28 nov 2016

CEO fraud – social engineering indefra

På det seneste har der været vækst i en særlig form for social engineering, CEO fraud (også betegnet Business Email Compromise – BEC). Essentielt set går det ud på, at it-kriminelle udgiver sig for at være direktør eller leder i den pågældende virksomhed, og giver medarbejdere ordre om overførsler af pengebeløb til svindlernes konto.

Tendensen er stigende både herhjemme og i udlandet. I et par af de mere omtalte sager er to danske virksomheder blevet svindlet for sammenlagt 140 mio. kr., og der er en kraftig stigning i anmeldelserne af CEO fraud herhjemme. I Frankrig har der været tab for en halv milliard EUR, og i USA estimerer FBI, at virksomheder har tabt mere end 2,3 mia. USD de seneste tre år.

Bogholdere er typisk mål for svindlen, der udnytter medarbejderes naturlige autoritetstro overfor overordnede. Samtidig kombineres svindelforsøgene ofte med en kort tidsfrist, hvilket medfører at sædvanlige godkendelsesprocedurer ikke overholdes.

Hvad er særligt ved CEO fraud?

Det er karakteristisk for CEO fraud, at overførsler skal foregå meget hurtigt, og at de skal foregå i fortrolighed. Ofte er forklaringen, at det drejer sig om opkøb af en virksomhed, og at overførslen skal ske til en udenlandsk konto, udenfor Europa.

Denne type svindel kræver et godt forhåndskendskab til virksomheden, da CEO fraud forudsætter en høj grad af troværdighed. Særligt ses det, at svindlerne er vidende om, hvornår chefen er bortrejst, hvilket giver dem spillerum til at foretage svindlen – og hvilket giver mulighed for, at anmodningen om transaktionen sker via mail, i stedet for personlig henvendelse.

CEO fraud kan både begås af eksterne personer, og af interne personer i virksomheden – enten af it-kriminelle, der udgiver sig for at være chef, eller en ansat, der udnytter sin position og sit kendskab til virksomheden til at berige sig selv.

Konkret kan det eksempelvis være en økonomidirektør, der presser bogholderen til at overføre pengene straks, eller det kan være eksterne personer, der har skaffet adgang til økonomichefens eller direktørens mailkonto – enten ved at udgive sig for at være it-supporter, eller via fysisk adgang til virksomheden. Denne adgang til mailkonti gør også, at svindlerne kan orientere sig om, hvordan den pågældende direktør typisk formulerer sig – hvilket giver dem nyttig viden til at efterligne personens kommunikationsstil.

Det ses også, at svindlen går ud over danske afdelinger af internationale virksomheder. I disse tilfælde kan svindlerne fx udgive sig for at være et advokatfirma, der agerer på vegne af den internationale koncern.

Hvordan forebygges CEO fraud?

Udover sund skepsis, så er der følgende forholdsregler, der kan afhjælpe risikoen:

  • Tjek, at jeres it-sikkerhedspolitikker og procedurer for godkendelse er i orden, og at de er klare og præcise. Det er alfa og omega, at alle til enhver tid insisterer på at overholde dem – ingen undtagelser.
  • Ofte skal overførslerne ske til nyoprettede virksomheder. En internetsøgning kan afsløre, om det er tilfældet.
  • Vurdér, om overførslen er usædvanlig eller unormal.
  • Vurdér, om der er noget mærkeligt ved afsender-mailadressen, domænet eller telefonnummeret, der ringes fra. Ofte bruger svindlerne domæner, som er næste identiske med virksomhedens eget domæne, bortset fra et enkelt tegn eller to.
  • Foretag en kontrolopringning til personen, der anmoder om overførslen, for at verificere, at anmodningen er reel.
  • Undgå straksoverførsler – det bør aldrig være tilfældet, at en overførsel ikke kan vente mindst et døgns tid. Således kan I overholde de etablerede procedurer og nå at verificere, om anmoderen er, hvem de giver sig ud for at være.
  • Skab bevidsthed om CEO fraud blandt medarbejderne. Er de klar over, at risikoen findes, bliver de også mere bevidste om faresignalerne – og det minimerer risikoen for at blive udsat for svindlen.

ceo-fraud