Nadużycia po amerykańsku, czyli kij i marchewka

Data: 20 sierpnia 2014 | Autor: | Brak komentarzy »

Czytelnicy Fraud IQ z pewnością zwrócili uwagę na to, że większość opisywanych tutaj spraw miała miejsce w Stanach Zjednoczonych. Ma to swoje źródło oczywiście w znacznie większej przejrzystości korporacyjnej oraz łatwym dostępie do tego rodzaju informacji, ale nie bez znaczenia jest także fakt, że państwo robi tam wiele, aby zachęcić organizacje do aktywnego przeciwdziałania oraz zwalczania nadużyć gospodarczych. Chyba najszerzej znanym tego typu mechanizmem są zasady sformułowane w ramach Federal Sentencing Guidelines for Organizations, które chciałbym nieco przybliżyć.

Amerykanie wyszli z prostego założenia, że organizacje, podobnie jak ludzie, łamią prawo, w związku czym ich postępowanie podlega ocenie sądu, a sama osoba prawna może zostać skazana. Wprawdzie firma nie powędruje do więzienia, ale istnieje szerokie spektrum innych środków karnych mających w tym przypadku zastosowanie – można je z grubsza podzielić na trzy grupy: środki ograniczające samodzielność działania organizacji (np. wdrożenie określonego programu naprawczego), wpływające na jej reputację (np. upublicznienie informacji o zakazanych praktykach) oraz – chyba najbardziej bolesne – kary pieniężne.

Czytaj dalej »


Visa wprowadza scoring ryzyka transakcji

Data: 13 sierpnia 2014 | Autor: | Brak komentarzy »

Najwierniejsi Czytelnicy Fraud IQ mogą pamiętać, że niemal dokładnie 4 lata temu pisałem o skimmingu kart płatniczych dokonywanym przy wykorzystaniu czytników kart zamontowanych w samoobsługowych dystrybutorach na stacjach benzynowych (ang. pay-at-the-pump). Stwierdziłem wtedy, że „Ponieważ straty ponoszą w tym przypadku tak banki, jak i koncerny paliwowe / właściciele stacji, należy oczekiwać rychłej odpowiedzi na ten problem. Z pewnością szybko zostaną opracowane standardy i procedury bezpieczeństwa dla płatności we wszystkich tego typu urządzeniach (…)”. Wg danych, jakie pojawiły się w późniejszym okresie, średnia wartość strat z tytułu oszukańczych transakcji na samoobsługowych stacjach była niemal czterokrotnie wyższa od średniej w innych punktach handlowych. Tymczasem na pierwsze próby wyeliminowania tego procederu przyszło nam czekać aż do dnia dzisiejszego.

W ostatnich dniach Visa ogłosiła, iż zakończyła fazę pilotażową nowego rozwiązania pod nazwą Visa Transaction Advisor, które ma pomóc w zmniejszeniu tego typu nadużyć. Jednocześnie poinformowała, że nadużycia typu pay-at-the-pump są zaledwie pierwszym krokiem w zastosowaniu tej technologii, a docelowo ma ona objąć także – a może przede wszystkim – transakcje dokonywane w internecie (czyli card-not-present). Oczywiście będzie ona implementowana na życzenie klientów wszędzie tam, gdzie klienci – a także oszuści – dokonują transakcji bez pośrednictwa obsługi, czyli w miejscach, w których mogą się oni posługiwać kartami skradzionymi lub sklonowanymi i uniknąć ujawnienia tego faktu.

Czytaj dalej »


Karty płatnicze celem “wyskrobywaczy pamięci”

Data: 7 sierpnia 2014 | Autor: | Brak komentarzy »

Temat gigantycznego wycieku danych kart płatniczych należących do ponad 110 milionów klientów sieci handlowej Target, jaki miał miejsce pod koniec ubiegłego roku, nie gościł na łamach Fraud IQ. W owym czasie wydawało mi się bowiem, że raczenie Czytelników niuansami technicznymi tego incydentu nie będzie ani zbytnio ciekawe, ani też nie przyczyni się bezpośrednio do rozwoju świadomości ryzyka nadużyć. Wszak cała sprawa rozegrała się gdzieś w czeluściach sieci komputerowej Targetu, na której funkcjonowanie i bezpieczeństwo klienci nie mają wpływu.

