ב-16 באוקטובר 2018 הצטרף ה-SEC האמריקאי (U.S SECURITIES AND EXCHANGE COMMISSION) ל-FBI בצלצול בפעמוני האזעקה בכל הקשור לגידול העצום בהונאות התשלומים שגורם לנזקים של מאות מיליוני דולרים לחברות אמריקאיות. שיטת ההונאה הנ"ל, שפגעה גם בחברות ישראליות, מבוססת למעשה על שיטה פשוטה מאוד של משלוח הודעות מייל לאנשי הכספים בחברה בבקשה לשנות את פרטי חשבון הבנק של ספק אמיתי.
קיימות מספר וריאציות של הונאות תשלום. הדרך הקלה והפשוטה ביותר מתוארת להלן:
שלב א' – נוכלים מאתרים חברה בעלת פעילות בין-לאומית עם היקף תשלומים גדול.
שלב ב' – איתור ספק אמיתי של החברה.
שלב ג' – איתור המיילים ושמות בעלי תפקידים בחברה – מנכ"לים, סמנכ"לי כספים ומנהלי חשבונות ראשיים וכן פרטים אלה גם אצל הספק. לרוב המידע זמין באינטרנט או שניתן להשיגו באמצעות שיחות עם החברות הנ"ל.
שלב ד' – משלוח מייל עם כתובת אינטרנט כמעט זהה לכתובת של ספק אמיתי ובקשה לשינוי פרטי חשבון בנק. לרוב מדובר בשינוי זניח בכתובת, לדוגמה – קו תחתון במקום קו אמצעי/נקודה במקום קו וכד'. במקרים מסוימים מופיע במקום הכתובת המלאה רק שם השולח. עם זאת בהקלקה על השם ניתן לראות כי מדובר בכתובת שונה. הדבר נפוץ מאוד בהודעות המתקבלות לדוגמה מ- PAYPAL והמציינות כי החשבון נחסם. למרות שנרשם שהשולח הוא PAYPAL הרי שלחיצה מגלה שמדובר בחשבון מזויף support@support-paypal.com ולא PAYPAL.COM.
שלב ה' – משלוח ייפוי כוח ומסמכים מזויפים לגבי החשבון המבוקש לשינוי בחשבון הבנק.
שלב ו' – שינוי חשבון הבנק של הספק על ידי הנהלת החשבונות של החברה.
שלב ז' – ביצוע העברת הכסף לחשבון בנק בשליטת הנוכלים, ומשם העברה מיידית לחשבון באפריקה או במזרח אירופה בו ניתן לבצע משיכת מזומן של הכספים במהירות וללא השארת עקבות.
וריאציה של ההונאה המפורטת למעלה הינה התחזות לבעל תפקיד בכיר בחברה ומשלוח הודעת מייל לגורם הרלוונטי בחברה בבקשה לביצוע העברה דחופה של כספים לצורך סגירת עסקה. לרוב מצוין כי מדובר בנושא דחוף הדורש סודיות מוחלטת. כפי שפורט, המייל יהיה דומה מאוד למייל האמיתי של בעל התפקיד בחברה.
וריאציה נוספת ומתוחכמת יותר משלבת התקפת סייבר על ארגון, ושינוי, ללא ידיעתו, של מסמכים המבקשים להעביר כספים או לחלופין השתלטות על חשבון המייל של אנשי רכש ומשלוח הודעות ללקוחות ממייל של עובד בחברה, כך שהמייל מגיע ממקור לגיטימי ואף בהקשר לעסקה ספציפית ולתכתובת מייל קודמת. האקרים למעשה חשופים לכל המיילים של הארגון ומסוגלים לענות בשם הארגון.
דוגמאות
דוגמה 1 – חברה בין-לאומית הפועלת באזור הצפון, קיבלה בקשה במייל לשינוי פרטי חשבון הבנק של ספק אמיתי. הבקשה הייתה בעקבות התכתבויות בין נוכלים לבין החברה בצורה של "השב". לבקשה צורפו מסמכים מזויפים בהתאם לבקשת החברה. כתוצאה מהבקשה הכוזבת הועברו כמיליון דולר לחשבון בנק בהונג קונג ומשם מייד הכסף הועבר לחשבון בנק בסין. לאחר ביצוע התשלום פנה הספק האמיתי וביקש את ביצוע העברה.
