Gotovo devet milijuna eura je šteta koju je pretrpjelo brodogradilište “Viktor Lenac” u slučaju koji se dovodi u vezu s kibernetičkom prevarom, vidljivo je iz objavljenog izvješća o poslovanju ovog brodogradilišta za prvi kvartal.

Nakon šturih informacija u drugoj polovini ožujka, kada su krenule glasine da se nešto čudno događa u brodogradilištu, osobito nakon ostavke Sandre Uzelac na mjesto predsjednice Uprave i priopćenja iz policije u kojem se spominje jedna neimenovana riječka tvrtka kao žrtva internetske prevare, sve što se znalo o razmjerima štete jest da je u pitanju “nekoliko milijuna eura”.

Povrat neizvjestan

Što se to točno i kako dogodilo, još je predmet istrage. S druge strane, “Viktor Lenac” kao dioničko društvo izlistano na Zagrebačkoj burzi u obvezi je izvijestiti investicijsku javnost, odnosno izaći s financijskim pokazateljima poslovanja u sklopu redovnih kvartalnih i godišnjih izvješća.

Da je iz ovog remontnog brodogradilišta neovlaštenim transakcijama isparilo 8,9 milijuna eura, vidljivo je iz računa dobiti i gubitka za prva tri mjeseca ove godine. Zanimljivo je da su u tvrtki nestali novac odmah prikazali na rashodovnoj strani. To što su ih već sada proknjižili kao poslovne rashode, umjesto da ih prikažu kao potraživanja, upućuje na dvije stvari; pitanje je hoće li i u kojem obujmu polica osiguranja nadomjestiti nastali gubitak, a očito je i da su šanse da se povrati novac gotovo zanemarive.

- Iako postoji polica osiguranja, stvarna primjenjivost pokrića i opseg eventualne naplate trenutno se procjenjuju. Stoga je, iz načela opreza, “Viktor Lenac” za nastalu štetu teretio rashode poslovanja, zbog čega koncem ožujka iskazuje ukupan gubitak u visini od 7,4 milijuna eura - navodi se u popratnom obrazloženju izvješća.

Kako je jedna ozbiljna tvrtka kao što je “Lenac” mogla nasjesti prevarantima, pokušali smo doznati od informatičkog stručnjaka Marka Rakara, jednog od osnivača i glavnog tajnika hrvatskog ogranka AFCE-a, Udruženja certificiranih istražitelja prevara. Za konkretni slučaj Rakar kaže da ima premalo informacija, ali je elaborirao modus operandi jednog od najčešćih oblika prevara koji se događaju u poslovnom svijetu.

Odmah apostrofira da je riječ o vrlo sofisticiranim oblicima prevare. Umjesto pojedinaca koji nasumično djeluju, najčešće iza takvih prevara stoji iskusna i dobro organizirana skupina prevaranata koji kompromitiraju, uvjetno rečeno, preotmu računalni sustav određene tvrtke i često tjednima, pa i mjesecima proučavaju korespondenciju putem e-maila, čekajući priliku kada da se ubace u komunikaciju.

Autentična zamka

- Tvrtke imaju različite poslovne odnose s brojnim partnerima. Posebno su osjetljive tvrtke koje posluju s inozemstvom, gdje su u pitanju prekogranične transakcije s dobavljačima, kupcima. U pravilu sve počinje zaprimljenom e-mail porukom koja je svojim sadržajem, e-mail adresom, imenima u mailu, svim bitnim podacima toliko autentična da razliku uoči tek forenzičar. U nekim istragama u kojima sam sudjelovao nailazio sam na e-mailove kako se logično nadovezuju na prethodnu korespondenciju što zaprimljenom e-mailu daje dodatni dojam autentičnosti - kaže Rakar.

Tvrtku koja im se našla na udaru podsjeća se na obvezu koju uskoro treba podmiriti, uz obavijest da je u međuvremenu došlo do promjene bankovnog računa, uz traženje da se transakcija obavi na novi račun. Razlozi koji se pritom navode mogu biti razni, od toga da je u pitanju konsolidacija poslovanja, da je račun otvoren zbog nekog poreznog problema ili da je u pitanju račun nakon provedene akvizicije. Često se u privitku takvog e-maila nalazi i prateće pismo banke koje potvrđuje da je novi bankovni račun promijenjen, pri čemu i ovaj dokument djeluje autentično. Rakar ukazuje i da se kod banaka “primatelja” često radi o bankama u Velikoj Britaniji, a u posljednje vrijeme nailazi i na slučajeve u kojima se traže plaćanja na banke u Portugalu.

- Do trenutka dok u tvrtki shvate da novac nije stigao gdje je trebao, obično protekne neko određeno vrijeme, možda i nekoliko dana, račun je već zatvoren, a novac raspršen na veći broj drugih računa diljem svijeta, uključujući i egzotična otočja, kako bi se prikrio trag krajnjeg primatelja - pojašnjava Rakar.

Kao jedan od proceduralnih načina zaštite, naš sugovornik navodi da bi se kod primitka svakog e-maila s instrukcijom promjene bankovnog računa trebalo to provjeriti alternativnim načinom komunikacije. Drugim riječima, da se telefonski nazove upravo ta osoba, ili neka druga odgovorna osoba u tvrtki od koje stiže takva obavijest, ali isključivo na odranije korišteni i memorirani broj telefona, nikako ne na onaj koji je naveden u podnožju ili memorandumu dobivenog e-maila. Rakar dodaje i da valja biti oprezan i u slučajevima gdje instrukcija za uplate stižu putem telefona, pa čak i videopoziva jer u vrijeme UI tehnologije više se ne može biti potpuno siguran s kim se zapravo razgovara.