przez
Ostatnia aktualizacja:
Kluczowe wnioski
Oszustwa związane z roszczeniami nie zawsze zaczynają się od zainscenizowanego wypadku lub fałszywego zgłoszenia obrażeń.
Czasami wszystko zaczyna się od zwykłego e-maila. Rzeczoznawca prosi o jeszcze jeden dokument. Osoba zgłaszająca roszczenie odpowiada, podając aktualny adres. Firma zajmująca się renowacją wysyła skorygowaną fakturę. Nic w tej sekwencji nie wydaje się niezwykłe, i właśnie dlatego to działa.
Zespoły ubezpieczeniowe mają za zadanie zapewnić płynny przebieg obsługi spraw. Po burzy, gwałtownym wzroście liczby roszczeń z tytułu odpowiedzialności cywilnej lub zaległościach w sprawach dotyczących odszkodowań pracowniczych pracownicy błyskawicznie przetwarzają wyceny, załączniki, zatwierdzenia i szczegóły wypłat. Gdy wiadomość pojawia się w ramach konkretnego roszczenia, zyskuje ona wiarygodność wynikającą z otaczającego ją przepływu pracy.
To sprawia, że skrzynka odbiorcza staje się atrakcyjnym celem dla oszustów. Nie muszą oni wymyślać pretekstu od podstaw, jeśli mogą wtrącić się do istniejącej wymiany wiadomości i przekierować pieniądze, dokumenty lub zaufanie.
Obsługa roszczeń charakteryzuje się trzema cechami, które są na rękę atakującym: pilnością, powtarzalnością oraz intensywną koordynacją za pośrednictwem poczty elektronicznej. Podobne zagrożenie dotyczy również dystrybucji, gdzie powolna aktywacja agentów kosztuje agencje MGAs utratę 1–2 miesięcy produkcji na jednego agenta, ponieważ ręczne śledzenie zgodności z przepisami przestaje działać, gdy liczba agentów przekracza 50–100. Pojedynczy plik może dotyczyć ubezpieczonego, brokera, rzeczoznawcy, osoby odpowiedzialnej za finanse, dostawcy usług naprawczych oraz zewnętrznego doradcy prawnego. Podczas zdarzenia katastroficznego jedna wspólna skrzynka pocztowa może przed południem przetworzyć dziesiątki niemal identycznych wniosków.
Właśnie dlatego powiązania między cyberprzestępczością a oszustwami ubezpieczeniowymi tak naturalnie ujawniają się w działalności ubezpieczeniowej. Gdy przestępcy uzyskają dostęp do skrzynki pocztowej, faktury lub korespondencji z dostawcą, nie potrzebują już spektakularnego scenariusza włamania. Mogą poczekać na moment faktycznej płatności i wkroczyć do akcji tam, gdzie ludzie i tak spodziewają się jakiegoś ruchu.
Zespoły, które rozumieją , czym jest DMARC, wiedzą już, że chodzi tu o coś więcej niż tylko dostarczalność wiadomości. DMARC współpracuje z protokołami SPF i DKIM, pomagając właścicielom domen zweryfikować, kto ma prawo wysyłać wiadomości przy użyciu ich domeny, oraz określić, jak serwery odbiorcze powinny postępować z wiadomościami, które nie przejdą tych kontroli. Ma to znaczenie w kontekście roszczeń, ponieważ podszywanie się pod inne podmioty jest często bardziej opłacalne niż ataki typu brute force.
Wyobraźmy sobie sytuację związaną z roszczeniem majątkowym po szkodach spowodowanych gradem. Wykonawca kończy prace związane z awaryjnym zabezpieczeniem, rzeczoznawca zatwierdza kosztorys, a dział finansowy czeka na wypłatę kwoty 28 400 dolarów. Osoba atakująca, mająca dostęp do jednej skrzynki pocztowej w tym łańcuchu komunikacyjnym, przez kilka dni obserwuje sytuację w milczeniu, a następnie wysyła krótką wiadomość z informacją, że wykonawca zmienił bank, i załącza zaktualizowany formularz przelewu.