דוגמה 2 – מייל של משרד עורכי דין נפרץ. האקרים יירטו מייל של לקוח המשרד הכולל הסכם ובו פרטי חשבון בנק לביצוע העברה כספית בגין השקעה בחברת סטארט-אפ. לאחר ביצוע העברה לחשבון הכוזב התברר כי ההסכם שונה וסכום של כ-2,500,000 דולר נגנב.
דוגמה 3 – חברה ישראלית הסוחרת עם סין קיבלה הודעה שעקב משבר הקורונה הבנק שלה אינו עובד בצורה סדירה, וביקשה להעביר את הכסף לחשבון בנק אחר בסין. לבקשה צורף מידע מדויק על המשלוח שהיה בדרכו לארץ. סכום של כ-125,000 דולר הועבר לחשבון בנק של הנוכלים. מבדיקה התברר כי חשבון הבנק של הספק בסין נפרץ והוא התכתב עם החברה הישראלית.
כל ארגון עובד עם מגוון רחב של ספקים אשר מוכרים מלאי, מעניקים שירותי ייעוץ או מבצעים עבודות שונות בארגון. היקף התשלומים לספקים יכול להיות מהותי מאוד בארגון, ונדרשת בקרה הן על קבלת המוצר/שירות והן על התשלום בהתאם לתנאים שסוכמו עם הספק. למרות שרוב הארגונים מבצעים בקרות על שני ההיבטים שפורטו לעיל, במקרים רבים עדיין מתגלות מעילות במסגרת חקירת מעילה או במסגרת בקרה כללית בארגון אשר בוצעו על ידי עובדים, ספקים או על ידי שיתוף פעולה ביניהם.
בפרק זה יפורטו סוגי המעילות הנפוצות בכל הקשור לתשלומים לספקים. חשוב לציין כי מעילות רבות אשר מבוצעות באמצעות זיוף המחאות/העברות בנקאיות/מס"ב מוסתרות בפועל על ידי רישום בכרטיס ספקים.
א. תשלום לספקים פיקטיביים – אחת המעילות הנפוצות ביותר הינה פתיחת ספק פיקטיבי במערכת וביצוע תשלומים כוזבים לספק. המעילה מבוצעת על ידי הגשת חשבונית מס שהמועל מפיק בבית דפוס או באמצעות תוכנת "וורד", כאשר הוא מאשר את ביצוע התשלום, למרות שלא התקבל כל שירות או מוצר והספק אינו קיים כלל. המעילה מתאפשרת לרוב כאשר למועל יש גישה למערכת פתיחת כרטיסי הספקים ולרישום פרטי חשבון הבנק שלו או של מקורבים במערכת התשלומים.
ב. הגשת חשבונית כפולה – סוג זה של מעילה מוכר בספרות המקצועית כ-DOUBLE PAYMENT. בשיטת מעילה זו, משלמים לספק פעמיים עבור אותו שירות או מוצר. המעילה יכולה להתבצע על ידי פעולה עצמאית של הספק, אשר שולח ללקוח שתי חשבוניות שסכומן זהה בהפרש זמן של שבועות ספורים. לרוב מבצע הספק את "התרגיל" למספר רב של לקוחות מתוך ידיעה שבכמה מהמקרים, נוהלי הבקרה לא יאתרו את המעילה. במקרים שבהם מאותרת המעילה, מתנצל הספק וטוען, כי מדובר בטעות תמימה של הנהלת החשבונות.
דרך נוספת הינה על ידי שיתוף פעולה בין ספק לעובד. במעילה זו, הספק נעזר בעובד הארגון אשר מאשר את החשבונית הכפולה לתשלום. הכסף המתקבל מחולק בין הספק לבין העובד ללא ידיעת הארגון.
ניתן לציין כי מעילה זו יכולה להתבצע גם על ידי העובד בעצמו, ללא ידיעת הספק, וזאת לרוב על ידי צילום חשבונית פעמיים או הכנת חשבון עסקה מזויף (חשבון עסקה במקרים רבים מוכן באמצעות תוכנת "וורד") והעברתם להנהלת החשבונות לתשלום. קבלת הכסף בגין התשלום הכפול יכולה להתבצע על ידי שינוי שם המוטב על ההמחאה, שינוי מספר חשבון הבנק של הספק במערכת הנהלת החשבונות, או על ידי הודעה לספק כי נפלה טעות, והוא מתבקש לשלוח המחאה באותו סכום, אותה מסב המועל ופודה בעצמו.
