CEO-fraud, eller direktørsvindel, kan koste danske virksomheder mange penge, og det er derfor vigtigt at være opmærksom på denne sofistikerede form for it-svindel.
It-kriminelle bliver mere intelligente
It-kriminelle får hele tiden nye redskaber og kompetencer til at gøre deres cyberkriminalitet mere og mere avanceret. De er bl.a. blevet gode til at researche sig frem til personlige eller fortrolige oplysninger om både højt- og lavtstående medarbejdere i virksomheder. Det kan de gøre gennem offentlig tilgængelige information, f.eks. gennem Google-søgninger eller sociale medier. Disse oplysninger kan de bruge til at udføre CEO-fraud.
Hvordan ser CEO-fraud ud?
CEO-fraud, også kaldet direktørsvindel eller BEC (Business E-mail Compromise), er en type svindel, der består af falske e-mails eller SMS'er, hvori de it-kriminelle udgiver sig for at være en virksomheds direktør.
De falske mails kan nogle gange blive sendt fra en fremmed mailkonto, der har direktørens navn. I mange tilfælde kan de it-kriminelle hacke direktørens mailkonto og sende mails fra den. I en CEO-fraud e-mail beder de it-kriminelle en medarbejder om at overføre penge til en specifik konto, ofte udenlandske bankkonti, eller betale en falsk faktura.
De it-kriminelle giver medarbejderen et indtryk af, at det er vigtigt, at den angivne pengeoverførsel eller fakturabetaling sker med det samme. Derudover anvender de deres research om virksomheden og direktøren til at gøre beskederne både troværdige og overbevisende. Hvis de it-kriminelle har hacket direktørens mailkonto, så kan de finde legitime fakturaer og ændre bankoplysningerne i dem.
CEO-fraud er svært at gennemskue
En af grundene til at CEO-fraud er så svært at gennemskue, er pga. svindlernes grundige research. Udover at de finder følsomme oplysninger om direktøren og virksomheden og inkorporerer dem i deres falske mails, så kan de også sende e-mails ud på tidspunkter, der øger chancen for, at de ansatte falder for dem.
Målrettet timing
Ofte sender svindlere deres falske e-mails ud om sommeren, i ferieperioder og omkring helligdage, hvor de ved, at direktøren og/eller medarbejderne ikke er på kontoret. Dette gør det svært for medarbejderne at bekræfte en mistænkelig e-mail med det samme. Hvis nogle medarbejdere arbejder hjemme omkring helligdagene, så er deres sikkerhedsrutiner ofte udfordret, og de tænker ikke så meget over it-sikkerhed.
Troværdig stil fra en chefs mailkonto
Hvis svindlerne har hacket direktørens mailkonto, kan de efterligne vedkommendes sproglige stil og måde at formulere sig på. Derfor kan de falske mails fremstå meget troværdige.
Tidspres i form af deadlines
I CEO-fraud giver svindlerne altid medarbejderne det indtryk, at sagen haster. Ofte er der korte deadlines, der presser medarbejderne til at reagere hurtigt og overføre pengene. Dette er en almen strategi i social engineering, da de fleste føler, at de skal reagere med det samme for at undgå negative konsekvenser.
CEO-fraud over telefon
De it-kriminelle kan som en del af deres svindel ringe op til medarbejdere og udgive sig for at være direktøren. Hvis medarbejderne ikke ved, hvordan direktøren lyder, kan det være en meget effektiv teknik til at overbevise medarbejderne om at sende penge med det samme.
Hvad gør du, hvis du bliver bedt om at overføre penge?
Der er en række gode råd til, hvordan man som medarbejder eller virksomhedsansvarlig undgår CEO-fraud. Rådene kommer ind på alle de ting, som man skal være ekstra opmærksom på. Rådene gælder både, når man er på kontoret og arbejder hjemme.
Ring til din chef, hvis du er i tvivl
Det kan ske, at man som medarbejder bliver bedt om at overføre penge eller betale fakturaer. Inden du overfører pengene, så sørg for at få bekræftet henvendelsen. Kontakt din chef for at være sikker. Du skal ikke besvare eller reagere på mailen, før at du er helt sikker på, at det er en legitim e-mail.
Vær kritisk overfor afsenderen
Du skal altid tjekke mailadressen, når du modtager en mail. Selvom e-mailen indeholder direktørens navn, skal man være ekstra opmærksom på afsenderen. Hvis svindlerne ikke har hacket direktørens rigtige mailadresse, så forsøger de at efterligne den. Det kan de gøre ved at ændre nogle bogstaver i mailadressen eller ændre domænet.
Når svindlere anvender metoder til at få modtagere til at tro, at afsenderen er nogen, de kender, kaldes det name spoofing.
Vær opmærksom på mails om overførsler
Det er altid vigtigt at forholde sig kritisk til mails om pengeoverførsler, især udenlandske overførsler. Hvis du bliver bedt om at overføre penge til en udenlandsk bankkonto, skal du være ekstra opmærksom og altid få bekræftet e-mailen.
Det er fordelagtigt for virksomheder at have en procedure for, hvordan pengeoverførsler skal håndteres, f.eks. at der altid skal være to medarbejdere til at godkende overførsler.
Informer medarbejderne om CEO-fraud
Alle virksomheder skal informere sine medarbejdere om CEO-fraud og andre former for cyberangreb. På den måde bliver alle medarbejdere opmærksomme på kendetegnene på CEO-fraud og de tilhørerende risici. Træn medarbejderne med awareness-træning, så de får viden om it-sikkerhed og alle relevante cyberangreb, der kan ramme virksomheder, og viden om, hvad de skal være opmærksomme på og dermed undgå at falde for svindel.
Hold øje med vedhæftede filer eller dokumenter
Hvis der i en e-mail er en vedhæftet fil eller vedhæftede dokumenter, så skal man også være ekstra opmærksom på ikke at downloade dem med det samme, da de kan indeholde malware, der bliver installeret på ens computer, når man downloader dem.
Hvad gør man, hvis man er blevet udsat for direktørsvindel?
Hvis du er blevet ramt af direktørsvindel, så skal du kontakte din it-afdeling med det samme og derefter melde det til politiet. Selvom det næsten er umuligt at få pengene tilbage, når de er blevet sendt til udlandet, så kontakt din bank for at undersøge, om de kan stoppe overførelsen.
For at undgå yderligere svindelforsøg er det vigtigt at informere både medarbejdere og ledere om, at virksomheden er blevet udsat for svindel.
Det er også vigtigt at scanne alle systemer og enheder, da de kan være inficeret med malware.
Sofie Meyer
Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.
Se alle indlæg af Sofie Meyer