Verifizierungsverfahren

What Is Verifizierungsverfahren?

Vendor-Banking-Detail-BEC ist einer der lukrativsten Angriffe, die es gibt. Der Vorwand ist fast immer derselbe: Ein langjähriger Lieferant teilt ihm per E-Mail mit, dass seine Bank gerade erst übernommen oder sein Konto gewechselt wurde, und bittet den AP-Koordinator, den Zahlungsdatensatz vor dem nächsten Zyklus zu aktualisieren. Die Geschichte ist plausibel. Die Rechnungsnummer weist auf eine tatsächlich bevorstehende Zahlung hin. Die Unterschrift entspricht einem echten Account Manager, mit dem das AP-Team zuvor gesprochen hat. Das Einzige, was falsch ist, sind die Kontaktinformationen und das Bankkonto, und ein Opfer ohne formelles Verifizierungsverfahren hat keine zuverlässige Möglichkeit, dies zu erkennen. In dieser Simulation sind Sie der Kreditorenkoordinator am Morgen vor dem Zahlungslauf am Freitag. In einer dringenden E-Mail von einem echt aussehenden Marcus Webb von Cascade Heavy Industries werden Sie gebeten, eine Zahlung in Höhe von 47.830 US-Dollar auf ein brandneues Bankkonto bei einer anderen Bank umzuleiten. Sie führen das Verifizierungsverfahren durch, das diese Art von Angriffen abfängt: Öffnen Sie VendorVerify, das maßgebliche, von der Beschaffung geprüfte Anbieterverzeichnis des Unternehmens; Vergleichen Sie die verifizierte Telefonnummer, die verifizierte E-Mail-Adresse und den Bankänderungsverlauf mit den Angaben in der E-Mail. und rufen Sie die verifizierte Nummer auf einer aufgezeichneten Leitung an, um dies mit dem echten Kundenbetreuer zu bestätigen. Die Übung zeigt, warum die Kontaktinformationen in einer verdächtigen Anfrage Teil des Angriffs sind, warum Geschichten über Bankübernahmen in E-Mails leicht zu fabrizieren sind und in einem Beschaffungsdatensatz unmöglich zu fabrizieren sind, warum ein formeller Änderungsanfrageprozess verhindert, dass AP ein Single Point of Failure ist, und warum jeder versuchte Lieferanten-BEC gemeldet werden muss, auch wenn kein Geld fließt, damit das SOC auf Indikatoren reagieren und andere AP-Teams warnen kann.

What You'll Learn in Verifizierungsverfahren

• Behandeln Sie Anfragen zur Änderung von Bankdaten als die risikoreichste Anfrageart in der Kreditorenbuchhaltung, wobei unabhängig von der Dringlichkeit oder der Beziehungshistorie eine formelle Überprüfung obligatorisch ist
• Nutzen Sie ein vertrauenswürdiges Lieferantenverzeichnis, das unter separater Kontrolle durch den Einkauf steht, als einzige zuverlässige Quelle für verifizierte Kontakt- und Bankdaten
• In einer verdächtigen Anfrage angegebene Kontaktinformationen ablehnen – Telefonnummern, Antwortadressen und Signaturblöcke in der Nachricht sind Teil des Angriffs
• Vergleichen Sie eine eingehende Anfrage mit der Bankänderungshistorie eines Anbieters, um erfundene Geschichten wie plötzliche Bankübernahmen oder Routing-Rotationen zu erkennen
• Platzieren Sie einen Out-of-Band-Verifizierungsrückruf an die verifizierte Nummer des Verzeichnisses in einer aufgezeichneten Leitung, bevor ein Bankdatensatz aktualisiert wird
• Fordern Sie eine formelle Änderungsanforderung durch den Einkauf, bevor die Kreditorenbuchhaltung auf eine Änderung der Bankdaten reagieren kann
• Reichen Sie einen strukturierten Vorfallbericht ein, in dem die Absenderdomäne, das gefälschte Telefon, das betrügerische Konto und die durchgeführten Überprüfungsschritte erfasst werden, damit das SOC nach parallelen Versuchen suchen kann

Verifizierungsverfahren — Training Steps

1. Ein ruhiger Donnerstagmorgen

   Es ist Donnerstagmorgen bei CypherPeak Technologies. Sie sind Alice, Koordinatorin der Kreditorenbuchhaltung, und der Kreditorenzahlungslauf am Freitag ist Ihre letzte große Aufgabe vor dem Wochenende. Die meiste Arbeit ist Routinearbeit: Rechnungen mit Bestellungen abgleichen, Zahlungen in die Warteschlange stellen und noch einmal prüfen, ob alle Änderungen an Bankdaten offiziell durch den Einkauf genehmigt wurden.

