کلاهبرداران سایبری، حقوق تان را نبرند!

یکی از انواع حملات سایبری و تهدیدات مهم برای کسب‌وکارها سرقت حقوق و دستمزد کارمندان‌شان است. مجرمان سایبری عموماً از ایمیل به عنوان ابزاری برای اجرای این حمله استفاده می‌کنند. به همین دلیل این نوع حمله جزو کلاهبرداری‌های هک ایمیل کاری (BEC[1]) محسوب می‌شود. بر مبنای گزارش‌ها و آمار ارایه شده توسط پلیس فدرال آمریکا (FBI)، در سال های 2018 و 2019 میلادی هکرها حدود 8 میلیون دلار پول را از این طریق سرقت کرده‌اند. نتایج تحقیقات FBI نشان می‌دهد میانگین خسارت گزارش شده در هر شکایت، حدود 8000 دلار است.

با توجه به اهمیت این موضوع در این مطلب از فراست، به تشریح این نوع کلاهبرداری و دلایل افزایش آنها می‌پردازیم.

 

کلاهبرداری حقوق و دستمزد چیست؟

اشخاص مختلف دیدگاه‌های متفاوتی درباره این کلاهبرداری دارند. بر اساس یک تعریف کلی، کلاهبرداری حقوق و دستمزد به معنای سرقت پول از طریق سیستم حقوق و دستمزد یک شرکت است. معمولاً افرادی در این سرقت مورد هدف قرار می‌گیرند که در یکی از بخش‌های منابع انسانی، پرداخت حقوق، امور مالی یا مالیاتی یک سازمان مشغول به کار هستند.

 

انواع کلاهبرداری‌های حقوق و دستمزد

• احتمال دارد منشأ این کلاهبرداری، مدیران ارشد سازمان باشند (یعنی خود کارفرما این کلاهبرداری را مرتکب شود).
• ممکن است این کلاهبرداری توسط کارمندان انجام شود.
• اشخاص ثالث و بیرون از سازمان احتمال دارد این کلاهبرداری را انجام دهند.

در ادامه، هر کدام از این روش‌های کلاهبرداری حقوق و دستمزد را توضیح‌ می‌دهیم.

 

اجرای کلاهبرداری حقوق و دستمزد توسط کارفرما

در این روش، کارفرما لیست کارمندان را به نحوی ثبت می‌کند تا از پرداخت بعضی از هزینه‌ها از جمله مالیات دستمزد و بیمه کارمندان جلوگیری نموده و به این ترتیب قوانین کار و تأمین اجتماعی را دور بزند. مثلاً کارفرما در یک اقدام غیرقانونی، کارمندان را به عنوان پیمانکاران مستقل ثبت می‌کند. بنابراین کارمندان از حقوق و مزایای قانونی بی‌بهره می‌شوند.

بر اساس مطالعه‌ای که توسط دانشگاه هاروارد صورت گرفته است، در بعضی از ایالت‌های آمریکا قوانینی برای مقابله با این اقدام طراحی شده و طبقه‌بندی نادرست مشاغل کارکنان یک جرم محسوب می‌شود. سازمان‌های متخلف هم که به صورت خواسته یا ناخواسته این عمل را مرتکب شوند ملزم به پرداخت جریمه‌های سنگین هستند.

اجرای کلاهبرداری حقوق توسط کارمندان

کارمندان یک سازمان از طریق روش‌های زیر می‌توانند حقوق سایر کارکنان را به سرقت برند:

• کارمندانی که وجود خارجی ندارند: در این روش، کارمندی که به سیستم پرداخت حقوق دسترسی دارد، یک حساب جعلی برای کارمندی ایجاد می‌کند که وجود خارجی نداشته و (برای کارهایی که انجام نداده) حقوق دریافت می‌کند.

• تغییر مبلغ دستمزد: در این روش، یک کارمند با یکی از اعضای بخش مالی یا منابع انسانی تبانی نموده تا دستمزد بیشتری دریافت کند.

