Compromise conturi bancare corporate: malware, CEO fraud și transfer neautorizat de furnizor
Trecerea de la compromise conturi bancare corporate malware CEO fraud transfer neautorizat nu este o variantă mai mare a furtului individual de cod OTP — este un alt sport. Aici atacatorul nu vrea 5.000 de lei dintr-un cont personal; vrea să mute 1,8 milioane de lei printr-un transfer neautorizat de furnizor compromis, folosind un remote access trojan plantat pe stația contabilei și o doză de inginerie socială tip „CEO fraud”. Pentru tine, antreprenor sau director financiar experimentat care a citit deja cele 700 de lecții de bază, asta înseamnă că vechea apărare — „nu dau codul OTP nimănui” — devine insuficientă: în atacul corporativ, OTP-ul se semnează de un angajat legitim, pe un dispozitiv legitim, pentru o factură care pare perfect reală.
În această lecție avansată dezvolt patru lucruri pe care un manual obișnuit le ratează: detecția unui remote access trojan în rețeaua firmei înainte ca banii să plece, mecanismul CEO fraud și verificările cu CEO fals (inclusiv deepfake vocal pe WhatsApp), anatomia unui transfer neautorizat de furnizor compromis (BEC — Business Email Compromise) și, partea care contează pe bani, recuperare bani transfer imediat prin SWIFT recall și ordonanță președințială, plus rolul unei polițe de asigurare fraude corporate (cyber/crime) bine negociată. Toate cu cifre, praguri și pași concreți pentru România 2026.
Regula-cadru pentru tot ce urmează: într-o firmă, frauda nu sparge banca — sparge procesul tău de plată. Banca execută corect un ordin pe care l-a semnat un om real cu drept de semnătură. De aceea apărarea este 80% procedură internă și abia 20% tehnologie. Restul lecției îți arată exact cum construiești acel proces ca să nu treacă nici măcar primul leu fraudulos.
Trei vectori care se combină în atacul corporativ
Spre deosebire de furtul personal, frauda corporativă serioasă rareori vine pe un singur canal. Atacatorii combină trei vectori care se amplifică reciproc:
- Malware / Remote Access Trojan (RAT). Un troian de acces la distanță (familii tip AnyDesk-abuzat, NetSupport, Remcos, sau bancare ca QakBot/IcedID) ajunge pe o stație din departamentul financiar printr-un atașament macro, un fișier ISO/LNK sau un „update” fals. De acolo atacatorul vede ecranul în timp real, citește e-mailul, fură token-urile de sesiune din browser și — crucial — așteaptă fereastra în care contabila este deja autentificată în internet banking, ca să modifice IBAN-ul unei plăți gata pregătite.
- Furnizor compromis (BEC în cascadă). Atacatorul nu îți sparge ție căsuța, ci pe a unui furnizor real cu care ai istoric de plăți. Citește luni de zile corespondența, învață tonul, sumele tipice, ciclul de facturare. Apoi, la momentul unei facturi reale, trimite de pe o adresă aproape identică (sau chiar de pe contul real al furnizorului) un e-mail: „ne-am schimbat banca, vă rugăm achitați în noul IBAN”. Factura e corectă, suma e corectă, doar contul e al lui.
- CEO fraud / inginerie socială. Un e-mail (sau acum un mesaj vocal/video deepfake) „de la directorul general”, urgent, confidențial: „suntem în mijlocul unei achiziții, transferă urgent 240.000 EUR în acest cont, nu spune nimănui până nu semnăm”. Mizează pe autoritate, presiune de timp și frica angajatului de a contrazice șeful.
Cascada apare când vectorii se înlănțuie: RAT-ul dă atacatorului vizibilitate, BEC-ul îi dă contextul credibil, iar CEO fraud-ul îi dă declanșatorul emoțional. Un singur control rupt în lanț — un IBAN neverificat telefonic — și transferul pleacă.
Detecția unui Remote Access Trojan: semnele pe care le ignori
Detecția RAT nu este treaba exclusivă a IT-ului; ca decident financiar, trebuie să recunoști simptomele comportamentale care preced un transfer neautorizat. Semnele de detecție remote access trojan relevante operațional:
- Mișcarea cursorului „singur” sau ferestre care se deschid/închid în timpul sesiunii de banking — semnul clasic al unei sesiuni de control la distanță active.
- Reguli noi de e-mail apărute fără explicație: redirecționări către o adresă externă, mutarea automată în „Arhivă” a mailurilor care conțin cuvinte ca „IBAN”, „factură”, „plată”. Atacatorul le creează ca să ascundă corespondența pe care o falsifică.
- Procese / aplicații de acces la distanță instalate fără mandat IT (AnyDesk, TeamViewer, ScreenConnect) — un RAT „de marcă” se ascunde adesea ca o unealtă legitimă de suport.
- Logări din locații/IP imposibile (impossible travel) în Microsoft 365 / Google Workspace: cont accesat din România și, 20 de minute mai târziu, din altă țară.
- Token-uri de sesiune reutilizate: atacatorul fură cookie-ul de sesiune și ocolește chiar și MFA-ul, pentru că nu mai are nevoie de parolă. De aceea MFA singur NU te salvează în 2026.
