CEO Fraud – Den falske direktør slår til

[fa icon="calendar"] 19-06-17 08:27 / Skrevet af GlobalConnect A/S

cybertrusler-3.png

I løbet af det seneste år har særligt én bestemt type social engineering vundet frem blandt de it-kriminelle. Det er en form for bedrageri, der umiddelbart lyder så banal og tegneserieagtig, at det kan være overraskende, den overhovedet fungerer. Men igen er det vigtigt at huske på grundtrinene i social engineering: Det veltimede, veltilrettelagte angreb på en udvalgt medarbejder. Professionelt udført og alt andet end amatøragtigt.

Download e-bog: De fem største cybertrusler: Hvordan medarbejderne kan forsvare virksomheden imod dem

CEO Fraud, eller direktør-bedrageri, går i alt sin enkelhed ud på, at en it-kriminel udgiver sig for at være virksomhedens direktør eller en anden tilpas højtstående leder, der kan beordre pengeoverførsler eller betaling af regninger.

Udnytter omstændighederne

Som regel vil den it-kriminelle vælge at planlægge sit svindelnummer, så det ramler sammen med en periode, hvor virksomhedens medarbejdere arbejder på højtryk. Op til årsafslutningen står regnskabsafdelingen i opgaver til halsen eller i sommermånederne, hvor afdelingen er underbemandet. Sidstnævnte kan eksempelvis betyde, at økonomidirektøren er bortrejst. Så er det pludselig en mindre erfaren mellemleder, der skal tage stilling til en presserende henvendelse fra chefen (eller rettere sagt “chefen”). Den kriminelle skal nok finde tidspunktet, hvor det er mest sandsynligt, at en pengeoverførsel kan blive gennemført uden, at den tiltrækker sig større kritisk bevågenhed.

Som altid, når det drejer sig om social engineering, vil den it-kriminelle være grundig med at skabe et troværdigt stykke fiktion. Hvis der er tale om en e-mail til regnskabsafdelingen, skal den nok indeholde direktørens sædvanlige kendetegn; den rigtige begyndelse, omgangstone, signatur og afskedshilsen. Også e-mailens form og udseende vil passe med virksomhedens standarder. Hvis der er tale om et telefonopkald, kan den it-kriminelle sørge for at udnytte virkelige omstændigheder. Direktøren er på ferie i Fjernøsten og har ikke tid til at sige andet end beløbets størrelse og kontonummeret. Der er også dårlig forbindelse, så hans stemme gik ikke helt rent igennem og faldt nogle gange ud. Han sender lige en kort bekræftelse på mailen, så medarbejderen har kontonummer og beløb på skrift. Det virker meget troværdigt, og vi danskere er et autoritetstro folk. Derfor er det ikke alle, der får undersøgt e-mailen eller opkaldets gyldighed.

Danske virksomheder under angreb

Alene i det seneste halve år har en række danske institutioner og virksomheder været udsat for CEO fraud. Eksempelvis blev Statens Museum for Kunst franarret 805.000 kroner ved hjælp af falske e-mails fra en, der udgav sig for at være direktør Mikkel Bogh. De blev sendt til flere forskellige medarbejdere, og i ordlyden blev der gentagende gange lagt vægt på, at transaktionen skulle foretages hurtigst muligt. Svindelnummeret fandt sted i vinterferien.

Også Det Danske Filminstitut har været udsat for bedrageri til en samlet værdi af 216.000 kroner. Gerningsmændene havde opdaget, at Filminstituttets administrerende direktør var bortrejst og sendte en vellignende e-mail, hvor han efterspurgte en hurtig udbetaling.

It-konsulentvirksomheden 2BM blev franarret over en halv million kroner på en helt almindelig onsdag. Direktøren var til møder ude i byen, hvilket it-kriminelle på en eller anden måde havde fået kendskab til. I løbet af dagen kunne de uforstyrret bede regnskabsafdelingen om at udbetale 565.000 kroner.

Ovenstående tre eksempler er alle blevet omtalt i pressen. De første to blev først beskrevet af Berlingske, og den tredje med 2BM var frembragt af Politiken. De tilhører undtagelserne, hvor virksomheder står frem med deres historie. Langt de fleste virksomheder, der bliver udsat for bedrageri, vælger at holde det hemmeligt. Man må forestille sig, at der er en vis skam forbundet med at være blevet taget ved næsen. Konsekvensen er dels, at det bliver svært at sige, hvor mange virksomheder, der reelt har været udsat for CEO fraud. Men det bliver samtidig vanskeligt for virksomheder at lære af hinandens erfaringer. Og det er udelukkende til de it-kriminelles fordel.

Hvad virksomheden skal gøre

  • Først og fremmest er det vigtigt at uddanne medarbejderne. Særligt de medarbejdere, som håndterer pengeoverførsler, skal vide, at CEO fraud er en type angreb, som virksomheden kan blive udsat for.
  • I perioder med spidsbelastning skal medarbejderne fortsat være opmærksomme på risikoen for bedrageri. Det vil ofte være her, at de it-kriminelle slår til.
  • Arbejd med procedurer hvor pengeoverførsler skal godkendes af flere personer og mindst en person, som er til stede på kontoret. Længere betalingsfrister kan også være et redskab, som forhindrer, at fejlagtige transaktioner bliver gennemført.
  • Direktøren skal så vidt muligt lade være med at poste feriebilleder og lignende på sociale medier. Den slags information på det åbne internet gør virksomheden sårbar.

Download e-bog om cybertrusler


Vurder indlæg:


Handler om: Cybertrusler, Social Engineering, Cybersikkerhed, CEO fraud


GlobalConnect A/S

Skrevet af GlobalConnect A/S

GlobalConnect er Danmarks førende udbyder af fibernet, datacentre og cloud-løsninger. Virksomheden dækker Danmark, Nordtyskland og dele af Sverige med et 15.000 km langt netværk af optisk fiber og 13.000 m2 datacentre. GlobalConnect er grundlagt i 1998 og har i dag mere end 280 medarbejdere og hovedkontor i Taastrup. Virksomheden havde i 2016 en omsætning på 607 mio. kr. Læs mere på www.globalconnect.dk.