• تغییر ساعت ورود و خروج: در این کلاهبرداری، یک کارمند ساعت‌های کاری خودش را بیش از آنچه که بوده ثبت و در نتیجه اضافه‌ حقوق دریافت می‌کند. معمولاً این افزایش، ناچیز و در حد 15 تا 30 دقیقه است و ناظرانی که حجم کارشان زیاد است، متوجه بروز این تخلف‌ها نمی‌شوند.

البته مواردی هم وجود دارد که در آنها کارمندان عمداً ساعت خروج را ثبت نمی‌کنند تا برای ساعت‌هایی که کار نکرده‌اند حقوق بگیرند. این اقدام با اشتباه تصادفی (که کارمندی فراموش می‌کند هنگام ناهار یا در پایان روز کاری ساعت خروجش را ثبت کند) تفاوت دارد و جرم محسوب می‌شود.

اجرای کلاهبرداری حقوق و دستمزد توسط اشخاص ثالث

آخرین و مهمترین نوع کلاهبرداری حقوق و دستمزد معمولاً توسط اشخاص متفرقه انجام می‌شود. آنها از تکنیک‌های فیشینگ استفاده نموده و کارمندانی را هدف قرار می‌دهند که در بخش‌های منابع انسانی یا مالی و دستمزد فعالیت می‌کنند. این کلاهبرداران، قربانی را به ارایه اطلاعات حساس شخصی یا مالی یا انتقال وجه تشویق می‌کنند.

در هر صورت آنها از طریق اجرای حملات فیشینگ هدفدار (یعنی متقاعد کردن قربانی به انجام یک اقدام خاص، آن هم با استفاده از راهکارهای مهندسی اجتماعی) تلاش می‌کنند تا به اهداف مالی خود دست یابند.

انواع حملات فیشینگ که توسط کلاهبرداران حقوق و دستمزد اجرا می‌شوند، به شرح زیر هستند:

 

کلاهبرداری فیشینگ

معمولاً قبل از شروع فصل مالیاتی مقالات زیادی درباره این نوع از کلاهبرداری منتشر می‌شود. در این کلاهبرداری، مجرمان سایبری سعی می‌کنند به اطلاعاتی همچون نام، آدرس، شناسه ملی، درآمد و کسورات آن شرکت دست پیدا کرده تا بتوانند آنها را فروخته یا از آن برای ثبت اظهارنامه مالیاتی جعلی استفاده کنند. آنها این کار را از طریق تماس مستقیم با قربانی یا با کارمندان منابع انسانی و مالی انجام می‌دهند تا بتوانند اطلاعات لازم را درباره نیروی کار آنها جمع‌آوری کنند.

 

کلاهبرداری‌های انتقال حقوق

در این کلاهبرداری، مجرمان ایمیلی را برای کارمندی در بخش منابع انسانی، حسابداری یا امور مالی ارسال می‌کنند. این ایمیل به گونه‌ای طراحی می‌شود که به نظر برسد توسط یک کارمند (معمولاً مدیرعامل) ارسال شده است و در آن از قربانی درخواست می‌شود اطلاعات پرداخت حقوق را تغییر دهد. این ایمیل حاوی یک شماره حساب بانکی است تا دستمزد کارمند مورد نظر به آن واریز شود.

البته کلاهبرداری انتقال حقوق همیشه شامل تماس مجرمان با کارمندان منابع انسانی یا مالی نیست و روش‌های دیگری هم برای انجام این کار وجود دارد، از جمله:

• هک سامانه پرداخت حقوق و دستمزد
• استفاده از ایمیل فیشینگ برای به دست آوردن اطلاعات دسترسی به سیستم‌های حقوق

در روش‌های بالا کارمندان غیرصادق هم اقداماتی را می‌توانند انجام دهند که به نفع خودشان تمام شود و لزوماً نیازی به همراهی یک شخص ثالث ندارند. مجرمان سایبری نیز از این راهکارها برای ارتکاب جرم و دستیابی به منافع مادی خودشان استفاده می‌کنند.

