یکی از انواع حملات سایبری و تهدیدات مهم برای کسبوکارها سرقت حقوق و دستمزد کارمندانشان است. مجرمان سایبری عموماً از ایمیل به عنوان ابزاری برای اجرای این حمله استفاده میکنند. به همین دلیل این نوع حمله جزو کلاهبرداریهای هک ایمیل کاری (BEC[1]) محسوب میشود. بر مبنای گزارشها و آمار ارایه شده توسط پلیس فدرال آمریکا (FBI)، در سال های 2018 و 2019 میلادی هکرها حدود 8 میلیون دلار پول را از این طریق سرقت کردهاند. نتایج تحقیقات FBI نشان میدهد میانگین خسارت گزارش شده در هر شکایت، حدود 8000 دلار است.
با توجه به اهمیت این موضوع در این مطلب از فراست، به تشریح این نوع کلاهبرداری و دلایل افزایش آنها میپردازیم.
کلاهبرداری حقوق و دستمزد چیست؟
اشخاص مختلف دیدگاههای متفاوتی درباره این کلاهبرداری دارند. بر اساس یک تعریف کلی، کلاهبرداری حقوق و دستمزد به معنای سرقت پول از طریق سیستم حقوق و دستمزد یک شرکت است. معمولاً افرادی در این سرقت مورد هدف قرار میگیرند که در یکی از بخشهای منابع انسانی، پرداخت حقوق، امور مالی یا مالیاتی یک سازمان مشغول به کار هستند.
انواع کلاهبرداریهای حقوق و دستمزد
- احتمال دارد منشأ این کلاهبرداری، مدیران ارشد سازمان باشند (یعنی خود کارفرما این کلاهبرداری را مرتکب شود).
- ممکن است این کلاهبرداری توسط کارمندان انجام شود.
- اشخاص ثالث و بیرون از سازمان احتمال دارد این کلاهبرداری را انجام دهند.
در ادامه، هر کدام از این روشهای کلاهبرداری حقوق و دستمزد را توضیح میدهیم.
اجرای کلاهبرداری حقوق و دستمزد توسط کارفرما
در این روش، کارفرما لیست کارمندان را به نحوی ثبت میکند تا از پرداخت بعضی از هزینهها از جمله مالیات دستمزد و بیمه کارمندان جلوگیری نموده و به این ترتیب قوانین کار و تأمین اجتماعی را دور بزند. مثلاً کارفرما در یک اقدام غیرقانونی، کارمندان را به عنوان پیمانکاران مستقل ثبت میکند. بنابراین کارمندان از حقوق و مزایای قانونی بیبهره میشوند.
بر اساس مطالعهای که توسط دانشگاه هاروارد صورت گرفته است، در بعضی از ایالتهای آمریکا قوانینی برای مقابله با این اقدام طراحی شده و طبقهبندی نادرست مشاغل کارکنان یک جرم محسوب میشود. سازمانهای متخلف هم که به صورت خواسته یا ناخواسته این عمل را مرتکب شوند ملزم به پرداخت جریمههای سنگین هستند.
اجرای کلاهبرداری حقوق توسط کارمندان
کارمندان یک سازمان از طریق روشهای زیر میتوانند حقوق سایر کارکنان را به سرقت برند:
- کارمندانی که وجود خارجی ندارند: در این روش، کارمندی که به سیستم پرداخت حقوق دسترسی دارد، یک حساب جعلی برای کارمندی ایجاد میکند که وجود خارجی نداشته و (برای کارهایی که انجام نداده) حقوق دریافت میکند.
- تغییر مبلغ دستمزد: در این روش، یک کارمند با یکی از اعضای بخش مالی یا منابع انسانی تبانی نموده تا دستمزد بیشتری دریافت کند.
- تغییر ساعت ورود و خروج: در این کلاهبرداری، یک کارمند ساعتهای کاری خودش را بیش از آنچه که بوده ثبت و در نتیجه اضافه حقوق دریافت میکند. معمولاً این افزایش، ناچیز و در حد 15 تا 30 دقیقه است و ناظرانی که حجم کارشان زیاد است، متوجه بروز این تخلفها نمیشوند.
البته مواردی هم وجود دارد که در آنها کارمندان عمداً ساعت خروج را ثبت نمیکنند تا برای ساعتهایی که کار نکردهاند حقوق بگیرند. این اقدام با اشتباه تصادفی (که کارمندی فراموش میکند هنگام ناهار یا در پایان روز کاری ساعت خروجش را ثبت کند) تفاوت دارد و جرم محسوب میشود.
