20-1-2017

 

CEO-fraud (spoofed e-mails)

Der er fortsat flere og flere virksomheder i Danmark, der bliver ramt af CEO-fraud. Fænomenet er ikke nyt, men som med så mange andre svindelnumre via nettet er der fortsat mange, der hopper på og kommer galt afsted, hvilket kan koste virksomheden mange penge og ubehageligheder.

En forklaring på den manglende opmærksomhed kan være, at de fleste medarbejdere ikke ønsker at modsige deres overordnede, og derfor følger anvisninger, som de tror kommer fra dem. Det er netop dette element, som bedragerne udnytter i udførelsen af CEO-fraud, der i it-sprog kaldes "spoofing".

E-mail spoofing er mails med en forfalsket afsenderadresse, hvilket CEO-fraud netop bygger på.

CEO-fraud fungerer ved, at regnskabschefen eller en controller via mail bliver bedt om at hasteoverføre et beløb til en udenlandsk bankkonto. Mailen ser ud til at være sendt af den administrerende direktør (CEO) og forekommer ofte i ferietid, eller hvor den administrerende direktør er i udlandet.

De forretningsmæssige begrundelser for hasteoverførelsen varierer meget og er af meget forskellig kvalitet.

Nogle bedragere bruger mere tid på at sætte sig ind i de virksomheder, som de vil lokke til at overføre penge end andre, og tidsforbruget varierer ofte også i forhold til virksomhedernes størrelser, og de beløb bedragerne forsøger at lokke ud af virksomhederne.

De fleste medarbejdere ønsker ikke at modsige deres overordnede, og de følger derfor anvisninger, som de tror kommer fra denne, og opdager derfor ikke, at de sender penge til bedrageren.

I modsætning til traditionel phishing, fanges de falske mails, der anvendes ved CEO-fraud, ofte ikke i virksomhedernes spamfilter, da det almindelige spamfilter primært søger efter mails, der er masse udsendt.

Bedragerne bruger tid på at forstå deres targetvirksomhed og organisationens relationer, aktiviteter, interesser og rejsemål samt eventuelle planer for opkøb. Dette gør de ved at indsamle medarbejdernes mailadresser og andre oplysninger fra targetvirksomhedens websted, alt sammen for at gøre deres angreb mere overbevisende.

De mest avancerede CEO-frauds starter med, at bedrageren får adgang til de implicerede medarbejderes mailkonti eller opretter et look-alike domæne, der ligner targetvirksomhedens rigtige domæne.

De mindre avancerede CEO-frauds opnår ikke adgang til virksomhedens mailkonti og gør heller ikke det store ud af at komme til at ligne virksomhedens rigtige domæne. De opretter i stedet en mailkonto hos en mailudbyder, hvor der er mulighed for at ændre i de viste informationer i mailens heading, eksempelvis med andre underliggende adresser som ”fra” og ”svar-til”.

Pas på CEO-fraud - selvom det ikke er nyt har alle ikke opmærksomheden rettet mod dette og der mangle mange steder forretningsgange for håndtering af hasteoverførelser til udenlandske konti.

Udover CEO-fraud oplever vi også sikkerhedstrusler vedrørende faktura mail spoofing og ransomware, som opmærksomheden ligeledes bør rettes mod.

Efaktura spoofing er mails med faktura, der ser ud til at være fra en større kendt virksomhed/leverandør. Bedrageren håber på, at modtageren af mailen vil betale den falske faktura (ofte mindre beløb).

Ransomware, hvor en medarbejder kommer til at aktivere et program via en modtaget fil eller et link til internettet, der krypterer alle de filer medarbejderen har adgang til, med krav om betaling af løsepenge for at få filerne frigivet. Ofte kan indlæsning af backup løse problemet, men ikke i alle tilfælde uden at udført arbejde går tabt.

Ri anbefaler, at der indføres en praksis for løbende orientering af medarbejderne om aktuelle sikkerhedstrusler, hvor blot det at der er bevidsthed om truslerne medvirker til at mindske risikoen for at godtage f.eks. falske mails og fakturaer.

Omfanget heraf bør tilpasses, så medarbejderne også tager det til sig, og ikke bliver overvældet af for mange og meget tekniske informationer.

Det er vigtigt at der findes en orienteringsform, der gør det let og interessant for medarbejderne at holde sig ajour med aktuelle trusler og samtidig løbende at opdatere forretningsgangene, så trusler kan mindskes.


Kontakt Tem, hvis du vil vide mere.

Ri Statsautoriseret Revisionsaktieselskab - CVR-nr. 53 37 19 14 - Skagensgade 1 - DK-2630 Taastrup - kbh@ri.dk - +45 43 50 50 50 - Privatlivspolitik -