I en pressemeddelelse fortæller CSIS Security Group, at vi går en tid i møde, hvor risikoen for e-mailsvindel er større end på andre tider af året.
I løbet af 2016 har der været en markant stigning i fænomenet, der betegnes som CEO-svindel. Selvom disse svindeltyper måske er lavpraktiske, så har de forårsaget betydelige tab hos danske virksomheder og fænomenet er i udvikling.
”Ved CEO svindel kontakter den it-kriminelle typisk en regnskabsmedarbejder i virksomheden enten via e-mail eller telefon. Henvendelsen ser ud til at komme fra virksomhedens topchef, eller sker på vegne af topchefen, som anmoder modarbejderen om at overføre større millionbeløb til en udenlandsk bankkonto. Den typiske fremgangsmetode er at den it-kriminelle stresser medarbejderen ved at beskrive overførslen som topprioritet og med en kort deadline. I forbindelse med CEO-svindel har de it-kriminelle enten kompromitteret topchefens e-mail konto, eller designet afsender adressen på en sådan måde at den ser ud til at komme fra en legitim e-mail adresse knyttet til virksomheden. Der gøres i den sammenhæng brug af fænomenet “typo squatting”, altså at man ligger sig så tæt op ad firmaets navn, at det kan være svært at gennemskue for en almindelig medarbejder som normalt ikke kigger efter den slags faresignaler,” skriver CSIS Security Group i pressemeddelelsen.
Kontaktoplysningerne, som de it-kriminelle anvender når de opsøger regnskabsmedarbejderen, er typisk tilvejebragt ved hjælp af offentligt tilgængelige informationer, og nogle it-kriminelle følger via sociale medier med i, hvornår topchefen er på ferie.
”De svindeltyper vi ser lige nu kan opdeles i to kategorier 1) en topchef anmoder om overførsel af penge til en bankkonto eller 2) vellignende fakturaer men med den it-kriminelles kontonummer,” skriver CSIS Security Group.
Jyskebank har produceret en video om faktura svindel og som indeholder flere gode råd:
At det netop er sommerperioden som er højtid for denne type svindel er indlysende. Der er typisk underbemandet i virksomhederne og mange topchefer kan nemt ske at afholde ferie hvilket kan gøre det besværligt at få en hasteoverførsel bekræftet.
”I følge vores samarbejdspartnere hos Europol EC3 så er CEO svindel en af de største trusler for europæiske virksomheder i 2016. Vi anbefaler, at man uddanner medarbejdere i fænomenet CEO–svindel igennem awareness tiltag og løbende oplysninger om nye tricks og teknikker,” skriver CSIS Security Group i pressemeddelelsen.
Deres råd kan opsummeres således:
- Skab awareness omkring e-mail svindel i virksomheden. Indsatsen skal rettes mod hele organisationen fra ledelsen til menige medarbejdere
- Gennemgå virksomhedens sikkerhedspolitik og procedurer for pengeoverførsler. Ved større beløb bør der indarbejdes et ekstra lag af godkendelse for at effektuere transaktionen.
- Bekræft eventuelle betalingsinformationer via en anden kommunikationskanal end e-mail.
- Dokumenter al korrespondance til senere brug for eventuel senere efterforskning af hændelsen.
- Ved alle it relaterede hændelser bør virksomheden have et beredskab (incident response) som kan kortlægge og hurtig vurdere hvordan skaderne af f.eks. e-mailsvindel kan minimeres.