Spoločnosť Milford Entities, správca nehnuteľností na Manhattane, prišla o 19 miliónov amerických dolárov v dôsledku jediného phishingového emailu. Tento prípad patrí medzi najväčšie zdokumentované phishingové podvody roku 2025 a ponúka cenné poučenie pre organizácie všetkých veľkostí.
Ako k útoku došlo
Útočníci získali prístup do emailovej schránky jedného z dodávateľov spoločnosti. Následne sledovali komunikáciu a v správnom momente zaslali falošnú faktúru s upravenými bankovými údajmi. Email bol vizuálne nerozoznateľný od bežnej korešpondencie — rovnaký formát, podpis, dokonca aj referenčné čísla predchádzajúcich transakcií.
Zamestnanec zodpovedný za platby spracoval faktúru štandardným postupom. Chýbali však nezávislé overovacie mechanizmy, ktoré by odhalili zmenu bankového účtu.
Kľúčové poučenia
- Verifikácia bankových údajov — každú zmenu platobných údajov overujte telefonicky na predtým známom čísle. Nikdy nepoužívajte kontaktné údaje z emailu, v ktorom zmena prišla.
- Segregácia povinností — jedna osoba by nemala mať možnosť schváliť aj vykonať veľkú platbu. Zavedenie princípu štyroch očí výrazne znižuje riziko.
- Limity a schvaľovacie procesy — nastavte finančné limity, nad ktorými je vyžadovaný dodatočný stupeň schválenia.
- Monitoring emailovej komunikácie — nasaďte nástroje na detekciu kompromitácie firemných emailov (BEC) a podozrivých zmien v korešpondencii.
Prevencia je lacnejšia než škoda
Investícia do bezpečnostných procesov a školení predstavuje zlomok potenciálnych strát. Prípad Milford Entities ukazuje, že ani veľké a skúsené organizácie nie sú imúnne voči dobre pripraveným phishingovým útokom. Kľúčom je kombinácia technických opatrení a procesných kontrol.
Tento článok je súčasťou pravidelného Cyllium Newslettera. Prihláste sa na odber a dostávajte aktuálne informácie priamo do vášho inboxu.