Verificatieprocedures

Wat is Verificatieprocedures?

Bankgegevens van leveranciers BEC is een van de meest lucratieve aanvallen die in omloop zijn. Het voorwendsel is bijna altijd hetzelfde: een oude leverancier stuurt een e-mail om te zeggen dat zijn bank zojuist is overgenomen of dat zijn rekening is gerouleerd, en vraagt ​​de AP-coördinator om de betalingsgegevens vóór de volgende cyclus bij te werken. Het verhaal is plausibel. Het factuurnummer verwijst naar een echte aankomende betaling. De handtekening komt overeen met een echte accountmanager waarmee het AP-team eerder heeft gesproken. Het enige dat verkeerd is, zijn de contactgegevens en de bankrekening, en een slachtoffer zonder formele verificatieprocedure heeft geen betrouwbare manier om dit te herkennen. In deze simulatie ben jij de AP-coördinator op de ochtend vóór de betaalrun van vrijdag. In een dringende e-mail van een echt uitziende Marcus Webb van Cascade Heavy Industries wordt u gevraagd een betaling van $ 47.830 om te leiden naar een gloednieuwe bankrekening bij een andere bank. Je werkt aan de verificatieprocedure die deze aanvalsklasse ondervangt: open VendorVerify, de gezaghebbende, door inkoop gecontroleerde leverancierslijst van het bedrijf; vergelijk de geverifieerde telefoon, geverifieerde e-mail en geschiedenis van bankwijzigingen met wat de e-mail beweert; en bel het geverifieerde nummer op een opgenomen lijn om te bevestigen bij de echte accountmanager. De oefening laat zien waarom de contactgegevens in een verdacht verzoek deel uitmaken van de aanval, waarom verhalen over bankovernames gemakkelijk in e-mail te verzinnen zijn en onmogelijk in een aanbestedingsdocument te verzinnen, waarom een ​​formeel veranderingsverzoekproces ervoor zorgt dat AP geen single point of fail wordt, en waarom elke poging tot BEC-leverancier moet worden gerapporteerd, zelfs als er geen geld beweegt, zodat het SOC zich op indicatoren kan richten en andere AP-teams kan waarschuwen.

Wat je leert in Verificatieprocedures

• Behandel verzoeken tot wijziging van bankgegevens als het meest risicovolle verzoektype in crediteurenadministratie, waarbij formele verificatie verplicht is, ongeacht de urgentie of relatiegeschiedenis
• Gebruik een gezaghebbende leverancierslijst die onder afzonderlijk beheer van Inkoop wordt gehouden als de enige betrouwbare bron voor geverifieerde contact- en bankgegevens
• Weiger contactgegevens die in een verdacht verzoek worden verstrekt: telefoonnummers, antwoordadressen en handtekeningblokken in het bericht maken deel uit van de aanval
• Vergelijk een binnenkomend verzoek met de geschiedenis van bankwijzigingen van een leverancier om verzonnen verhalen op te sporen, zoals plotselinge bankovernames of routeringswisselingen
• Plaats een out-of-band verificatie-oproep naar het geverifieerde nummer van de directory op een opgenomen lijn voordat een bankgegevens wordt bijgewerkt
• Vereisen dat een formeel wijzigingsverzoek via Inkoop loopt voordat AP kan reageren op een wijziging van bankgegevens
• Dien een gestructureerd incidentrapport in waarin het afzenderdomein, de vervalste telefoon, het frauduleuze account en de genomen verificatiestappen worden vastgelegd, zodat het SOC kan zoeken naar parallelle pogingen

Verificatieprocedures — Trainingsstappen

1. Een rustige donderdagochtend

   Het is donderdagochtend bij CypherPeak Technologies. Jij bent Alice, een Crediteurencoördinator, en de betalingsrun van vrijdag is je laatste grote taak voor het weekend. Het meeste werk is routine: facturen afstemmen op inkooporders, betalingen in de wachtrij plaatsen en nogmaals controleren of eventuele wijzigingen in bankgegevens formeel zijn goedgekeurd via Inkoop.

2. Een e-mail van Cascade Heavy

   Er arriveert een e-mail in uw inbox die gemarkeerd is als urgent. De weergavenaam van de afzender luidt Marcus Webb - de senior accountmanager bij Cascade Heavy Industries, een van uw al lang bestaande leveranciers.

3. Het verzoek lezen

   De onderwerpregel luidt DRINGEND: Update bankgegevens vóór de cyclus van vrijdag - INV-2024-3847 . Marcus' naam klopt. Het factuurnummer klopt. Het bedrag en de vervaldatum komen overeen met de run van vrijdag. Maar Marcus vraagt ​​u om de betaling om te leiden naar een gloednieuwe bankrekening, omdat de bank van zijn bedrijf zogenaamd zojuist is overgenomen.

4. Het verificatiebeleid van CypherPeak

   Uw AP-draaiboek is duidelijk. Voor elk wijzigingsverzoek voor bankgegevens is de verificatieprocedure niet optioneel: Zoek de leverancier op in VendorVerify , de door aanbestedingen gecontroleerde gezaghebbende directory. Gebruik het geverifieerde telefoonnummer van VendorVerify - nooit een nummer uit het verzoek zelf. Bevestig de wijziging met de contactpersoon van de leverancier op een geregistreerde lijn. Vraag een formeel wijzigingsverzoek via Procurement voordat u een account aanmaakt. update. Het punt is simpel: een aanvaller kan een e-mail, een handtekening en zelfs een antwoord vervalsen. Ze kunnen de geverifieerde contactgegevens die Procurement onder afzonderlijke controle houdt, niet vervalsen.

5. Open LeverancierVerify

   Open de browser en navigeer naar VendorVerify. De directory wordt intern gehost op vendor-verify.cypherpeak.com en is de enige gezaghebbende bron voor contact- en bankgegevens van leveranciers bij CypherPeak.

6. Meld u aan bij VendorVerify

   VendorVerify maakt gebruik van CypherPeak SSO, hetzelfde account dat elk intern portaal beheert. Gebruik de opgeslagen inloggegevens in uw wachtwoordbeheerder.

7. Zoek naar de leverancier

   VendorVerify toont het directorydashboard. Zoek naar de leverancier die in de e-mail wordt genoemd, zodat u kunt vergelijken wat de e-mail beweert met wat Procurement daadwerkelijk heeft geverifieerd.

8. Open het leveranciersrecord

   Eén geverifieerd resultaat komt overeen met: Cascade Heavy Industries. Open het record om de geverifieerde contact- en bankgegevens te bekijken die Inkoop onder afzonderlijk beheer houdt.

9. Vergelijk de geverifieerde telefoon

   Het leveranciersrecord toont de daadwerkelijk geverifieerde contactgegevens van Inkoop, met de datum van verificatie. Vergelijk deze met wat de e-mail beweert.

10. Vergelijk de bankgeschiedenis

    Bankwijzigingen bij CypherPeak worden formeel bijgehouden. Inkoop registreert elke goedgekeurde wijziging met een tijdstempel en een goedkeurder. Dankzij de geschiedenis is het verhaal van de e-mail gemakkelijk te vervalsen.