznymi tego incydentu nie będzie ani zbytnio ciekawe, ani też nie przyczyni się bezpośrednio do rozwoju świadomości ryzyka nadużyć. Wszak cała sprawa rozegrała się gdzieś w czeluściach sieci komputerowej Targetu, na której funkcjonowanie i bezpieczeństwo klienci nie mają wpływu.

W tym aspekcie nic się oczywiście nie zmieniło, ale należy zauważyć, że technika, jaką przestępcy wówczas wykorzystali, żeby pozyskać wrażliwe dane, zyskuje coraz większą popularność. W ostatnich dniach amerykański CERT (Computer Emergency Readiness Team) upublicznił bowiem informację o sposobie funkcjonowania malware’u BackOff, należącego do rodziny złośliwego oprogramowania, które zostało wykorzystane m.in. we wspomnianym ataku na Target. Jednak to nie szczegóły techniczne powinny wzbudzić nasze zaniepokojenie (te są stosunkowo dobrze znane i ewoluują od pierwszej dekady XXI w.), ale fakt, że tego rodzaju elektroniczne szkodniki przestają być wykorzystywane przez typowych techno-maniaków i trafiają do szerszego obiegu, w którym może je wykorzystać niemal każdy, dysponujący odpowiednią determinacją i środkami na niewielką stosunkowo inwestycję.

Przeczytaj całość wpisu »

p5rn7vb

Błąd audytora nie ujawnił oczywistego nadużycia

Data: 29 lipca 2014 | Autor: | Brak komentarzy »

Interesujący z punktu widzenia audytorów śledczych (i nie tylko) wyrok zapadł w ostatnich dniach w nowojorskim sądzie federalnym. Oddalono bowiem pozew akcjonariuszy przeciwko firmie audytorskiej Moore Stephens, zarzucający tej ostatniej poważne zaniedbanie związane z badaniem sprawozdań finansowych chińskiej firmy Puda Coal, notowanej na amerykańskiej NYSE.

Wydaje się, że rozstrzygnięcie przeszło zupełnie niezauważone, ale nie sposób oprzeć się wrażeniu, że stanowi ono niebezpieczny precedens dotyczący odpowiedzialności audytorów finansowych w ogóle, nie tylko pod kątem ich odpowiedzialności za ujawnianie nadużyć. W tej kwestii standardy są różne i niniejszy wpis nie ma na celu rozstrzyganie wyższości amerykańskich Statements on Auditing Standards, polskich Krajowych Standardów Rewizji Finansowej, czy też mających w tym przypadku zapewne również zastosowanie standardów obowiązujących w Hong-Kongu. Ma za to skłonić do refleksji nad zaskakującą konkluzją, do jakiej doszła sędzina Katherine B. Forrest.

Przeczytaj całość wpisu »


Porcja dezinformacji antyfraudowej dla MSP

Data: 23 lipca 2014 | Autor: | Brak komentarzy »

W ostatnich tygodniach można zaobserwować wzmożone zainteresowanie dziennikarzy tematem nadużyć gospodarczych, aczkolwiek bardziej stosownym określeniem byłoby tutaj „potencjalnym zatrudnieniem w sektorze przeciwdziałania nadużyciom”. Niestety, praktycznie wszystkie artykuły, jakie na ten temat wpadły mi w ręce, koncentrują się na ślepej radości z kreowania nowych miejsc pracy, pomijając meritum.

Na szczęście poziom merytoryczny tekstów nie jest już tak zatrważający, jak opisywany w ostatnim czasie na łamach Fraud IQ artykuł z „Edukacji Prawniczej”, ale przełomu nie widać. Pozwolę sobie wziąć na warsztat artykuł z dzisiejszego wydania „Gazety Prawnej”, zatytułowany – a jakże – „Speca od afer przyjmę”. Teoretycznie wszystko jest w porządku, ale…

Przeczytaj całość wpisu »