CEO-fraud, også kendt som Direktørsvindel, Executive Phishing eller Business Email Compromise, er en type cyberkriminalitet, hvor angriberen giver sig ud for at være administrerende CEO, finansdirektør eller anden virksomhedsleder. Det er en farlig form for angreb, fordi efterligneren grundet CEO’ens autoritet kan indhente ekstremt følsomme oplysninger eller penge. Disse bedragere bruger nogle enkle it -tricks, der kan koste dig mange penge.
CEO-fraud sker oftere end du tror
Ifølge en FBI-rapport udgivet i 2020 modtog FBI’s Internet Crime Complaint Center (IC3) 19.369 klager, der involverede kompromitterede virksomhedsmails, hvilket udgjorde et samlet tab på cirka 1,8 mia. Ifølge FBI er disse former for cyberkriminalitet stigende – især nu hvor så mange mennesker arbejder hjemmefra.
I 2018 afslørede Boston Globe, at Red Barnet, en nonprofit-organisation, tabte omkring 1 million USD pga. af efterligningsbedrageri over e-mail. Cyberkriminelle kompromitterede en medarbejders e-mail-konto og sendte falske fakturaer og dokumenter ud, hvilket fik organisationen til at sende penge til en bedrageriske organisation i Japan.
Toyota, en leverandør af bildele, blev i 2019 offer for CEO-Fraud og tabte 37 millioner USD. Cyberkriminelle har ifølge CPO magazine narret og overtalt en leder i virksomhedens finansafdeling til at foretage en bankoverførsel.
For nylig har en cyberkriminel endda brugt software baseret på kunstig intelligens til at efterligne en CEO’s stemme og krævet en bedragerisk overførsel på €220.000 (1.636.845 danske kroner) til en ungarsk leverandør af et britisk energifirma.
Men det er ikke kun store organisationer, der bliver narret. Selv mindre (familie)-virksomheder er i farezonen. Mindre virksomheder rammes nemlig ofte også af disse angreb. Da mange tilfælde af onlineforbrydelser og bedrageri ikke bliver rapporteret, så er både antallet af hændelser og de deraf følgende faktiske tab sandsynligvis meget højere, end vi i øjeblikket ved.
I dette blogindlæg dækker vi, hvordan CEO-fraud fungerer, og hvordan du let kan gennemskue den kriminelles taktik.
Hvad er CEO-fraud?
Cyberkriminelle vil ofte bruge en betroet topchefs e-mail (f.eks. en administrerende CEO) eller en e-mail, der ligner denne meget. Med disse vil de narre en medarbejder til at overføre enten penge eller ekstremt fortrolige oplysninger til dem. Angriberen foregiver at være en betroet person for at garantere, at de intetanende ansatte gør, hvad de får besked på. Mange smarte, velmenende medarbejdere er tilbageholdende med at stille spørgsmål til en anmodning fra deres CEO og vil derfor blot efterkomme deres anmodninger.
CEO-fraud må ikke forveksles med “whaling”: et phishing-angreb, hvor cyberkriminelle målretter selve angrebet mod en CEO eller andre ledende virksomhedsmedarbejdere frem for at efterligne dem. CEO-fraud adskiller sig også fra phishing, fordi cyberkriminelle også implementerer andre former for social engineering-strategier; eksempelvis telefon-svindel.
Sådan angriber CEO-fraud din arbejdsplads
Ligesom alle social engineering-angreb udnytter CEO-fraud folks følelse af tillid og tidspres. Når den administrerende CEO har brug for en tjeneste der haster, så har medarbejderne ikke en tendens til at tvivle på dette.
Der er to måder, hvorpå cyberkriminelle kan få adgang til en administrerende CEO’s e-mail:
-
Hacking: Kompromitterer CEO’ens forretningsmailkonto og bruger den til at sende e-mails til medarbejdere.
-
Målrettet phishing-e-mail, også kaldet spear phishing (spear phishing): Ved at sende en e-mail fra en falsk e-mail-adresse, som er næsten identisk med den administrerende CEO.
De syv mest almindelige scenarier inden for CEO-fraud
Bevidsthed er nøglen, når det kommer til forebyggelse. Derfor har vi lavet en oversigt over de mest almindelige scenarier for angreb med CEO-fraud:
1. Phishing via bankoverførsel: En medarbejder modtager en besked fra en hacket eller forfalsket e-mail-konto om at betale en faktura.
2. Gavekort-phishing: Angriberen beder medarbejderen om at købe et gavekort til afsenderen/angriberen (f.eks. som en overraskelse til en anden medarbejder).
3. Ondsindet e-mail: E-mailen indeholder en vedhæftet fil som indeholder malware (phishing).
4. Pengeoverførsel til en udenlandsk leverandør: Dette angreb er rettet mod mangeårige rutinemæssige bankoverførsler til en leverandør. I dette tilfælde beder angriberen dog om, at midlerne sendes til en anden bankkonto.
5. Invoice fraud: Virksomhedsleverandører modtager falske fakturaer fra en falsk CEO, som anmoder om at blive betalt på en alternativ bankkonto.
6. Fortrolige oplysninger: Cyberkriminelle udgiver sig for at være advokater eller ledere, der beskæftiger sig med fortrolige og tidsfølsomme forretningsmåder og anmoder om klassificerede oplysninger.