ג. אי-קיזוז מקדמות – גרסה אחרת למעילה שפורטה לעיל היא אי-קיזוז מקדמות ששולמו לספק בחשבון הסופי שמוגש. במרבית המקרים, מעילה זו מתבצעת על ידי הספק ללא ידיעת החברה, למרות שהיא יכולה להתבצע גם על ידי עובד באופן עצמאי או על ידי שיתוף פעולה בין ספק לעובד.
ד. דרישת מחיר מנופח – מרכיב מרכזי של כל חשבונית אשר נשלחת על ידי הספק, הינו מחיר לפריט או למוצר שסופק. ניפוח המחיר ליחידה אשר נקבע בין הצדדים, יביא למצב בו הסכום הסופי בחשבונית, שישולם על ידי החברה, יהיה גבוה מן הנדרש ויגלם בתוכו סכום כוזב לקופת הספק. במידה שה"טעות" מתגלה, מתנצל הספק וטוען שמדובר בטעות בתום לב. חשוב לציין כי במידה שנתוני התעריף אינם מוקלדים למערכת הרכש, הרי שיש לבחון כל תעריף למול ההסכם עם הספק – דבר אשר מקשה על איתור המעילה.
ה. דרישת כמות מנופחת – מרכיב נוסף בכל חשבונית הינו הכמות שסופקה. ניפוח של הכמות בחשבונית יביא אף הוא לתשלום מנופח לספק. הספק יכול לרשום כי הוא סיפק כמות גדולה יותר ממה שאכן סופק בפועל, או שהוא יכול לספק כמויות קטנות יותר מאלה שנקבעו בין הצדדים, או לבצע חלק מהעבודה שנקבעה בהסכם. גם במקרה זה הספק יכול לטעון כי מדובר בטעות תמימה. במקרים בהם מעורב עובד החברה, הרי שהוא יאשר לספק בתעודת המשלוח כי התקבלה כמות גדולה יותר מזו שהתקבלה בפועל – דבר שיביא לניפוח התשלום לספק.
ו. הספקת מוצרים באיכות נמוכה יותר – דרך נוספת של ספקים להונות לקוחות הינה באמצעות הספקה של סחורה באיכות ירודה יותר מהמפורט בהסכם. מעילה מסוג זה מבוצעת לרוב במקרים בהם קיים קושי להבדיל בין סוגים שונים של אותו פריט, כגון: מוצר עמיד למים ומוצר זהה שאינו עמיד למים; המחיר כמובן בהתאם.
ז. טעויות בסיכומים, הכפלות, מידוד, שער חליפין – חשבונית הספק מורכבת מהמחיר לפריט, כשהוא מוכפל בכמות שסופקה. בארגונים רבים מבצעים בדיקה וסימון ב-ü של המחיר ושל הכמות. עם זאת, לא מבצעים בדיקה של הסיכום הסופי, מאחר שהם יוצאים מהנחה כי מדובר במערכת ממוחשבת שעושה את החישוב באופן אוטומטי. חשוב לציין כי בחלק מהתוכנות ניתן לרשום סכום סופי של עסקה בצורה ידנית, כך שניתן להגדיל את הסכום הסופי לתשלום בצורה כוזבת. גם מידוד התעריף בצורה מוטעית, על ידי שינוי מדד הבסיס או רישום שער חליפין שגוי, הינו נפוץ ומהווה דרך לניפוח החשבונית של הספק.
ח. פיצול סעיף בחוזה למספר סעיפים – בהונאה זו, הספק מפצל את הסעיפים המקוריים בהסכם למספר תתי-סעיפים אשר עלותם תהיה כמובן גבוהה יותר מהסעיף המקורי (לדוגמה: עלויות פינוי עפר, אשר אמורות לכלול את כל העלויות הכרוכות בפינוי יפוצלו לעלויות ציוד, עלויות עובדים, עלויות הובלה ועלויות פינוי).
