O nouă zi, o nouă serie de e-mail-uri. Parcurgi rapid fiecare mesaj, uitându-te timp de câteva secunde la subiect și la expeditor: promoție, promoție, spam, newsletter… o factură! Expeditorul este un furnizor de încredere, însă termenul de plată pare depășit. Trimiți factura rapid către departamentul fianciar, cu tradiționala mențiune: Faceți plata astăzi, vă rog!
Te întorci liniștit la sarcinile de birou, mulțumit că ți-ai putut ajuta colegii să-și achite facturile. De fapt, ce ai făcut a fost să contribui involuntar la fraudarea companiei tale! Din păcate, nu ești singurul…
Din ce în ce mai multe companii sunt victimele fraudei prin metoda E-Mail-ului de Business (EMB). De fapt, un studiu recent efectuat pe companii din Marea Britanie a arătat că acestea au pierdut nu mai puțin de 93 de milioane de lire în 2018 și numai 4 din 10 dintre ele erau conștiente de problemă. Lucrurile nu stau mai bine nici în restul Europei, un raport despre fraudarea plăților arătând că frauda bazată pe facturi este în creștere.
Mai mult chiar, țări precum Belgia au organizat campanii menite să convingă afacerile mici și mijlocii să adopte facturile electronice (în concordanță cu noua legislație UE), pentru a preveni frauda prin facturare.
Dar ce este mai exact frauda prin facturare și cum îți poate ea afecta compania?
Fișierele periculoase și atacurile de tip „phishing” sunt de multă vreme ceva comun, însă documentele financiare au complicat lucrurile. Facturile nu livrează doar informație, ci și valoare monetară, fapt care le face ținte predilecte pentru atacuri precum:
Frauda la Nivel Executiv: Folosind o adresă falsă de e-mail sau una compromisă, atacatorii se prefac a fi CEO-ul sau CFO-ul unei companii și cer bani de la departamentul financiar. Acest tip de atac poate ținti toate tipurile de organizații și, anul trecut, un grup de hackeri a încercat să păcălească nu mai puțin de 35000 de manageri financiari prin această metodă.
Interceptarea Mesajelor Furnizorilor: Atacatorul are acces fie la domeniul de e-mail al furnizorului fie la unul foarte similar. El cere o plată folosind o factură care este foarte similară cu una uzuală sau, în unele cazuri, cere doar ca plata să se facă pe un alt cont. Și această tactică este destul de comună (afectând atât companii mari, cât și IMM-uri), dat fiindcă mulți furnizori mici nu folosesc canale sigure de e-mail, iar aceste mesaje nu au mereu fișiere suspecte atașate.
Interceptarea Mesajelor Interne: Atacatorul are acces la o adresă internă de e-mail (fie prin hacking, fie prin intermediul ingineriei sociale) și interceptează o factură legitimă de la un furnizor. Ulterior, hackerul înlocuiește detaliile facturii cu detaliile lui de plată și trimite mai departe factura la departmentul financiar, cerând o plată pe o factură aparent legitimă și de pe o adresă legitimă. Dacă numărul de facturi al companiei este foarte mare, astfel de atacuri pot trece neobservate luni de zile.
Deturnarea Fluxului de Aprobare: Multe companii care folosesc facturile prin e-mail au un proces de aprobare și plată. Aceste procese sunt foarte vulnerabile în faza finală, atunci când se face efectiv plata. Atacurile care o exploatează se mai numesc și „Fraude prin Notificarea de Plată”, pentru că mesajele trimise de atacatori confirmă livrarea unor bunuri fictive sau reale și cer plata pe loc. Cele mai complexe promit și reduceri pentru plata timpurie.
Pe lângă aceste tehnici des întâlnite, atacatorii pot încerca să se dea drept avocați, firme de contabilitate sau auditori sau pur și simplu să planteze fișiere malițioase (deghizate drept facturi). Chiar dacă atacurile lor n-au succes, interceptarea unei facturi le poate oferi atacatorilor multe date importante din punct de vedere financiar pentru o companie. Și ăsta este unul din motivele pentru care mulți atacatori aleg e-mail-ul ca unealtă principală.
Celălalt este că frauda prin e-mail are costuri minime sau inexistente pentru atacator. De altfel, imitarea domeniului unei companii fără un server de e-mail securizat este foarte ușoară.
Ce poți face pentru a o preveni?
- Folosește e-mail-ul cât mai puțin pentru a trimite facturi și bazează-te pe alte metode de transfer.
- Verifică informațiile furnizorilor înainte de a autoriza orice plată.
- Folosește un catalog electronic pentru a te asigura că prețurile de pe facturi sunt prețuri reale și agreate în prealabil.
- Folosește un sistem de 3-way matching pentru a verifica fiecare factură cu avizul de recepție și comanda inițială. Asta face identificarea facturilor mai rapidă și îngreunează eforturile de falsificare.
- Folosește instrumente de raportare pentru a compara o anumită perioadă cu alte perioade similare, din trecut. Vei observa imediat valori sau volume suspecte de facturi.
- Stabilește reguli de business și, bazându-te pe ele, verifică anumite detalii (precum codurile de produs) de pe facturi și verifică-le în ERP.
- Verifică duplicatele dar și facturile foarte similare, trimise într-o perioadă foarte scurtă de timp (dublarea facturilor e o metodă preferată de atacatori).
- Stabilește fluxuri de aprobare și mesaje de status pentru a ști în fiecare moment care este statusul unei facturi.
- Grăbește procesul de aprobare, pentru a preveni aglomerarea facturilor (cu cât mai multe facturi ai de aprobat și plătit, cu atât mai puțin te vei putea concentra la fiecare în parte).
- Cere confirmări, de fiecare dată când nu ești sigur de persoana care a autorizat o plată.
- Folosește reconcilierea plăților pentru a vedea ce s-a facturat și ce s-a plătit în fiecare lună.
- Asigură factorul uman prin sesiuni de training despre conformitate și securitate și învață-ți angajații să manipuleze corect documentele electronice.
- Redu munca umană la minim prin automatizarea proceselor repetitive.
- Folosește platforme și tehnici de securitate cibernetică. Verifică-ți în mod constant domeniul folosind soluții plătite sau gratuite precum MX Lookup.
Cum te poate ajuta facturarea electronică
Automatizarea sistemului de facturare electronică și, chiar mai mult, a întregului proces de AP și O2C îți va aduce economii de timp, bani și muncă. Prin trimiterea și primirea facturilor și a documentelor atașate printr-un sistem automatizat, nu doar că vei elimina munca manuală, dar vei și accelera semnificativ procesul de aprobare și vei obține control și vizibilitate completă în tranzacții.
Sistemele de automatizare precum platforma DocXchange de la DocProcess pot implementa cu ușurință reguli de business și n-way matching, precum și fluxuri de aprobare configurabile. Nu doar atât, dar prin adăugarea unei soluții precum DxCatalog (armonizarea datelor master) și DxArchive (o arhivă sigură și conformă cu legislația) vei securiza întregul lanț de procesare a documentelor, nu doar procesul de facturare.
Verificarea erorilor va fi și ea inclusă astfel încât, pe lângă fraudă, și neglijența va putea fi eliminată din procesul tău de control factură-furnizor.
Partea cea mai bună? Adresa ta de e-mail nu va fi niciodată implicată în proces! Soluțiile noastre se pot integra direct cu ERP-ul tău existent sau îți pot oferi un formular web sigur cu ajutorul căruia să-ți poți procesa documentele. Contactează-i pe consultanții noștri și află mai multe detalii!