اجرای کلاهبرداری حقوق و دستمزد توسط اشخاص ثالث
آخرین و مهمترین نوع کلاهبرداری حقوق و دستمزد معمولاً توسط اشخاص متفرقه انجام میشود. آنها از تکنیکهای فیشینگ استفاده نموده و کارمندانی را هدف قرار میدهند که در بخشهای منابع انسانی یا مالی و دستمزد فعالیت میکنند. این کلاهبرداران، قربانی را به ارایه اطلاعات حساس شخصی یا مالی یا انتقال وجه تشویق میکنند.
در هر صورت آنها از طریق اجرای حملات فیشینگ هدفدار (یعنی متقاعد کردن قربانی به انجام یک اقدام خاص، آن هم با استفاده از راهکارهای مهندسی اجتماعی) تلاش میکنند تا به اهداف مالی خود دست یابند.
انواع حملات فیشینگ که توسط کلاهبرداران حقوق و دستمزد اجرا میشوند، به شرح زیر هستند:
کلاهبرداری فیشینگ
معمولاً قبل از شروع فصل مالیاتی مقالات زیادی درباره این نوع از کلاهبرداری منتشر میشود. در این کلاهبرداری، مجرمان سایبری سعی میکنند به اطلاعاتی همچون نام، آدرس، شناسه ملی، درآمد و کسورات آن شرکت دست پیدا کرده تا بتوانند آنها را فروخته یا از آن برای ثبت اظهارنامه مالیاتی جعلی استفاده کنند. آنها این کار را از طریق تماس مستقیم با قربانی یا با کارمندان منابع انسانی و مالی انجام میدهند تا بتوانند اطلاعات لازم را درباره نیروی کار آنها جمعآوری کنند.
کلاهبرداریهای انتقال حقوق
در این کلاهبرداری، مجرمان ایمیلی را برای کارمندی در بخش منابع انسانی، حسابداری یا امور مالی ارسال میکنند. این ایمیل به گونهای طراحی میشود که به نظر برسد توسط یک کارمند (معمولاً مدیرعامل) ارسال شده است و در آن از قربانی درخواست میشود اطلاعات پرداخت حقوق را تغییر دهد. این ایمیل حاوی یک شماره حساب بانکی است تا دستمزد کارمند مورد نظر به آن واریز شود.
البته کلاهبرداری انتقال حقوق همیشه شامل تماس مجرمان با کارمندان منابع انسانی یا مالی نیست و روشهای دیگری هم برای انجام این کار وجود دارد، از جمله:
- هک سامانه پرداخت حقوق و دستمزد
- استفاده از ایمیل فیشینگ برای به دست آوردن اطلاعات دسترسی به سیستمهای حقوق
در روشهای بالا کارمندان غیرصادق هم اقداماتی را میتوانند انجام دهند که به نفع خودشان تمام شود و لزوماً نیازی به همراهی یک شخص ثالث ندارند. مجرمان سایبری نیز از این راهکارها برای ارتکاب جرم و دستیابی به منافع مادی خودشان استفاده میکنند.
مثالهای واقعی از کلاهبرداریهای حقوق و دستمزد
مثال شماره 1:
تیم مسئول تجربیات کاربری فروشگاه SSL Store (که در زمینه فروش گواهیهای SSL فعالیت دارد)، ایمیلهای زیادی را دریافت نموده که در آنها وانمود شده بود از جانب مدیرعامل یا معاون فروشگاه ارسال شدهاند. در عکس زیر یک نمونه از این ایمیلهای فیشینگ را مشاهده میکنید که برای مدیر یکی از شعبههای این فروشگاه به نام Nellie و مثلاً از جانب معاون کل فروشگاه به نام Kyle ارسال شده است.
اگر Nellie فقط به نام نمایش داده شده در صندوق ورودی ایمیل خودش دقت میکرد بدون اینکه آدرس واقعی فرستنده را بررسی کند، متوجه نمیشد که این ایمیل به جای حساب رسمی Kyle در سایت thesslstore.com از طرف آدرس cf90910@cox.net ارسال شده است.
خوشبختانه Nellie درباره اصول امنیت سایبری آموزش دیده و قابلیت تشخیص ایمیلهای فیشینگ را داشت. به همین دلیل هم همیشه بر نقش حیاتی آموزش کارمندان برای حفظ امنیت سایبری سازمانها تأکید میشود.
مثال شماره 2:
اوایل سال 2020 میلادی حدود نیم میلیون دلار از حقوق کارمندانی که در ایالت فلوریدا کار میکردند، به حساب مجرمان سایبری واریز شد. مجرمان سایبری این حمله را با نفوذ به سیستم واریز حقوق این شهر انجام دادند.