Wiadomość e-mail nie musi być efektowna. Wystarczy, że dotrze w momencie, gdy zespół już oczekuje na ostateczną fakturę lub potwierdzenie przelewu ACH. Zgodnie z komunikatem FBI IC3 dotyczącym ataków typu BEC (Business Email Compromise) zgłoszone straty związane z tym zjawiskiem przekroczyły na całym świecie 55 miliardów dolarów w okresie od października 2013 r. do grudnia 2023 r. Liczba ta wyjaśnia, dlaczego „prostej” wiadomości e-mail dotyczącej zmiany sposobu płatności nie należy nigdy traktować jak rutynowej czynności administracyjnej.
Mechanika jest celowo nudna:
Ten sam schemat ma zastosowanie w ubezpieczeniach od wypadków przy pracy, ubezpieczeniach od odpowiedzialności cywilnej, ubezpieczeniach komunikacyjnych dla firm oraz w sprawach dotyczących regresu. Jeśli jedna wiadomość może wpłynąć na to, kto otrzyma wypłatę, gdzie trafią poufne dokumenty lub które dokumenty zostaną uznane za autentyczne, roszczenie ma już wystarczającą wartość, by stać się celem nadużyć.
Większość zespołów potrafi rozpoznać niechlujną wiadomość phishingową. Trudniejsze do wykrycia są wiadomości, które w 95 procentach wyglądają na prawdziwe. Osoba podszywająca się pod nadawcę może zmienić jedną literę w domenie, odpowiedzieć w ramach istniejącej wymiany wiadomości lub posługiwać się dokładnie takim samym stylem, jakiego zwykle używa dany dostawca.
Dlatego najlepszym nawykiem podczas sprawdzania dokumentów nie jest „szukanie błędów gramatycznych”, lecz „sprawdzanie, czy wniosek wpisuje się w przebieg pracy”. Wykonawca, który od 18 miesięcy korzysta z tej samej domeny, nie powinien nagle wysyłać zmiany danych bankowych z nowego adresu na godzinę przed wypłatą środków. Adwokat wnioskodawcy, który zazwyczaj przesyła pliki PDF za pośrednictwem bezpiecznego portalu, nie powinien nagle prosić o instrukcje dotyczące wypłaty odszkodowania w formie jednowierszowej odpowiedzi wysłanej z telefonu komórkowego.
Wiele typowych sygnałów ostrzegawczych wskazujących na phishing w dokumentacji ubezpieczeniowej jest subtelnych: zmieniony adres zwrotny, nowy typ załącznika, sugestia pilności w ostatniej chwili lub prośba o pominięcie standardowego portalu, ponieważ „ten jest szybszy”. To drobne szczegóły, ale w procesie rozpatrywania roszczeń często decydują o tym, czy mamy do czynienia ze zwykłą procedurą, czy z próbą oszustwa.
Wytyczne FBI dotyczące ataków typu „business email compromise” jasno określają praktyczną zasadę: należy weryfikować zmiany dotyczące płatności lub kont za pośrednictwem innego kanału, sprawdzać pełny adres nadawcy oraz zachować szczególną ostrożność, gdy prośba ma charakter pilny. Dobre zespoły ds. likwidacji szkód stosują się do tej zasady nawet wtedy, gdy wiadomość wygląda znajomo, ponieważ właśnie na tym polega atak – oszustwo opiera się na wywołaniu poczucia znajomości.
Usprawniony proces obsługi roszczeń nie traktuje każdego e-maila jak sytuacji krytycznej. Wprowadza dodatkowe procedury tylko w przypadkach, w których oszustwo może generować wysokie koszty: zmiany danych konta, instrukcje dotyczące rozliczeń, skorygowane faktury oraz przekierowywanie poufnych dokumentów.
