Blog

Sommersvindel er en stigende tendens – er du forberedt på CEO Fraud?

25. juni 2019

Sanne Petersen

I 2018 var der en markant stigning af CEO Fraud angreb på danske virksomheder og vi ser fortsat en faretruende tendens i 2019. En international rapport fra Trend Micro viser, at Danmark ligger på en 9. plads over lande som oplever flest CEO Fraud angreb. Normalt er det godt at ligge i toppen, men i denne undersøgelse skal vi bestemt ikke være glade – tvært imod skal vi tage det meget alvorligt. Det koster virksomheder millioner af kroner hver eneste gang de blive ramt og hvad endnu værre er, at de risikerer at miste værdifulde data. CEO Fraud er dermed mere end ”bare” en økonomisk risiko for virksomheden, men er samtidig en stor fare for virksomhedens samlede IT-drift og IT-sikkerhed.

 

Sådan fungerer CEO Fraud

CEO Fraud er angreb, hvor IT-kriminelle anvender relativ ukomplicerede fremgangsmåder til at få fat på chefens og ledende medarbejders e-mailadresser samt eventuelle passwords. Informationerne misbruges efterfølgende til at komme i kontakt med CFO, økonomimedarbejdere og øvrige essentielle medarbejdere i virksomheden i håb om, at de kan foretage falske banktransaktioner. Det er blandt andet denne form for IT-kriminalitet som Center for Cybersikkerhed advarer om i en nylig offentliggjort rapport.

 

Phishing mails

De klassiske phishing mails har gennem en længere årrække været én af hackernes helt store og ikke mindst udbytterige fremgangsmåder. Fremgangsmåden er, at hackere udsender en række mails i håb om, at de kan franarre og kryptere dine fortrolige data samt få fingre i eventuelle passwords. For år tilbage røg mange, både private og virksomheder, i fælden omkring udsendelse af falske mails fra PostNord, hvor modtagerne blev lokket til at klikke på et link for at få status på en pakkeforsendelse. Desværre var der tale om falske e-mails og mange fik krypteret værdifulde data med krav om betaling for dekryptering. I relation til CEO Fraud er phishing mails en meget anvendt fremgangsmåde, som ofte kombineres med indhentning af informationer på fx virksomhedens hjemmeside. Det er meget nemt for en hacker at finde en e-mailadresse til virksomhedens CEO og derefter misbruge den til at udsende falske mails. Eksempler på CEO Fraud kan være:

CEO-Fraud-IT-sikkerhed-Hackere-XPConsult

IT-Sikkerhed-CEO-Fraud-Hackere-XPConsult  

Kompromittering af Office 365

I takt med den teknologiske udvikling, sker der samtidig en kraftigt stigende udvikling i IT-kriminelles avancerede fremgangsmåder. Én af de lidt nyere metoder er kompromittering af fx Office 365 mailkonti, hvor de snedige hackere formår at få adgang til mailkonti og flytte mail-trafikken fra den eksisterende konto til en falsk konto uden offerets viden. Det betyder i praksis, at de kan modtage og sende e-mails fra CEO’ens konto og derved udgive sig for at være ham/hende. Det medfører, at en økonomimedarbejder kan have svært ved at gennemskue, hvem der er den reelle afsender af mailen og den tilhørende forespørgsel på fx en bankoverførsel.

Når en hacker anvender denne metode, vil økonomimedarbejderes mail sendes direkte i CEO’ens ”slettet post” og derfra videre til hackerens falske konto. CEO’en og ikke mindst den stakkels økonomimedarbejder har derfor ikke mange chancer for at opdage svindlen før det er for sent.

Arbejdsgangene omkring bankoverførsler er derfor utrolig vigtige og særligt i sommersæsonen, hvor mange holder ferie. Vi kan derfor ikke sige nok gange, hvor vigtigt det er med intern kommunikation og en politik vedr. bankoverførsler.

 

Gode råd og forebyggelse mod CEO Fraud

  • Implementér retningslinjer og processer for pengetransaktioner
  • Ring altid og få en bekræftelse af den kollega, som du tilsyneladende har modtaget mailen fra for at sikre, at det drejer sig om en reel transaktion
  • Tjek fx kollegaens kalender for at se, om vedkommende rent faktisk er på kontoret eller om vedkommende holder ferie/fri.
  • Brug altid din sunde fornuft og vær altid skeptisk overfor usædvanlige, uforklarlige eller ”haste” transaktioner.
  • Informér alle kollegaerne om CEO Fraud og vær på forkant. Både i ledelsen og hos alle de medarbejdere med bankadgang.
  • Godkendelse fra flere medarbejdere ved beløb over en given og fastsat beløbsgrænse.
  • God praksis omkring bankoverførsler og godkendelse fra to forskellige medarbejdere.
  • Løbende vurdering af virksomhedens generelle IT-sikkerhed.

 

Vil du vide mere

Giv os et kald på 7216 3111 eller send en mail på info@xpconsult.dk – så finder vi sammen den løsning, som passer til din virksomhed.

 

Læs vores relaterede blogindlæg