مثال شماره 3:
در منطقه باتلر کانتی اوهایو، تعدادی از ادارههای دولتی مورد هدف کلاهبرداری دستمزد و حقوق قرار گرفتند. در اثر این کلاهبرداری حقوق بعضی از کارمندان به حساب کلاهبرداران واریز شده و آنها توانستند چند چک حقوق تکراری را هم به ارزش بیش از 7 هزار دلار تولید کنند.
مثال شماره 4:
بزرگترین حادثه اخیر، شرکت MyPayrollHR (که یک شرکت ارایه خدمات حقوق و دستمزد در نیویورک است) را هدف گرفته بود. پس از این حادثه مدیرعامل این شرکت به اتهام کلاهبرداری بازداشت شده و به سرقت 70 میلیون دلار از حقوق و مالیاتهای واریزی مشتریانش اعتراف کرد.
چرا کلاهبرداریهای حقوق و دستمزد اهمیت زیادی دارند؟
اگر میخواهید متوجه میزان اهمیت این کلاهبرداریها شوید، مثال زیر را در نظر بگیرید:
فرض کنید صبح شنبه است و تیم منابع انسانی سازمان شما در حال مرور ایمیلهایی میباشد که آخر هفته دریافت کرده است. در بین ایمیلهایی که برای مسئول واریز حقوق کارمندان (آقای صالحی) ارسال شده است، ایمیلی از جانب کارمندی که در بخش بازاریابی فعالیت میکند (خانم حسینی) مشاهده میشود. در این ایمیل اعلام شده که خانم حسینی یک شماره حساب جدید باز کرده و میخواهد حقوق او به این حساب واریز شود.
آقای صالحی هم پس از دریافت این ایمیل تصمیم به تغییر اطلاعات پرداختی خانم حسینی میگیرد تا مطمئن شود که وی حقوق بعدیاش را بدون تأخیر و در شماره حساب اعلامی جدید دریافت میکند. پس از انجام این کار، ایمیلی برای خانم حسینی ارسال کرده و تغییرات انجام شده را به اطلاع او میرساند. خانم حسینی هم از این موضوع تشکر کرده و به نظر میرسد ماجرا به همین جا ختم میشود.
یک ماه بعد خانم حسینی ایمیل دیگری به تیم منابع انسانی ارسال میکند. او در این ایمیل علت عدم دریافت دو حقوق قبلیاش را جویا میشود. آقای صالحی هم که تصور میکند اشتباهی در وارد کردن شماره حساب خانم حسینی رخ داده، دوباره اطلاعات حساب وی را در ایمیل قبلی او بررسی میکند. شماره حساب درست است اما مشکلی که وجود دارد مربوط به بخش from ایمیل دریافتی است. اگرچه ظاهراً این ایمیل از سمت خانم حسینی ارسال شده اما آدرس ایمیل واقعی آن مربوط به یک حساب یاهوی نامرتبط (surferdudesr0xi0rs@yahoo.com) است.
آقای صالحی بلافاصله با بانک تماس گرفته و پیگیر جریان میشود ولی در نهایت میفهمد که برای پیگیری و حل مشکل دیگر خیلی دیر شده زیرا مجرمان پس از دستیابی به منافع مالی خود، حساب خانم حسینی جعلی را بستهاند!
این موضوع برای سازمان شما چه اهمیتی دارد؟
انجمن بازرسان تقلب گواهی شده (ACFE[2]) تخمین زده است که 5 درصد از درآمد سالیانه کسبوکارها در اثر سوءاستفاده و کلاهبرداری از کارمندان به سرقت میرود.
اگرچه ممکن است این عدد کوچک به نظر برسد اما برای درک بهتر اهمیت موضوع در نظر داشته باشید که اگر این ضرر 5 درصدی را به تولید ناخالص جهانی که حدود 79 تریلیون دلار است اعمال کنیم، ضرر ناشی از کلاهبرداری حقوق و دستمزد در سطح جهان حدود 4 تریلیون دلار میشود. با این حال مسأله به همین جا نیز ختم نمیشود.
در مثالی که به آن پرداختیم، علاوه بر اینکه پول سازمان شما به سرقت رفته باید حقوق خانم حسینی که توسط خود او دریافت نشده هم دوباره پرداخت شود. همچنین در صورت انتشار چنین خبری احتمال دارد به اعتبار و شهرت شرکت شما هم لطمه وارد شده و با جریمه و مشکلات قانونی مواجه شوید. حتی ممکن است این اتفاق در مقیاسی بسیار بزرگتر رخ داده و کارمندان بیشتری را درگیر کند. بنابراین اگر آمادگی مواجه با چنین اتفاقی را نداشته باشید، احتمال دارد کسبوکارتان کلاً ورشکسته شود.