Zacznij od strony domeny. Szybka analiza za pomocą narzędzia do sprawdzania domen może ujawnić, czy w Twojej domenie wysyłającej występują oczywiste luki w uwierzytelnianiu związane z protokołami DMARC, SPF, DKIM i powiązanymi mechanizmami kontroli. Narzędzie PowerDMARC zostało zaprojektowane specjalnie z myślą o wykrywaniu zagrożeń związanych z phishingiem, spoofingiem, oszustwami i podszywaniem się. Jest to przydatne, ponieważ oszustwa związane z roszczeniami często kończą się sukcesem na długo przed tym, zanim ktokolwiek zauważy problem z wypłatą środków w rejestrze.
Następnie należy zaostrzyć zasady przekazywania spraw w ramach procesu rozpatrywania wniosków. Jeśli zmiana w danych bankowych nastąpi po zatwierdzeniu płatności, ale przed jej zrealizowaniem, powinna ona uruchomić inną ścieżkę kontroli niż rutynowa aktualizacja statusu. Sprawa dotycząca wniosku o zwrot kosztów w wysokości 1200 dolarów może wymagać szybkiego kontaktu telefonicznego. Sprawa dotycząca korekty rozliczenia na kwotę 40 000 dolarów może wymagać kontaktu telefonicznego oraz zatwierdzenia przez drugą osobę w ciągu tego samego dnia roboczego.
Praktyczny zestaw kontrolny zazwyczaj wygląda następująco:
W tym przypadku również istotne znaczenie ma uwierzytelnianie wiadomości e-mail. Zgodnie z wytycznymi Google dla nadawców, nadawcy wysyłający masowo wiadomości na prywatne konta Gmail powinni stosować protokoły SPF i DKIM, opublikować rekord DMARC oraz dopasować domenę organizacji w nagłówku „From” do danych podanych w protokołach SPF lub DKIM. Wymogi te dotyczą budowania zaufania do nadawcy na dużą skalę, ale takie samo podejście pomaga firmom ubezpieczeniowym ograniczyć ryzyko spoofingu oraz uporządkować sygnały, na których pracownicy opierają się przy ocenie, czy dana wiadomość jest autentyczna.
Najlepsze zespoły ds. ubezpieczeń sprawdzają swoje procedury również na prawdziwych sprawach. Wybierz jedną niedawną sprawę dotyczącą ubezpieczenia majątkowego, jedną sprawę z zakresu ubezpieczenia pracowniczego oraz jedną sprawę z zakresu odpowiedzialności cywilnej. Zadaj w odniesieniu do każdej z nich bezpośrednie pytanie: gdyby właśnie teraz nadeszła fałszywa wiadomość e-mail dotycząca zmiany kwoty wypłaty, gdzie dokładnie zostałaby ona zatrzymana i przez kogo? Jeśli odpowiedź jest niejasna, to niejasny jest również mechanizm kontroli.
Oszustwa związane z roszczeniami stają się kosztowne, gdy zwykłe luki w procesach traktuje się jak niegroźne niedociągnięcia administracyjne. Sfałszowana wiadomość może przekierować płatność dla wykonawcy, opóźnić rozliczenie lub spowodować, że poufne dane wnioskodawcy trafią w niepowołane ręce, nie wywołując przy tym wyraźnego alarmu. Rozwiązanie jest zazwyczaj mniej radykalne, niż się wydaje: należy wzmocnić weryfikację nadawców, uprościć zasady weryfikacji oraz stworzyć krótką listę sytuacji, które nigdy nie mogą pozostać „rutynowe”. Jeśli zmiany bankowe, korekty faktur i instrukcje dotyczące wypłat zawsze powodują oddzwonienie i ponowne sprawdzenie, atakujący traci przewagę czasową. Wybierz dziś jeden rzeczywisty proces obsługi roszczeń i sprawdź, w jaki sposób fałszywa wiadomość e-mail dotycząca zmiany płatności przeszłaby od skrzynki odbiorczej do wypłaty. Następnie wyeliminuj tę lukę, zanim nadejdzie kolejna wiadomość o zwyczajnym wyglądzie.
Kompresja SPF: Ogranicz liczbę wyszukiwań DNS związanych z SPF i zoptymalizuj swój rekord SPF