 

مثال‌های واقعی از کلاهبرداری‌های حقوق و دستمزد

مثال شماره 1:

تیم مسئول تجربیات کاربری فروشگاه SSL Store (که در زمینه فروش گواهی‌های SSL فعالیت دارد)، ایمیل‌های زیادی را دریافت نموده که در آنها وانمود شده بود از جانب مدیرعامل یا معاون فروشگاه ارسال شده‌اند. در عکس زیر یک نمونه از این ایمیل‌های فیشینگ را مشاهده می‌کنید که برای مدیر یکی از شعبه‌های این فروشگاه به نام Nellie و مثلاً از جانب معاون کل فروشگاه به نام Kyle ارسال شده است.

 

اگر Nellie فقط به نام نمایش داده شده در صندوق ورودی ایمیل خودش دقت می‌کرد بدون اینکه آدرس واقعی فرستنده را بررسی کند، متوجه نمی‌شد که این ایمیل به جای حساب رسمی Kyle در سایت thesslstore.com از طرف آدرس cf90910@cox.net ارسال شده است.

خوشبختانه Nellie درباره اصول امنیت سایبری آموزش دیده و قابلیت تشخیص ایمیل‌های فیشینگ را داشت. به همین دلیل هم همیشه بر نقش حیاتی آموزش کارمندان برای حفظ امنیت سایبری سازمان‌ها تأکید می‌شود.

مثال شماره 2:

اوایل سال 2020 میلادی حدود نیم میلیون دلار از حقوق کارمندانی که در ایالت فلوریدا کار می‌کردند، به حساب مجرمان سایبری واریز شد. مجرمان سایبری این حمله را با نفوذ به سیستم واریز حقوق این شهر انجام دادند.

مثال شماره 3:

در منطقه باتلر کانتی اوهایو، تعدادی از اداره‌های دولتی مورد هدف کلاهبرداری دستمزد و حقوق قرار گرفتند. در اثر این کلاهبرداری حقوق بعضی از کارمندان به حساب کلاهبرداران واریز شده و آنها توانستند چند چک حقوق تکراری را هم به ارزش بیش از 7 هزار دلار تولید کنند.

مثال شماره 4:

بزرگترین حادثه اخیر، شرکت MyPayrollHR (که یک شرکت ارایه خدمات حقوق و دستمزد در نیویورک است) را هدف گرفته بود. پس از این حادثه مدیرعامل این شرکت به اتهام کلاهبرداری بازداشت شده و به سرقت 70 میلیون دلار از حقوق و مالیات‌های واریزی مشتریانش اعتراف کرد.

 

چرا کلاهبرداری‌های حقوق و دستمزد اهمیت زیادی دارند؟

اگر می‌خواهید متوجه میزان اهمیت این کلاهبرداری‌ها شوید، مثال زیر را در نظر بگیرید:

فرض کنید صبح شنبه است و تیم منابع انسانی سازمان شما در حال مرور ایمیل‌هایی می‌باشد که آخر هفته دریافت کرده است. در بین ایمیل‌هایی که برای مسئول واریز حقوق کارمندان (آقای صالحی) ارسال شده است، ایمیلی از جانب کارمندی که در بخش بازاریابی فعالیت می‌کند (خانم حسینی) مشاهده می‌شود. در این ایمیل اعلام شده که خانم حسینی یک شماره حساب جدید باز کرده و می‌خواهد حقوق او به این حساب واریز شود.

آقای صالحی هم پس از دریافت این ایمیل تصمیم به تغییر اطلاعات پرداختی خانم حسینی می‌گیرد تا مطمئن شود که وی حقوق بعدی‌اش را بدون تأخیر و در شماره حساب اعلامی جدید دریافت می‌کند. پس از انجام این کار، ایمیلی برای خانم حسینی ارسال کرده و تغییرات انجام شده را به اطلاع او می‌رساند. خانم حسینی هم از این موضوع تشکر کرده و به نظر می‌رسد ماجرا به همین جا ختم می‌شود.

