Pas særligt på CEO-fraud i sommerperioden

Sommerperioden er en oplagt mulighed for direktørsvindel, hvor it-kriminelle udnytter at direktørerne er ude af kontoret. De udgiver sig for at være virksomhedens CEO, CFO eller anden ledende medarbejder og forsøger at lokke medarbejdere til at godkende falske regninger eller overføre store beløber til eksterne bankkonti.

Pas særligt på CEO-fraud i sommerperioden

I sommerperioden er mange af virksomhedens medarbejdere af sted på ferie, og den situation udnytter de it-kriminelle. Tidligere år er der set en stor bølge af direktørsvindel i sommermånederne, og meget tyder på at vi vil se samme tendens i år. Homeland Security i USA har allerede været ude med en advarsel, og herhjemme har Berlingske Business også sat fokus på problemet.

Svindelnummeret vil ofte være målrettet ansatte i regnskab- og finansafdelingen, som har adgang til virksomhedens konti. I de fleste tilfælde vil hackeren henvende sig til medarbejderen pr. e-mail, men også SMS eller endda telefonisk kontakt, især i større sager, er også set anvendt.

Hackeren udgiver sig for at være administrerende direktør eller finansdirektør, og forsøger at få medarbejderen til at overføre en, ofte stor, sum penge til eksterne bankkonti, med påskud om eksempelvis et stort køb eller betalinger mellem selskaber. Omstændighederne er ofte presserende, og derfor skal betalingen ske øjeblikkeligt.

Sommeren er oplagt for denne type svindelnumre, fordi chefen er ude af kontoret og derfor ikke i stand til at godkende. Derfor kan paraderne måske være sænket.

Lær at identificere tegn på svindel

Denne type angreb gør typisk brug af forskellige tricks til at snyde medarbejderne og presse og lokke dem til at handle hurtigt. Heldigvis kender vi også til mange af disse tricks, og hvis dine medarbejdere har lært at identificere dem, kan du beskytte dem fra at falde i fælden. Der er blandt andet en række gennemgående træk, man skal være opmærksom på:

  • Virker overførslen sandsynlig?

Overvej om I plejer at overføre penge ved køb eller leverandørbetaling på denne måde, og om chefen ville kontakte dig på denne måde i en sådan situation.

  • Hvem er afsender af e-mailen?

Tjek om e-mailadressen stemmer overens med hvad du ville forvente, eller om det er en efterligning.

  • Er der underlige fejl og mærkelige formuleringer?

Tjek for almindelige stavefejl og grammatikfejl.

  • Er tidsfristen kort?

Lad dig ikke stresse af en kort deadline. Det er et ofte anvendt psykologisk trick, som hackerne gør brug af. Det opleves også i almindelige forsøg på phishing. Tag dig god tid til at overveje situationen og lav gerne ekstra kontroller.

I forbindelse med økonomiske transaktioner er der ofte en række fastlagte procedurer og indlagte kontroller, som medarbejderne altid skal følge. Sørg for at dine medarbejdere kender jeres! Udover at sikre sig, at alle involverede medarbejdere har styr på kontrollerne, kan det også overvejes om I skal opdatere jeres procedurer og implementere yderligere kontroller, for at sikre jer mod de mere generiske forsøg på svindel.

Det er ikke altid lige nemt at identificere forsøg på direktørsvindel. Hackerne er blevet gode til at få svindelnumrene til at se meget virkelige ud ved blandt andet at efterligner e-maildomæner, signaturer og e-maildesign.

I de mere avancerede angreb har de it-kriminelle ofte sat sig godt ind i organisationens processer, eksempelvis via løbende overvågning af organisationens kommunikation og aktivitet. Det sker ofte ved at hackeren har kompromitteret virksomheden og fået adgang til interne systemer. Hvis dette er tilfældet, er de i stand til at sende e-mails fra direktørens e-mailkonto, og endda også blokere eller fjerne e-mails fra mailserveren.