چگونه میتوانیم با کلاهبرداری حقوق مقابله کنیم؟
برای مقابله با چنین کلاهبرداریهایی در سازمانها وجود قوانین و سیاستهای دقیق، بازرسیهای موشکافانه، مدیریت اصولی و همچنین آموزش منظم کارمندان نقش مهمی دارند. همچنین توصیه می شود به موارد زیر توجه جدی داشته باشید:
- ارزیابیها و بازرسیها را به طور منظم انجام دهید: این ارزیابیها باید شامل مشخص نمودن مخاطرات کلاهبرداری، حوادث سایبری، بررسی اسناد مالی و همچنین زمان بندی فعالیت کارمندان باشند. به این ترتیب میتوانید آسیب پذیریهای احتمالی را شناسایی و رفع نموده و هر گونه ناهنجاری را که احتمال دارد به دلیل جعل و کلاهبرداری ایجاد شده باشد، شناسایی کنید.
- اطلاعات پرداخت را ارزیابی کرده و فرایندها و کنترلهای داخلی را بهروزرسانی کنید: شرایط پرداخت حقوق و دستمزد کارمندان سازمان تان را با دقت زیاد بازبینی و تنظیم کنید تا از نحوه عملکرد صحیح آنها مطمئن شوید. همچنین کارمندی که درخواست تغییر اطلاعات حسابی که حقوقش به آن واریز میشود را دارد باید از طریق یک روش ارتباطی رسمی تماس گرفته و درخواست خود را مطرح کند. شما نباید به ایمیلهای درخواست این کار پاسخ داده یا با شمارههایی که در چنین ایمیلهایی ثبت شده اند تماس بگیرید بلکه باید از طریق شماره اصلی کارمند که در فایل اطلاعات کارمندان ثبت شده با وی تماس گرفته و از او تأییدیه بگیرید.
- راهکارهای امنسازی ایمیل را پیاده سازی کنید: از فیلترهای فیشینگ، ضدهرزنامه و نرمافزارهایی که ایمیلهای جعلی و هرزنامه ها را شناسایی و مسدود میکنند، استفاده کنید.
- سیاست حداقل سطح دسترسی را پیادهسازی کنید: تنها به اشخاصی امکان دسترسی به سیستمهای حساس (مثل سیستمهای حقوق و پرسنل) را بدهید که برای انجام کارشان به این دسترسیها نیاز دارند. کنترلهای دسترسی را به صورت منظم بازبینی و به روزرسانی کرده تا مطمئن شوید اطلاعات دسترسی به روز هستند.
- آموزش کارمندان را الزامی کنید: کارمندان باید به صورت پیوسته آموزشهای سایبری و امنیتی را ببینند. این آموزشها به کارمندان یاد میدهند که ایمیلهای فیشینگ و جعلی و همچنین سایر طرحهای کلاهبرداری ایمیلی و تلفنی را تشخیص دهند.
- اسناد را بازبینی کنید تا اطلاعاتتان به روز باشد: همه اظهارنامههای مالی را به صورت مرتب بررسی کرده تا بتوانید هر گونه فعالیت مشکوک و غیرعادی را در اسرع وقت شناسایی کنید.
- وظایف مالی را تفکیک کنید: هیچ شخص واحدی نباید کنترل کامل بر همه امور مالی یک شرکت داشته باشد. چنین رویکردی نه تنها از دیدگاه مخاطرات امنیتی صحیح نیست بله حتی از لحاظ منطقی نیز قابل قبول نمیباشد (چون اگر چنین شخصی دچار حادثه شود، با مشکلات زیادی مواجه خواهید شد).
- گواهینامههای احراز هویت و امضای ایمیل: گواهینامههای امضای ایمیل، راهکاری برای تأیید هویت فرستنده ایمیل و حفاظت از جامعیت ایمیلهای ارسالی با استفاده از رمزنگاری هستند. این گواهینامهها که به اسم گواهینامه S/MIME هم شناخته میشوند به کارمندان کمک میکنند تا معتبر بودن ایمیلها و اینکه آیا واقعاً توسط کارمند مورد نظر ارسال شدهاند یا خیر را بررسی کنند.
از آنجا که مجرمان سایبری همواره خلاقتر میشوند، مدافعان امنیت سایبری هم باید تلاش و کوشش خودشان را افزایش دهند. آنها باید سطح آگاهیهای خود را بالا برده و با در اختیار داشتن پروتکلها و سازوکارهای واکنش به چنین حوادثی، خودشان را برای مقابله با بدترین شرایط ممکن آماده کنند.
[1] Business eMail Compromise
[2] Association of Certified Fraud Examiners