דוגמאות
דוגמה 1 – עובד, שהיה אחראי על תשלום ליועצים המשפטיים של הארגון, נהג לשנות את חשבונות העסקה שנשלחו אליו במייל על ידי הספקים ולהגיש דרישות תשלום נוספות, מעבר לחשבונות האמיתיים שהתקבלו. העובד דרש מהנהלת החשבונות להעביר אליו את ההמחאות לספקים בטענה כי הוא נפגש איתם לצורכי עבודה. מנהל כספים חדש שהגיע לארגון ובחן את ההסכמים המשפטיים, ביקש לבדוק את החשבונות ופנה לעורכי הדין בשאלות לגבי מהות העבודה שבוצעה. להפתעתו התגלה כי חלק מהחשבונות מזויפים וכי ההמחאות בגין אותם תשלומים הופקדו בחשבון העובד. העובד הודה במעילה ופוטר. תלונה הוגשה למשטרה.
דוגמה 2 – ארגון חתם עם קבלן על הסכם לבניית חניון תת-קרקעי בעלות של כשבעה מיליון ש"ח. בפועל שולמו לקבלן כ-12 מיליון ש"ח. כל הגורמים המעורבים הסבירו את החריגה הכספית בעיכוב שחל בעבודה, עקב מציאת קברים בעת הבנייה. חקירה שנערכה העלתה כי הקבלן נהג לפצל סעיפים. לדוגמה, סעיף פינוי עפר פוצל לעלות עובדים, ציוד ופינוי עפר לפי מחיר מוסכם לקוב. בנוסף, דרש הקבלן כספים עבור עבודות אותן הגדיר כשינויים ותוספות, אף שבפועל הם היו חלק מההסכם.
דוגמה 3 – עובד בחברה תעשייתית בארצות הברית, אשר היה אחראי על רכש המחשבים בחברה, הקים חברה פיקטיבית לציוד מחשוב. באמצעות החברה שהקים קנה העובד ציוד אשר נדרש לחברה בה עבד ואישר את הרכישות ואת המחירים לאותם פריטים, למרות שהיו גבוהים בהרבה ממחיר השוק של פריטים אלו. המעילה התגלתה לאחר שבביקורת שנערכה התגלה כי אין לחברה הפיקטיבית כל טלפון או משרדים, ויש לה רק תיבת דואר. בדיקה ברשם החברות העלתה כי העובד הינו בעל המניות בחברה. היקף המעילה הסתכם במיליוני דולרים.
מניעת מעילות הקשורות לתשלומים לספקים מבוססת על בדיקה מדוקדקת של כל סעיפי ההסכם עם הספק והפרטים הכלולים בו, וכן בדיקות בעין לאימות הכמות ואיכות המוצר שמתקבל מהספק, דברים אילו נבדקים גם בדיעבד במסגרת חקירת מעילה או חקירת הונאה.
בניגוד למעילות אחרות, שאינן משאירות עקבות, מעילה באמצעות תשלומים כפולים קלה יחסית לאיתור. החשבוניות המפלילות, או כמה מהן, מתויקות במסמכי הארגון, ופקודות היומן הכפולות נרשמות בספרי הארגון ובדפי הבנק. כל שנותר לעשות הוא לאתר את הסכום הכפול. מעילות אלה מצליחות בארגונים כה רבים, מאחר שנהלי הבקרה הארגוניים מתאימים לפעילות רגילה ולא לאיתור מעילות.
במרבית המקרים, חשבונית כפולה תעבור את הבקרות המפורטות מבלי לעורר חשד. חשוב לציין כי גם התאמת יתרות בין ספרי הארגון לספרי הספק אין בכוחה לאתר את המעילה, מאחר שקיימת התאמה מלאה ביתרה הרשומה בשני הארגונים.
כדי לאתר תשלומים כפולים, יש לחפש סכומים זהים בכרטיס הספק וכן פירוט זהה של מוצר או שירות. לאחר איתור פקודת היומן יש לבצע ניתוח פרטני של החשבוניות בהנהלת החשבונות. מומלץ לבצע את פעולות החיפוש באמצעות כלים ממוחשבים, כגון IDEA. בכל מקרה של חשד לתשלום כפול, ניתן לפנות למוציא החשבונית ולבקש הסברים.
להלן נקודות אשר יכולות למנוע מעילות בתחום התשלומים לספקים:
#רואה חשבון חוקר#מבקר חקירתי#חקירות מעילות#חקירת הונאות#חשבונאות חקירתית#המדריך השלם לביקורת חקירתית#ביקורת פנימית#ניהול סיכונים#בקרת עורכי דין#מניעת מעילות#חקירה כלכלית#סקר חשיפה להונאות#הברחת נכסים#איתור מעילות והונאות#סקר מעילות