TeamIT blog

FÅ GODE RÅD TIL AT UNDGÅ CEO-FRAUD

Kvinde sidder ved en bærbar og grubler

Direktørsvindel kan koste virksomheden stort, hvis du eller dine medarbejdere udsættes for CEO-fraud og omfanget af disse angreb – forventes at være stigende for fremtiden! 

Kvinde sidder ved en bærbar og grubler

Her er der tale om et stigende problem inden for cyberkriminalitet. Igennem phishing (mail) eller smishing (sms) bruger de cyberkriminelle forskellige metoder til at komme i kontakt med medarbejdere i virksomheden, typisk den økonomiansvarlige. De udgiver sig for enten at være en administrerende direktør eller finansdirektør i virksomheden. I et forsøg på at narre medarbejderen til at lave en betalingsoverførsel af et større beløb, til en ekstern konto -ofte en udenlandsk konto. 

De forfalskede mails kan være særdeles overbevisende og se professionelle ud, og derfor ofte være svære at gennemskue!

Denne form for cyberkriminalitet er farlig og kan være en yderst skadelig form for angreb mod virksomhederne, da der kan indhentes, følsomme oplysninger, dokumenter og penge som kan være skadeligt for virksomheden, hvis andre får fat i. Har man først godkendt en transaktion, er sandsynligheden for at få ens penge retur meget lille. Chancen for at pengene er gået tabt – skal forventes! 

Ferieperioder bliver udnyttet af svindlere!

CEO-fraud foregår hele tiden. I ferieperioder som sommerferien, hvor der ofte er få medarbejdere på arbejde, eller det faste personale holder ferie, og er afløst at vikarer. Det er her de cyberkriminelle udnytter chancen, da de ved at vikarene måske ikke altid stiller sig undrende over for en mail, som de faste medarbejdere, eller kender til de faste sikkerhedsrutiner. Og derfor gennemfører betalingerne uden at stille spørgsmålstegn. 

Svindlerne foretager ofte grundig research af virksomhederne og medarbejderne, for at gøre beskederne både troværdige og målrettede.

Jeg har brug for du laver en overførsel på 3.500,00 euro til denne modtager i dag, kan du foretage overførslen nu da den haster.?

Hvad kan du som virksomhed gøre for at forhindre de kriminelle?

CEO-fraud/direktørsvindel koster hvert år danske virksomheder millioner af kroner, og medarbejdere er som ofte dem det hele starter ved, og dem der er det svageste led. 

Det er derfor især vigtigt at man som virksomhed sørger for at ens medarbejdere bliver mere bevidste om deres adfærd og forbereder dem på cyberangreb som disse.

Hvad gør man, hvis man er blevet hacket?

Hvis du har mistanke om, at du er blevet hacket på din arbejdscomputer, vil man som det første hurtig tage kontakt til it-afdelingen i virksomheden, og derefter melde det til politiet. Som tidligere beskrevet er det næsten umuligt at få pengene tilbage, når de først er sendt afsted, men kontakt alligevel banken, for i nogle tilfælde kan det være muligt at stoppe en overførsel.

85 % af alle it-sikkerhedsbrud skyldes menneskelige fejl!

RENE MATTHIASEN – SENIOR CYBERSECURITY CONSULTANT – STANDARTSECURITY.DK

Tekniske foranstaltninger som DMARC, DKIM, og SPF gør det ikke alene. Det handler i ligeså høj grad om at lære sine brugere at være opmærksomme, via specifikke træningsprogrammer. 
Alle kan snydes.. spørgsmålet er bare hvor meget der skal til…

NOTER! – BENYT VORES ANBEFALINGER MOD DIREKTØRSVINDEL

Informere dine medarbejder om CEO-fraud!
Alle kan blive udsat for svindel, hav derfor helt klare procedurer for pengeoverførsler i virksomheden!
  • Modtagelse af uventet betalingsanmodning
    Hvis en medarbejder modtager en hasteoverførsel eller en uventet betalingsanmodning, er det vigtig at man som medarbejder er ekstra opmærksom her, og undersøger sagen nøje inden man foretager sig noget, også selv om der står haster. IT-kriminelle bruger som ofte også udenlandske bankkonti, da de er svære at spore.
  • Vær opmærksom på vedhæftet filer eller dokumenter
    Er der vedhæftet filer eller dokumenter i den mail du modtager, skal du være opmærksom. Disse filer kan indeholde malware der automatisk bliver installeret på din computer, hvis du åbner eller downloader dem. Der kan også være vedhæftet links som føre dig videre til forfalsket hjemmesider, hvor du her skal indtaste dine personlige oplysninger for at komme videre.
  • Tjek altid afsenderen hvis du er i tvivl
    Det kan være en god ide at have personalepolitikker i virksomheden, som gør at medarbejderne ikke er i tvivl om hvordan de skal forholde sig i tilfælde af IT-kriminalitet.

Et eksempel på et angreb hvor IT-kriminelle benyttede sig af CEO-fraud:

Den pågældende virksomhed har flere gange været udsat for forsøg på denne type svindel og en af gangene var det lige ved at gå galt!

En mail bliver sendt til vicedirektøren i virksomheden, svindleren udgiver sig her for at være direktøren, som beder om at lave en straks overførsel på 23.100 euro (svarende til 170.000 kr.) til en ekstern konto. Da vicedirektøren ved modtagelse af denne mail sidder til møde, vælger han at videresende mailen til en medarbejder, som på dette tidspunkt også sad i et andet møde. Da mødet var slut og medarbejderen fik tid til at kigge på den modtaget mail, havde banken lukket for overførsler.

Medarbejderen sender derfor en mail til direktøren og oplyser om at transaktionen først vil finde sted dagen efter, da banken havde lukket for overførsler for i dag. Kort tid efter modtager medarbejderen en retur mail fra direktøren, som kan konstatere at han ikke har sendt en mail omkring bankoverførsel.

Direktørens mail er blevet hacket. I dette tilfælde endte situationen heldigvis godt! Men kunne lige så godt have endt med at mange penge ville være blevet overført og end i de forkerte hænder. Og er pengene først blevet overført, kan man godt vinke farvel til dem, der er ingenting at gøre!

Forebyg CEO-fraud med hjælp fra TeamIT Phishing kampagne!

TeamIT tilbyder forskellige løsninger, som kan hjælpe din virksomhed med at undgå hackerangreb, som CEO-fraud og Spear Phishing.

Med en phishing kampagne kan du reducere antallet af succesfulde phishing forsøg, så som CEO-Fraud og Spear Phishing, ved at forberede jeres medarbejdere på angreb som disse.

Vi går blandt andet ind og tester jeres sikkerheds niveau i virksomheden, ved at implementere tekniske løsninger, der kan afsløre falske e-mails. Det skaber et overblik over, hvor behovet er størst og hvor det giver god mening at sætte ekstra ind på sikkerheden.