Apărarea tehnică minimă pentru o firmă serioasă în 2026: EDR (Endpoint Detection & Response, nu doar antivirus clasic) pe toate stațiile financiare, MFA rezistent la phishing (FIDO2/passkey, nu doar SMS-OTP), separarea fizică a stației de banking (un dispozitiv dedicat, fără e-mail și fără navigare), și conditional access care blochează logările din afara țării. Costul anual al acestui pachet pentru un IMM (10–30 utilizatori) este de ordinul a câteva mii până la zeci de mii de lei pe an — neglijabil față de o singură fraudă reușită.
CEO fraud și verificările cu CEO fals: deepfake-ul a schimbat jocul
Vechea regulă „verifică telefonic” s-a fisurat în 2026, pentru că vocea de la celălalt capăt poate fi clonată. Un atacator are nevoie de câteva zeci de secunde din vocea ta publică (un interviu, un webinar, un mesaj vocal) ca să genereze un deepfake vocal convingător. Au existat deja cazuri internaționale în care un apel video cu mai mulți „colegi” deepfake a convins un angajat să transfere milioane.
De aceea verificarea anti-CEO-fraud nu mai poate fi „am vorbit cu el la telefon”. Trebuie să fie out-of-band și pe canal pre-stabilit:
- Cuvânt-cod (safe word) intern cunoscut doar de directorul real și de cei cu drept de plată, schimbat periodic. Orice cerere de transfer urgent fără cuvântul-cod = fraudă, indiferent cât de reală pare vocea.
- Întrebare de control care nu se găsește online („despre ce am vorbit la ședința de marți”) — un deepfake nu cunoaște contextul intern.
- Callback pe numărul din baza de date internă, niciodată pe numărul din care a venit mesajul. Tu suni înapoi, nu accepți apelul lor ca verificare.
- Regula „fără excepții de urgență”: cele mai multe fraude CEO se bazează pe „e urgent și confidențial, ocolește procedura”. Tocmai urgența + confidențialitatea sunt semnalul de alarmă. Un CEO real acceptă o întârziere de 30 de minute pentru verificare.
Anatomia transferului neautorizat de furnizor compromis
BEC-ul de furnizor este cel mai costisitor pentru că ocolește aproape toate apărările tehnice: e-mailul vine de pe o adresă reală sau aproape-reală, factura este corectă, relația comercială este reală. Pașii tipici ai atacului:
- Recunoaștere (1–3 luni): atacatorul citește în liniște corespondența furnizorului compromis, mapând cine plătește, cine aprobă, când se emit facturile mari.
- Inserția: la o factură reală, fie modifică IBAN-ul în PDF, fie trimite un „anunț de schimbare a băncii” pe antet credibil, uneori cu o explicație plauzibilă („cont blocat temporar la verificări AML, folosiți temporar acest cont”).
- Întârzierea descoperirii: banii ajung într-un cont „mulă” (money mule), de unde sunt împărțiți și mutați rapid, frecvent în crypto. Furnizorul real abia peste 30–60 de zile întreabă „unde e plata?” — și atunci descoperi frauda.
Controlul care anulează acest atac este unul singur și non-negociabil: orice schimbare de IBAN al unui furnizor se verifică prin callback la un număr de telefon cunoscut dinainte, nu la cel din e-mail. Plus o regulă de „prima plată în IBAN nou = sumă mică de test” pentru furnizori noi. Aceste două reguli, aplicate fără excepție, opresc statistic majoritatea fraudelor de furnizor.
Recuperare bani transfer imediat: fereastra de aur
Dacă transferul a plecat, totul depinde de viteză. Banii fraudați se „spală” prin conturi-mulă în ore, nu zile. Planul de recuperare bani transfer imediat:
- Minutul 0–60: sună imediat banca emitentă și cere blocarea/rechemarea (recall) ordinului. Pentru transferuri SEPA/SWIFT internaționale există procedura de SWIFT recall (mesaj de tip „recall of funds” / indemnity). Cu cât banca beneficiară primește mai repede cererea, cu atât mai mare șansa ca soldul să nu fi fost încă golit.
- Aceeași zi: depune plângere penală la poliție/DIICOT (fraudă informatică) și solicită activarea mecanismelor de cooperare interbancară de blocare a conturilor-mulă. Cere oficial băncii beneficiarului înghețarea fondurilor rămase.
- Civil — ordonanță președințială: pentru sumele mari, un avocat poate cere instanței o ordonanță președințială (măsură urgentă) de indisponibilizare a conturilor implicate, în paralel cu ancheta penală. Viteza juridică contează: după ce banii intră în crypto, recuperarea scade dramatic.
- Notifică furnizorul real (în BEC) și ANAF/contabilitatea: factura rămâne neachitată legal față de furnizor, deci ai în continuare datoria comercială — pierderea e dublă dacă nu o gestionezi.