2. Eine E-Mail von Cascade Heavy

   In Ihrem Posteingang kommt eine E-Mail mit dem Vermerk „Dringend“ an. Der Anzeigename des Absenders lautet Marcus Webb – der Senior Account Manager bei Cascade Heavy Industries, einem Ihrer langjährigen Lieferanten.

3. Lesen der Anfrage

   Die Betreffzeile lautet DRINGEND: Aktualisierung der Bankdaten vor dem Freitagszyklus – INV-2024-3847 . Marcus‘ Name stimmt. Die Rechnungsnummer stimmt. Der Betrag und das Fälligkeitsdatum stimmen mit dem Lauf vom Freitag überein. Aber Marcus bittet Sie, die Zahlung auf ein brandneues Bankkonto umzuleiten, da die Bank seines Unternehmens angeblich gerade erst übernommen wurde.

4. Verifizierungsrichtlinie von CypherPeak

   Ihr AP-Playbook ist klar. Für alle Änderungsanfragen zu Bankdaten ist das Verifizierungsverfahren nicht optional: Suchen Sie den Anbieter in VendorVerify , dem von der Beschaffung überprüften, maßgeblichen Verzeichnis. Verwenden Sie die verifizierte Telefonnummer von VendorVerify – niemals eine Nummer aus der Anfrage selbst. Bestätigen Sie die Änderung mit dem benannten Ansprechpartner des Anbieters auf einer aufgezeichneten Leitung. Fordern Sie vor jedem Konto eine formelle Änderungsanfrage über den Einkauf an Update. Der Punkt ist einfach: Ein Angreifer kann eine E-Mail, eine Signatur und sogar eine Antwort fälschen. Sie können die verifizierten Kontaktdaten, die der Einkauf gesondert kontrolliert, nicht fälschen.

5. Öffnen Sie VendorVerify

   Öffnen Sie den Browser und navigieren Sie zu VendorVerify. Das Verzeichnis wird intern unter vendor-verify.cypherpeak.com gehostet und ist die einzige maßgebliche Quelle für Lieferantenkontakt- und Bankdaten bei CypherPeak.

6. Melden Sie sich bei VendorVerify an

   VendorVerify verwendet CypherPeak SSO, dasselbe Konto, das jedes interne Portal verwaltet. Verwenden Sie die gespeicherten Zugangsdaten in Ihrem Passwort-Manager.

7. Suchen Sie nach dem Anbieter

   VendorVerify zeigt das Verzeichnis-Dashboard an. Suchen Sie nach dem in der E-Mail genannten Anbieter, damit Sie die Angaben in der E-Mail mit den tatsächlichen Überprüfungen der Beschaffung vergleichen können.

8. Öffnen Sie den Lieferantendatensatz

   Ein verifiziertes Ergebnis stimmt überein: Cascade Heavy Industries. Öffnen Sie den Datensatz, um die verifizierten Kontakt- und Bankdaten anzuzeigen, die von der Beschaffung getrennt verwaltet werden.

9. Vergleichen Sie das verifizierte Telefon

   Im Lieferantendatensatz werden die von der Beschaffung tatsächlich überprüften Kontaktdaten mit dem Datum der Überprüfung angezeigt. Vergleichen Sie diese mit den Angaben in der E-Mail.

10. Vergleichen Sie die Bankhistorie

    Bankänderungen bei CypherPeak werden formell verfolgt. Der Einkauf erfasst jede genehmigte Änderung mit einem Zeitstempel und einem Genehmiger. Durch den Verlauf lässt sich die Geschichte der E-Mail leicht fälschen.