یک ماه بعد خانم حسینی ایمیل دیگری به تیم منابع انسانی ارسال می‌کند. او در این ایمیل علت عدم دریافت دو حقوق قبلی‌اش را جویا می‌شود. آقای صالحی هم که تصور می‌کند اشتباهی در وارد کردن شماره حساب خانم حسینی رخ داده، دوباره اطلاعات حساب وی را در ایمیل قبلی او بررسی می‌کند. شماره حساب درست است اما مشکلی که وجود دارد مربوط به بخش from ایمیل دریافتی است. اگرچه ظاهراً این ایمیل از سمت خانم حسینی ارسال شده اما آدرس ایمیل واقعی آن مربوط به یک حساب یاهوی نامرتبط (surferdudesr0xi0rs@yahoo.com) است.

آقای صالحی بلافاصله با بانک تماس گرفته و پیگیر جریان می‌شود ولی در نهایت می‌فهمد که برای پیگیری و حل مشکل دیگر خیلی دیر شده زیرا مجرمان پس از دستیابی به منافع مالی خود، حساب خانم حسینی جعلی را بسته‌اند!

 

این موضوع برای سازمان شما چه اهمیتی دارد؟

انجمن بازرسان تقلب گواهی‌ شده (ACFE[2]) تخمین زده است که 5 درصد از درآمد سالیانه کسب‌وکارها در اثر سوءاستفاده و کلاهبرداری از کارمندان به سرقت می‌رود.

اگرچه ممکن است این عدد کوچک به نظر برسد اما برای درک بهتر اهمیت موضوع در نظر داشته باشید که اگر این ضرر 5 درصدی را به تولید ناخالص جهانی که حدود 79 تریلیون دلار است اعمال کنیم، ضرر ناشی از کلاهبرداری حقوق و دستمزد در سطح جهان حدود 4 تریلیون دلار می‌شود. با این حال مسأله به همین جا نیز ختم نمی‌شود.

در مثالی که به آن پرداختیم، علاوه بر اینکه پول سازمان شما به سرقت رفته باید حقوق خانم حسینی که توسط خود او دریافت نشده هم دوباره پرداخت شود. همچنین در صورت انتشار چنین خبری احتمال دارد به اعتبار و شهرت شرکت شما هم لطمه وارد شده و با جریمه و مشکلات قانونی مواجه شوید. حتی ممکن است این اتفاق در مقیاسی بسیار بزرگتر رخ داده و کارمندان بیشتری را درگیر کند. بنابراین اگر آمادگی مواجه با چنین اتفاقی را نداشته باشید، احتمال دارد کسب‌وکارتان کلاً ورشکسته شود.

 

چگونه می‌توانیم با کلاهبرداری حقوق مقابله کنیم؟

برای مقابله با چنین کلاهبرداری‌هایی در سازمان‌ها وجود قوانین و سیاست‌های دقیق، بازرسی‌های موشکافانه، مدیریت اصولی و همچنین آموزش منظم کارمندان نقش مهمی دارند. همچنین توصیه می شود به موارد زیر توجه جدی داشته باشید:

• ارزیابی‌ها و بازرسی‌ها را به طور منظم انجام دهید: این ارزیابی‌ها باید شامل مشخص نمودن مخاطرات کلاهبرداری، حوادث سایبری، بررسی اسناد مالی و همچنین زمان بندی فعالیت کارمندان باشند. به این ترتیب می‌توانید آسیب پذیری‌های احتمالی را شناسایی و رفع نموده و هر گونه ناهنجاری را که احتمال دارد به دلیل جعل و کلاهبرداری ایجاد شده باشد، شناسایی کنید.