Regula brutală: rata de recuperare scade aproximativ exponențial cu timpul. În primele ore șansele sunt reale; după 48–72 de ore, în special pentru transferuri externe convertite în crypto, recuperarea devine improbabilă. Pregătirea procedurii de criză înainte (cu cine suni, ce documente trimiți) face diferența între a recupera 80% și a recupera 0%.
Asigurarea de fraude corporate: ce acoperă și capcanele
O poliță de tip cyber insurance sau crime/fidelity insurance bine negociată poate transforma o pierdere care îți închide firma într-o franșiză suportabilă. Dar diavolul stă în clauze:
- „Social engineering / fraudulent instruction” trebuie să fie acoperit explicit. Multe polițe cyber acoperă breșe tehnice (ransomware, scurgere de date) dar EXCLUD pierderea financiară directă din BEC/CEO fraud, pentru că „angajatul a autorizat voluntar plata”. Acel sub-acoperiș se numește de regulă „Social Engineering Fraud” și se adaugă cu sublimită separată — verifică-l explicit.
- Condiții de validitate (warranties): asigurătorul cere frecvent să ai implementate controale (callback pe schimbare de IBAN, dublă aprobare, MFA). Dacă în momentul fraudei nu le aveai, despăgubirea poate fi refuzată. Asigurarea NU înlocuiește procesul; îl presupune.
- Sublimite și franșize reale: o poliță cu acoperire totală de câteva milioane poate avea o sublimită de social engineering mult mai mică (ex. o fracțiune din total) și o franșiză pe eveniment. Citește sublimita, nu plafonul de copertă.
- Termenul de notificare este scurt și ferm: anunțul către asigurător trebuie făcut imediat, altfel pierzi dreptul. Include-l în planul de criză.
Pentru un IMM românesc, costul unei polițe cyber+crime cu acoperire de social engineering pornește de la câteva mii de lei pe an și crește cu cifra de afaceri și sublimita aleasă — cere oferte cu și fără acoperire BEC separată ca să vezi diferența reală de preț.
Modelul de proces care oprește frauda (segregation of duties)
Tehnologia ajută, dar controlul decisiv este organizatoric. Construiește lanțul de plată pe principiul separării atribuțiilor:
- Dublă aprobare obligatorie peste un prag (ex. orice plată peste un nivel pe care îl fixezi în funcție de firmă) — persoana care introduce ordinul NU este persoana care îl autorizează. Atacatorul care a compromis o stație nu controlează două persoane simultan.
- Lista albă (whitelist) de furnizori și IBAN-uri în internet banking, cu modificarea blocată fără proces de re-verificare offline.
- Plăți în loturi programate, nu plăți urgente ad-hoc; urgența este vectorul preferat al fraudei.
- Pragul de IBAN nou: orice IBAN nou (furnizor nou sau schimbat) → callback la numărul cunoscut + plată-test mică înainte de suma mare.
Checklist de acțiune pentru afacerea ta
- Astăzi: stabilește un cuvânt-cod intern anti-CEO-fraud și comunică-l doar celor cu drept de plată.
- Săptămâna aceasta: activează dubla aprobare în internet banking peste prag și whitelist de IBAN-uri; scrie procedura de callback pe schimbare de IBAN și fă-o obligatorie în scris.
- Luna aceasta: dedică un dispozitiv exclusiv pentru banking (fără e-mail/navigare); pune EDR + MFA FIDO2/passkey pe stațiile financiare; activează conditional access geografic în Microsoft 365 / Google Workspace.
- Trimestrul acesta: negociază/revizuiește polița cyber+crime și verifică EXPLICIT acoperirea de social engineering fraud, sublimita și franșiza; pregătește planul de criză (numere de telefon ale băncii, avocatului, asigurătorului, șablon de plângere penală).
- Permanent: instruiește anual echipa financiară pe BEC/deepfake; rulează un test intern (mock-fraudă) și măsoară câți cad în capcană.
Greșeli frecvente care costă firme întregi
- „Avem antivirus, suntem acoperiți.” Antivirusul clasic nu prinde RAT-uri moderne și furtul de sesiune. Ai nevoie de EDR și de proces, nu doar de semnături.
- „Verific telefonic” pe numărul din e-mail. Suni atacatorul. Callback DOAR pe numărul din baza ta de date.
- „MFA ne protejează complet.” Furtul de token de sesiune ocolește MFA-ul SMS/push. Treci la passkey/FIDO2 pe conturile critice.
- „Asigurarea cyber acoperă orice fraudă.” Fără clauza explicită de social engineering, BEC-ul poate fi exclus. Citește sublimita.
- Reacție lentă la transfer. Întârzierea de câteva ore în a cere recall/SWIFT recall este diferența dintre recuperare și pierdere totală.
Concluzia avansată: în atacul corporativ nu te aperi „mai bine” decât în cel personal — te aperi altfel. Banca va executa orice ordin semnat corect de un om cu drept de semnătură, deci singurul loc unde poți opri frauda este în propriul proces de plată: separarea atribuțiilor, callback pe IBAN, cuvânt-cod, dispozitiv dedicat și un plan de criză repetat. Construiește-le acum, la rece — pentru că în ziua fraudei nu vei mai avea timp să le inventezi.