Článek
K incidentu, který FACC připravil o desetinu průměrného ročního výnosu, došlo již v lednu letošního roku. Po důkladném interním i externím policejním vyšetřování dozorčí rada společnosti tuto středu oznámila, že s okamžitou platností ukončuje pracovní poměr šéfovi FACC Walteru Stephanovi.
Podvod, ke kterému neznámý hacker využil metod sociálního inženýrství, byl založen na údajné zahraniční akvizici. Zaměstnancům firmy přišel e-mail od prezidenta FACC, v němž Walter Stephan požadoval vyplatit zálohy za koupi nejmenované společnosti.
Že se jedná o podvod, zjistil výrobce leteckých dílů, mezi jehož zákazníky patří Airbus, Boeing nebo Rolls-Royce, příliš pozdě: 50 miliónů eur (1,35 miliardy korun) bylo nenávratně pryč. Dozorčí rada FACC dospěla k názoru, že skutečný šéf firmy „vážně porušil své povinnosti“ a musí odejít, informoval rakouský list Der Standard.
Hacker zneužil heslo k e-mailu
Ačkoli to deník výslovně neuvádí, hackerovi se patrně podařilo prolomit do pracovní pošty Waltera Stephana a zneužít jeho e-mail k pokynu zaměstnancům, aby vyplatili zmiňovanou částku. „O způsobu zneužití účtu prezidenta společnosti toho moc nevíme. Mohlo dojít k tomu, že útočník odhalil heslo k poštovní schránce prezidenta společnosti, nebo heslo získal pomocí nějakého škodlivého kódu,“ říká Petr Šnajdr, bezpečnostní expert společnosti ESET.
Metody sociálního inženýrství jsou stále častějším způsobem útoků na firmy.
Sofistikovaná krádež se promítla do hospodářských výsledků FACC za loňský rok: firma zaznamenala pětinásobný meziroční nárůst provozní ztráty ze 4,5 miliónů eur v roce 2014 na 23,4 miliónů eur za rok 2015. Firma, která je kótovaná na vídeňské burze, kvůli skandálu zrušila plánovanou středeční tiskovou konferenci k hospodářským výsledkům za loňský rok.
Pokud by FACC nepřišla o 50 miliónů eur, zakončila by fiskální rok 2015/16 provozním ziskem 18,6 miliónu eur. Ztrátu způsobenou útokem se firmě podařilo snížit na 41,9 miliónu eur, když zajistila 10,9 miliónu eur z ukradené částky.
„Metody sociálního inženýrství jsou stále častějším způsobem útoků na firmy. Zločinci při nich využívají nepozornosti nebo zvědavosti zaměstnanců. Jde samozřejmě i o pochybení zaměstnanců, protože nikdo neověřil, zda mají tak obrovskou sumu opravdu převést z bankovního účtu,“ podotýká Petr Šnajdr. Firmy by podle něj neměly zapomínat na pravidelné školení zaměstnanců o zásadách počítačové bezpečnosti.