En virksomhed i Vestjylland, der ellers gør en dyd ud af at have styr på bogholderiet, har måttet sande, at det kan være svært at spotte bedrageri, der finder sted via internettet.
Bogholderiet handlede i februar i år i god tro, da de ansatte modtog en mail med direktøren som afsender. Vedkommende bad bogholderiet om – omgående – at overføre knap 113.000 kroner til en konto i London.
Direktøren var ikke selv på kontoret den dag. Men da mailen både i form og indhold så rigtig ud, blev opgaven udført med det samme.
Bedrageriet blev udelukkende opdaget hurtigt, fordi en medarbejder fattede mistanke, da der dagen efter kom endnu en hastende henvendelse fra direktøren om en ny overførsel til udlandet.
Virksomheden forsøgte både via dens bankforbindelse og via selskabets IT-afdeling, om det kunne lade sig gøre at returnere overførslen. Men det var for sent.
Den vestjyske virksomhed står ikke alene med denne type oplevelse.
Stigende problem
Flere og flere selskaber bliver udsat for såkaldt CEO-fraud eller Business Email Compromise (BEC), hvor kriminelle hacker en virksomheds mailkonto – og begår bedrageri.
Det sker i tilgift ofte, mens direktøren er på ferie eller rejse, så det er sværere at opdage svindelnummeret med det samme.
Svindlerne har desuden ofte hacket sig frem til en række interne oplysninger, og derfor ser disse mails ofte troværdige ud.
Svindlen finder sted ved hjælp af
- Falske fakturaer sendt til økonomiansvarlige eller bogholdere.
- Falske e-mails sendt til økonomiansvarlige eller bogholdere, der foregiver at komme fra en chef eller en kollega, med besked om at overføre et større beløb til en konto.
Kort frist
Svindlerne forsøger desuden ofte at stresse medarbejderen med korte tidsfrister. Og de kriminelle udnytter ofte situationer, hvor den pågældende chef er svært tilgængelig, for eksempel i ferien.
– Og nu da sommerferien står for døren, er risikoen for direktørsnyd større. Så derfor er det vigtigt, at medarbejderne er klar over risikoen for CEO-fraud, at procedurerne for overførsler er opdateret i virksomheden – og ikke mindst, at de bliver fulgt til punkt og prikke, understreger specialkonsulent Christian Østergård fra Syd- og Sønderjyllands Politis Kriminalpræventive Sekretariat.
Gode råd
Her er en række gode råd til at imødegå CEO-fraud eller Business Email Compromise (BEC).
- Indfør et dobbelt kontrolsystem når virksomheden godkender fakturaer og betalinger, og sørg for at procedurerne overholdes på alle niveauer i organisationen.
- Besvarer du en mail fra en person, der beder dig om at overføre penge, så tjek at ”besvar-adressen” er den samme som afsender-adressen i den mail, du modtog. Ring – også gerne for en sikkerheds skyld – til den i virksomheden, der beder dig overføre penge, og få bekræftet, at mailen er korrekt.
- Ved den mindste tvivl, ring altid til chefen og få bekræftet overførslen af penge. Og aftal på forhånd, at chefen selv ringer og bekræfter, at det haster med at overføre store beløb.
- Videresend mailen til chefen, hvor du sikrer dig, at det er den rigtige mailadresse, du bruger. Og ved denne lejlighed kan chefen bekræfte, at overførslen er korrekt.
- Overvej hvilke oplysninger virksomheden lægger på hjemmesiden. Det er ofte her, svindlerne får deres informationer. Det gælder for eksempel oplysninger om, at chefen holder ferie, og at mails derfor skal sendes til andre. Oplysninger på Facebook om, at chefen er på ferie m.m.
- Hold jeres IT-sikkerhedssystemer opdaterede.
- Vær altid opmærksom på vedhæftede links i mails. Svindlere vedhæfter ofte falske links, der lukker virus ind i firmaets IT-systemer. Nogle IT-vira giver svindlerne adgang til virksomhedens mailkorrespondance, og virusangrebet kan således være første fase i bedrageriet.
- Vær specielt opmærksom hvis I skal overføre penge til udenlandske kontonumre. Svindlere bruger ofte udenlandske bankkonti, da de er sværere at spore.
- Informer jeres personale i alle led i organisationen om risikoen og fortæl dem, hvordan de spotter svindlen.
- Vær opmærksom hvis mailen indeholder mange sproglige fejl – som tilfældet ofte er, hvis en tekst er oversat via Google Translate.
- Spørg jeres IT-leverandør om der er styr på mailsikkerheden i virksomheden. Det gælder for eksempel teknologier som SPF1, DKIM, og DMARC, der kan sortere uønskede mails fra. Og hvis teknologierne ikke er sat op, så spørg hvorfor.