W tym aspekcie nic się oczywiście nie zmieniło, ale należy zauważyć, że technika, jaką przestępcy wówczas wykorzystali, żeby pozyskać wrażliwe dane, zyskuje coraz większą popularność. W ostatnich dniach amerykański CERT (Computer Emergency Readiness Team) upublicznił bowiem informację o sposobie funkcjonowania malware’u BackOff, należącego do rodziny złośliwego oprogramowania, które zostało wykorzystane m.in. we wspomnianym ataku na Target. Jednak to nie szczegóły techniczne powinny wzbudzić nasze zaniepokojenie (te są stosunkowo dobrze znane i ewoluują od pierwszej dekady XXI w.), ale fakt, że tego rodzaju elektroniczne szkodniki przestają być wykorzystywane przez typowych techno-maniaków i trafiają do szerszego obiegu, w którym może je wykorzystać niemal każdy, dysponujący odpowiednią determinacją i środkami na niewielką stosunkowo inwestycję.

Czytaj dalej »


Pozorny dowcip z drugim dnem

Data: 15 lipca 2014 | Autor: | Brak komentarzy »

Dotychczas sceptycy bitcoina zwracali uwagę opinii publicznej przede wszystkim na zagrożenia związane z wykorzystaniem tej wirtualnej waluty do celów prania pieniędzy. Tymczasem pomysłowi oszuści nie spoczywają na laurach i wymyślają coraz to nowe „zastosowania” dla bitcoina, które to oczywiście mają tejże waluty przysporzyć przede wszystkim właśnie im. W sukurs przychodzi im przede wszystkim anonimowość oferowana przez nią anonimowość.

W ostatnich dniach internet obiegła interesująca fotografia (patrz niżej), zamieszczona na Facebooku przez właściciela pizzerii 900 Degrees Neapolitan ze stanu New Hampshire i przedstawiająca – zgodnie z nagłówkiem – „Zawiadomienie o wymuszeniu”… I nie jest to pomyłka, jako że zawartość pisma potwierdza intencje jego autora. Otrzymanie identycznych w treści listów potwierdzili także inni właściciele lokali gastronomicznych ze Stanów Zjednoczonych. O ile „Zawiadomienie” dotarło do nich drogą tradycyjną, to spełnienie zawartych w nim warunków wymaga już udania się online.

Czytaj dalej »


Fetysz 5%

Data: 8 lipca 2014 | Autor: | Brak komentarzy »

5% – od kilku lat wartość ta bije nas po oczach i uszach, kiedy tylko przychodzi nam zetknąć się z problematyką nadużyć gospodarczych w formie wykładu, prezentacji, artykułu itp. Wartość ta, podawana co dwa lata przez Association of Certified Fraud Examiners w „Raporcie do narodów na temat nadużyć pracowniczych”, jest bezkrytycznie cytowana i przytaczana przez szerokie grono osób, zarówno zawodowo związanych ze zwalczaniem przestępczości gospodarczej, jak i kompletnych laików w tym zakresie. Nie umniejszając nic znaczeniu tego wskaźnika, uważam jednak, że warto spojrzeć na niego nieco krytycznie i zastanowić się, jaką tak naprawdę wiedzę on nam przynosi.

ACFE nie odsłania publicznie zbyt wielu informacji na temat sposobu kalkulacji i ujęcia wyników swoich badań, ale wszyscy, którzy na przestrzeni ostatnich lat mieli okazję w nich uczestniczyć (siłą rzeczy mowa tutaj jedynie o osobach legitymujących się kwalifikacjami CFE), a także zadali sobie trud sięgnięcia po szczątkowe informacje opisane na podstronie „Metodologia” serwisu z Raportem, mogą pokusić się o pewną interpretację. Czytelnikom Fraud IQ przedstawiam zatem moje przemyślenia dotyczące magicznych 5%.

Czytaj dalej »