 

• اطلاعات پرداخت را ارزیابی کرده و فرایندها و کنترل‌های داخلی را به‌روزرسانی کنید: شرایط پرداخت حقوق و دستمزد کارمندان سازمان تان را با دقت زیاد بازبینی و تنظیم کنید تا از نحوه عملکرد صحیح آنها مطمئن شوید. همچنین کارمندی که درخواست تغییر اطلاعات حسابی که  حقوقش به آن واریز می‌شود را دارد باید از طریق یک روش ارتباطی رسمی تماس گرفته و درخواست خود را مطرح کند. شما نباید به ایمیل‌های درخواست این کار پاسخ داده یا با شماره‌هایی که در چنین ایمیل‌هایی ثبت شده اند تماس بگیرید بلکه باید از طریق شماره اصلی کارمند که در فایل اطلاعات کارمندان ثبت شده با وی تماس گرفته و از او تأییدیه بگیرید.

 

• راهکارهای امن‌سازی ایمیل را پیاده سازی کنید: از فیلترهای فیشینگ، ضدهرزنامه و نرم‌افزارهایی که ایمیل‌های جعلی و هرزنامه ها را شناسایی و مسدود می‌کنند، استفاده کنید.

 

• سیاست حداقل سطح دسترسی را پیاده‌سازی کنید: تنها به اشخاصی امکان دسترسی به سیستم‌های حساس (مثل سیستم‌های حقوق و پرسنل) را بدهید که برای انجام کارشان به این دسترسی‌ها نیاز دارند. کنترل‌های دسترسی را به صورت منظم بازبینی و به روزرسانی کرده تا مطمئن شوید اطلاعات دسترسی به روز هستند.

 

• آموزش کارمندان را الزامی کنید: کارمندان باید به صورت پیوسته آموزش‌های سایبری و امنیتی را ببینند. این آموزش‌ها به کارمندان یاد می‌دهند که ایمیل‌های فیشینگ و جعلی و همچنین سایر طرح‌های کلاهبرداری ایمیلی و تلفنی را تشخیص دهند.

 

• اسناد را بازبینی کنید تا اطلاعاتتان به روز باشد: همه اظهارنامه‌های مالی را به صورت مرتب بررسی کرده تا بتوانید هر گونه فعالیت مشکوک و غیرعادی را در اسرع وقت شناسایی کنید.

 

• وظایف مالی را تفکیک کنید: هیچ شخص واحدی نباید کنترل کامل بر همه امور مالی یک شرکت داشته باشد. چنین رویکردی نه تنها از دیدگاه مخاطرات امنیتی صحیح نیست بله حتی از لحاظ منطقی نیز قابل قبول نمی‌باشد (چون اگر چنین شخصی دچار حادثه شود، با مشکلات زیادی مواجه خواهید شد).

 

• گواهینامه‌های احراز هویت و امضای ایمیل: گواهینامه‌های امضای ایمیل، راهکاری برای تأیید هویت فرستنده ایمیل و حفاظت از جامعیت ایمیل‌های ارسالی با استفاده از رمزنگاری هستند. این گواهینامه‌ها که به اسم گواهینامه S/MIME هم شناخته می‌شوند به کارمندان کمک می‌کنند تا معتبر بودن ایمیل‌ها و اینکه آیا واقعاً توسط کارمند مورد نظر ارسال شده‌اند یا خیر را بررسی کنند.

 

از آنجا که مجرمان سایبری همواره خلاق‌تر می‌شوند، مدافعان امنیت سایبری هم باید تلاش و کوشش خودشان را افزایش دهند. آنها باید سطح آگاهی‌های خود را بالا برده و با در اختیار داشتن پروتکل‌ها و سازوکارهای واکنش به چنین حوادثی، خودشان را برای مقابله با بدترین شرایط ممکن آماده کنند.

 

[1] Business eMail Compromise

[2] Association of Certified Fraud Examiners