7. Datatyveri: En “topchef” anmoder HR -afdelingen, regnskabet eller revisionsafdelingen om at sende alle løn- eller skatteopgørelsesformularer eller en virksomhedsliste over personligt identificerbare oplysninger.
E-mails opfølges ofte af telefonopkald fra en person, der kan lyde meget troværdig, og som beder medarbejderen om at fremskynde betalingerne. Efter betaling vil den cyberkriminelle overføre beløbene til konti i andre banker.
Sådan forebygges CEO-fraud
Det er vigtigt at give virksomhedens medarbejdere viden og awareness om sikkerhed, som lægger vægt på vigtigheden af at være opmærksom på e-mail-adresser, firmanavne og anmodninger, der har bare den mindste antydning af at vække mistanke.
Nogle gange er det bare nødvendigt at være meget opmærksom på e-mails, webadresser, tekstbeskeder eller voicemail-detaljer og opdage, at der er en stavefejl, eller at der bruges en lidt anden e-mail-adresse end normalt.
Det er også klogt at have virksomhedens retningslinjer på plads, når det kommer til pengeoverførsler. For eksempel kan en retningslinje være, at medarbejdere skal bruge multi-faktor-godkendelse til betalingsanmodninger. Disse retningslinjer bør noteres, så medarbejdere kan finde dem.
Beskyt din virksomhed mod CEO-fraud
CEO-efterligneren vil ofte forsøge at lægge pres på medarbejderen ved at sætte stramme deadlines. For at lave en nøjagtig efterligning af den administrerende CEO foretager den cyberkriminelle ofte meget omhyggelig og detaljeret research og drager fordel af situationer, hvor den pågældende leder ikke er let tilgængelig – for eksempel hvis han eller hun er på ferie eller til en konference. Så hvad kan du gøre, når du som medarbejder modtager en e-mail og mistænker CEO-fraud?
-
Vær på vagt over for betalingsanmodninger, der er uventede eller uregelmæssige – uanset beløb.
-
Bekræft hver pengeoverførsel. Enhver betalingsanmodning med nye eller ændrede bankoplysninger der er modtaget via e-mail, brev eller telefon skal verificeres. Dette inkluderer interne e-mails, der indeholder betalingsanmodninger.
-
Tjek altid med den person, du tror, sendte e-mailen for at sikre, at det er fra dem – uanset hvor travlt I begge har. Hvis de ikke er tilgængelige, og afsenderen af e-mailen har bedt om et hurtigt svar, skal du kontakte en af deres seniorkolleger. Men verificer ikke dette via e-mail, hvis deres konto er blevet hacket. Foretag i stedet et telefonopkald, spørg personligt eller brug en anden pålidelig kommunikationsmetode.
-
Hvis du er i tvivl, skal du ikke foretage betalingen, uanset hvor meget det haster og uanset de foreslåede resultater.
-
Uddan alt personale vedrørende denne form for svindel, især dem, der foretager betalinger eller installerer filer.
-
Gennemfør to-faktor-verifikation, før en betaling sendes.
-
Vær forsigtig med, hvor mange oplysninger du afslører om din virksomhed og centrale embedsmænd via sociale medieplatforme og out-of-office automatiske svar.
-
Overvej at fjerne oplysninger såsom vidnesbyrd fra dine egne eller dine leverandørers websteder eller sociale mediekanaler. Disse oplysninger kan fortælle svindlere, hvem dine leverandører er.
Så der har du det. En oversigt over, hvad CEO-fraud er, og hvad du kan gøre for at forhindre, at dette sker for din virksomhed. Men hvad skal du gøre, hvis din virksomhed bliver offer for CEO-fraud?
Dette skal du gøre, hvis din virksomhed er offer for CEO-fraud
Vi nævnte før, at en uautoriseret overførsel af midler, et brud på fortrolige oplysninger og et system, der er inficeret af ondsindet malware, alt sammen kan falde ind under CEO-fraud.
I tilfælde af en bedragerisk pengeoverførsel skal du:
-
Kontakte din bank og tal med deres cybersikkerhedsafdeling med det samme.
-
Kontakt myndighederne.
-
Indkald til et hastemøde for at orientere bestyrelsen og den øverste ledelse om hændelsen, det der er gjort indtil videre og yderligere handlinger, der skal udføres.
-
Endelig skal du håndhæve dine cybersikkerhedsforanstaltninger og indbringe IT-sikkerhedsspecialister.
Hvis der sker et malware-angreb, skal du straks kontakte IT-afdelingen. Din virksomheds IT-team kan stoppe infektionen fra at sprede sig eller kompromittere dine eller virksomhedens personoplysninger.
Hvis der var brud på fortroligheden, er det bedst at kontakte databeskyttelsesrådgiveren (DPO). Datatilsynet kender alle de nødvendige protokoller om, hvordan man reagerer internt og offentligt, da du skal rapportere det til myndighederne inden for 72 timer.
Vi håber, at denne artikel vil hjælpe dig og dit team med at forhindre, at CEO-fraud nogensinde sker i din virksomhed. Den bedste måde, du kan sikre dette på, er ved at træne dit team og gøre dem opmærksom på at CEO-fraud findes.
Overvej at kigge på denne gratis e-bog, vi har skrevet, om hvordan dit team kan blive dit bedste forsvar mod cyberangreb og databrud