Hvis der er den mindste tvivl kan det være en god idé at tage et kontrolopkald, så du er på den sikre side. Selvom chefen er på ferie, vil han eller hun sandsynligvis kun blive glad for din bevågenhed.

Avancerede angreb kræver øget sikkerhed

For at beskytte organisationen mod de avancerede angreb skal du sørge for at holde de it-kriminelle ude af virksomhedens systemer. Det kan gøres ved at beskytte og overvåge infrastrukturen, så hackere ikke kan få adgang til virksomhedens systemer og interne e-mailkonti. Dernæst bør der altid anvendes krypterede forbindelser, når der kommunikeres med kunder og leverandører, så informationer om køb og salg ikke kan opsnappes og ændres.

Hvad gør jeg, hvis jeg er faldet i fælden?

Hvis du opdager, at du er blevet offer for direktørsvindel skal du kontakte din bank og politiet med det samme. I nogle tilfælde kan banken forhindre at pengene overføres til hackerens bankkonto. Det er dog ikke altid, at du kan være så heldig. Når først pengene lander på hackerens konto er de hurtige til at flytte pengene til andre konti, hvor de ikke kan spores. Herfra kan det være nærmest umuligt at få pengene igen.

Dernæst bør du altid gemme al dokumentation for hele forløbet. Det kan være afgørende for politiets efterfølgende efterforskning og kan hjælpe med at forebygge lignende angreb.

Uddan og test medarbejderne så bevågenheden er i top

Denne type svindelnumre udnytter uskyldige medarbejdere og deres uopmærksomhed og manglende viden. Derfor er virksomheden nødt til at sikre sig, at medarbejderne har de rette værktøjer og den rette viden til at undgå at blive ofre for svindel.

I mange tilfælde kan man nemlig undgå at blive offer for direktørsvindel, hvis man sikrer sig at medarbejderne kender de faste procedurer og samtidig uddannes til at være gode digitale brugere. Med den rette viden kan man nemlig i mange tilfælde identificere forsøg på svindel.

Dernæst kan det være en god idé at sætte fokus på god e-mailadfærd og bevågenhed over for mistænkelig e-mailkommunikation. Ofte udføres CEO-fraud netop over e-mail, og metoden, som hackeren anvender, minder meget om almindelige metoder for phishing.

Få hjælp til at beskytte dig mod CEO-fraud

Vil du have hjælp til at beskytte dig mod direktørsvindel? Dubex kan hjælpe dig med de forebyggende værn, der holder hackerne ude af din infrastruktur, eller hjælpe dig med at skærpe medarbejdernes bevågenhed med en phishing-test eller Awareness-uddannelse.

Med de rette tekniske værn kan du beskytte organisationen mod at hackerne kan trænge ind i virksomhedens systemer. På den måde får hackeren ikke adgang til de interne e-mailkonti, og kan dermed ikke sende fra eller blokere den interne e-mailtrafik. Det gør det lettere at identificere forsøg på svindel.

Hvis hackeren alligevel får held til at trænge ind i organisationens interne systemer er det vigtigt, at organisationen er i stand til at opdage indtrængende i infrastrukturen. Med log management, logovervågning og analyse bliver du i stand til at identificere unormale hændelser på netværket i realtid, så du hurtigt kan reagere inden skaden når at udvikle sig.

Du kan få hjælp til at teste alle eller udvalgte medarbejderes bevågenhed over for phishing med en phishing-test. Med testen får du overblik over hvor mange der falder i fælden, og hvor udsat organisationen er. Det er en oplagt mulighed for at sætte fokus på generelle råd og værktøjer til at undgå at blive ramt, og en god metode til at opnå ledelsesengagement.

Dubex tilbyder også et Awareness-uddannelsesprogram, der sætter fokus på digital sikkerhed og lærer medarbejderne at handle med deres sunde fornuft i den digitale verden.

Kontakt Dubex her eller på telefon 32 83 04 30 for at høre mere om hvordan vi kan hjælpe dig.