Stoppa tjuven! Nya sorters brott kräver nya rutiner på företaget
Brott Falska vd:ar lurar till sig storbelopp av aningslösa medarbetare. Så här skyddar du dig mot den nya cyberbrottsligheten – vd-bedrägeriet.
Vad är ett vd-bedrägeri? Så kallas en allt vanligare brottslighet, där cyberkriminella utger sig för att vara någon annan och via mejl uppmanar medarbetare på företaget att skicka pengar. Det är ett sofistikerat brott där bedragaren ofta lutar sig mer mot social förmåga än avancerad programmeringskonst.
Någonting är fel
Läs vidare – starta din prenumeration
- Strategiska artiklar med tips och analyser.
- 6 fullmatade magasin årligen.
- Tillgång till premiumnyheter på vdtidningen.se.
- 100 procents fokus på vd-rollen.
Det kan gå till sålunda: Ett mejl dimper ner hos en medarbetare med ekonomiansvar. Det är skickat i vd:ns namn, är välskrivet med formuleringar som känns bekanta men samtidigt med ett inslag av brådska i tilltalet. Den anställde uppmanas lösa ett problem genom en snabb utbetalning till ett konto, ofta i valutorna euro, pund, dollar eller bitcoin.
Mottagaren av mejlet kanske reflekterar helt kort över att händelsen avviker och att förfarandet känns ovant – men samtidigt: ”vd:n ber mig lösa detta”. Utbetalningen görs och pengarna syns aldrig mera till.
Bedragare är ofta välresearchade
Den här typen av brott blir allt vanligare och föregås ofta av minutiös research av förövarna. På LinkdIn kan man till exempel hitta information om vilka som jobbar på företaget. En förslagen bedragare kan sedan ringa upp, utge sig för att vara en företagsledare och förvirra och vinna förtroende genom att nämna andra kollegors namn.
På bolagssajter hittar man uppgifter om företaget och på sociala medier finns information om medlemmar i ledningsgruppen. Informationen är användbar för att dölja ett bedrägeriförsök bakom trovärdiga uppgifter.
Bedragaren utläser till exempel att företaget ofta gör affärer med vissa länder, lägger pussel med hjälp av sociala medier, räknar kanske ut när vd:n är bortrest och svår att nå. I det läget kan ett välskrivet mejl med vd:n (eller annan chefsperson) som avsändare skickas till någon på hr- eller ekonomiavdelningen, om att en utlandstransaktion omedelbart behöver göras. Beloppet kan vara högt och noga anpassat till företagets ekonomi, som ju också är möjlig att kartlägga.
Inför rutiner för höjd beredskap
Cybersäkerhetsföretaget Trend Micro gjorde nyligen en internationell undersökning som visade att en tredjedel av it-beslutsfattarna på svenska företag ser riskbedömning som det mest utmanande området i sitt arbete. Det finns numera it-säkerhetstjänster att köpa, där en extern aktör kan testa ditt företags förmåga att hantera den här typen av bedrägerier.
Men det finns också mycket man kan göra internt i företaget för att höja säkerheten. Framför allt handlar det om att införa vaksamhet och rutiner i kulturen. Det behövs en bred medvetenhet om att e-postadresser kan förfalskas, att bluffakturor kan se trovärdiga ut och att personer som verkar väl förtrogna med företaget och dess personal och rutiner kan ha ohederliga avsikter. Ha tydliga regler runt utbetalningar och hantering av känsliga uppgifter, så att alla berörda veta vad som gäller.
FAKTA
8 knep för att skydda företaget mot vd-bedrägerier
- Kontrollera att källan för fakturor och betalningsbegäranden är autentisk. I synnerhet när det gäller större belopp och brådskande betalningar.
- Lita inte blint på att avsändaren är korrekt. En persons mejladress kan lätt förfalskas. Känner du dig tveksam kan e-postadressen verifieras genom att mejla tillbaka eller ringa vederbörande.
- Verifiera skumma samtal. En skicklig bedragare kan ringa och utge sig för att vara en företagsledare, förvirra offret genom att nämna kollegors namn etc. Är rösten obekant är det klokt att ringa tillbaka via företagets växel eller via ett verifierat direktnummer för att få identiteten bekräftad.
- Lämna aldrig ut känslig information utan att först verifiera frågeställaren. Inför, eller under, ett pågående bedrägeri kan en bedragare via telefon eller över mejl fiska efter vilka teknologier företaget använder, vem som har befogenhet att göra utbetalningar mm.
- Lämna aldrig ut ditt användarnamn eller lösenord till någon. Bedragare utger sig gärna för att vara din vän eller kollega för att övertyga dig om att lämna ut uppgifterna.
- Ta fram rutiner och processer för hur betalningar ska ske, hur faktureringsuppgifter ska kontrolleras mm.
- Utbilda personalen i hur man kan känna igen olika former av bedrägerier och bluffmejl.
- Testa företagets organisationsförmåga att hantera den här typen av attacker. Det finns it-säkerhetsleverantörer som kan iscensätta ”bedrägeriförsök” under kontrollerade former för att utvärdera motståndskraft och lokalisera brister.
Källa: Sentor.se
FAKTA
Vad gör du om skadan är skedd?
- Kontakta banken direkt! De kan stoppa transaktionen om betalningen inte har verkställts ännu.
- Banken kan också spärra alla eventuella företagskort.
- Sammanställ så mycket information du kan. Den behöver du när du gör polisanmälan.
Källa: Polisen
FAKTA
3 vanliga vd-bedrägerier
- En vd:s e-postkonto stjäls och används för att bjuda in de anställda till ett virtuellt möte. Väl i mötet möts de medverkande av en bild på vd utan ljud eller med förfalskat ljud som låter som vd:n. ”Vd:n” hävdar att video eller ljud inte fungerar korrekt och instruerar deltagarna att göra en överföring av pengar. Det kan göras i möteschatten eller i ett uppföljande e-postmeddelande.
- En hackare kapar en anställds inkorg och spionerar på virtuella företagsmöten för att samla information om den dagliga verksamheten. Den informationen kan sedan användas i efterföljande vd-bedrägerier.
- En angripare kapar vd:ns e-postkonto och skickar instruktioner om överföringar samtidigt som de hävdar att de inte kan göra det själva för att de är upptagna i ett virtuellt möte.
Källa: FBI
