Direktørsvindel, også kjent som CEO-svindel, ledelses-phishing eller Bedrifts-e-post forfalskning, er en type nettkriminalitet der angriperen utgir seg for å være en administrerende direktør, finansdirektør eller en annen selskapsleder. Det er en farlig form for angrep fordi etterligneren bruker administrerende direktørs autoritet for å kunne få tak i sensitiv informasjon eller for å oppnå økonomiske goder. Disse svindlerne bruker noen enkle IT-triks som kan koste deg masse penger.
Direktørsvindel skjer oftere enn du tror
I følge en FBI-rapport som ble utgitt i 2020, mottok FBIs Internet Crime Complaint Center (IC3) 19 369 klager som involverte bedrifts-e-post forfalskning, med et totaltap på omtrent 1,8 milliarder USD. Ifølge FBI blir denne typen nettkriminalitet mer og mer vanlig – spesielt nå som så mange jobber hjemmefra.
I 2018 avdekket The Boston Globe at Redd Barna, en frivillig organisasjon, tapte omtrent 1 million USD ved flere tilfeller av e-post etterligningssvindel. Nettkriminelle hacket seg inn i e-postkontoen til en organisasjonsmedarbeider og sendte ut falske fakturaer og dokumenter, noe som førte til at organisasjonen sendte penger til et svindelselskap i Japan.
Toyota, en leverandør av bildeler, ble offer for et svindelangrep der svindlerne utga seg for å være konsernsjefen og de endte opp med å tape 37 millioner dollar i 2019. De nettkriminelle lurte og overtalte en leder i selskapets finansavdeling til å foreta en bankoverføring, ifølge CPO magazine.
Nylig brukte noen cyberkriminelle en kunstig intelligensbasert programvare for å imitere en administrerende direktørs stemme hvor de krevde en falsk overføring av 220 000 Euro (243 000 USD) til en ungarsk leverandør til en energibedrift i Storbritannia.
Men direktørsvindel retter seg ikke bare mot store organisasjoner. Selv mindre (familie-) virksomheter er i fare. I mange tilfeller blir mindre firmaer rammet av disse angrepene. Siden mange tilfeller av nettforbrytelser og svindel ikke blir rapportert, er både antall hendelser og det faktiske økonomiske tapet sannsynligvis mye høyere en det vi vet.
I dette blogginnlegget tar vi for oss hvordan direktørsvindel fungerer og hvordan du enkelt kan se gjennom taktikken deres.
Hva er direktørsvindel?
Nettkriminelle vil som oftest bruke e-postkontoen til en pålitelig senior toppleder i et selskap (som for eksempel en administrerende direktør) – eller en e-postadresse som ser veldig lik ut – for å lure en ansatt til å overføre penger eller konfidensiell informasjon til dem. Angriperen utgir seg for å være en pålitelig person for å forsikre seg om at den ansatte gjør det de blir bedt om. Mange smarte ansatte som gjerne har god intuisjon, vil ikke stille spørsmål ved en forespørsel de får fra sin administrerende direktør og vil ganske enkelt akseptere forespørslene deres.
Direktørsvindel må ikke forveksles med “Whaling”: et phishing-angrep der cyberkriminelle prøver å lure den administrerende direktøren eller andre ledere i selskapet, i stedet for å etterligne dem. Direktørsvindel skiller seg også fra phishing fordi de cyberkriminelle også bruker andre typer sosiale manipuleringer, for eksempel telefonsvindel.
Slik fungerer direktørsvindelangrep
Som alle former for sosial manipuleringsangrep, utnytter direktørsvindleren folks følelser av tillit til ledelsen og hastverk. Når den administrerende direktøren ber om en tjeneste som må bli utført raskt stiller vanligvis ikke ansatte spørsmål ved det.
Det er to hovedmåter cyberkriminelle kan få tilgang til en administrerende direktørs e-postkonto:
-
Hacking innbrudd i en annens datamaskin De bryter inn i administrerende direktørs forretnings-e-postkonto og bruker den til å sende e-poster til de ansatte.
-
Målrettet phishing av-e-post, også kalt spyd-phishing (spear phishing): De sender en e-post fra en falsk, nesten identisk til den administrerende direktørs e-postadresse og utgir seg for å være dem.
De syv vanligste direktørsvindelangrepene
Bevissthet er nøkkelen for å forebygge at disse angrepene blir suksessfulle. Her har vi laget en oversikt over de vanligste scenarioene for direktørsvindelangrep:
-
Bankoverføring phishing: En ansatt mottar en melding fra en administrerende direktørs som enten er hacket eller en forfalsket e-postkonto som ligner om å betale en faktura.
-
Gavekortphishing: Angriperen ber om at den ansatte kjøper et gavekort (for eksempel som en bursdagsgave til en medarbeider).
-
Skadevare e-post: E-posten inneholder et vedlegg med skadelig programvare (phishing).
-
Pengeoverføring til en utenlandsk leverandør: Denne svindelen er rettet mot mangeårige bankoverføringsforhold med en leverandør, men hvor de nå ber om at pengene sendes til en annen bankkonto.
-
Falske fakturaer: Bedriftsleverandører mottar falske fakturaer fra en falsk bedriftsleder, som du kanskje gjetter riktig, ber om å få betalt til en alternativ bankkonto.
-
Konfidensiell informasjon: Nettkriminelle utgir seg for å være advokater eller ledere som arbeider med konfidensiell og tidssensitive forretninger og ber om klassifisert informasjon.
-
Datatyveri: En “toppleder” ber personalavdelingen, regnskapsavdelingen eller revisjonsavdelingen om å sende alle lønns- eller skatteoppgaveskjemaer eller en selskapsliste over personlig identifiserbar informasjon.
Hvordan forhindre direktørsvindel?
Det er viktig å gi de ansatte opplæring i sikkerhetsbevissthet, hvor de lærer viktigheten ved å legge merke til små detaljer som e-postadresse, selskapsnavn, og forespørsler som bare er bittelitt mistenksomme.
Noen ganger er det nok at man bare leser e-posten nøye, eller stiller spørsmål ved nettsidens URL, tekstmeldinger, voicemail detaljer, eller å legge merke til at det er en skrivefeil i e-postadressen.
Det er også lurt å ha retningslinjer i bedriften når det kommer til rutiner for pengeoverføringer. For eksempel, en retningslinje kan være at de ansatte må bruke flerfaktorautentisering for betalingsforespørsler. Disse retningslinjene bør man inkludere i retningslinjene for brukere.
Beskytt virksomheten din mot direktørsvindel
Direktøretterligneren vil ofte prøve å legge press på den ansatte ved å sette korte tidsfrister. For å gjøre en presis etterligning av direktøren, gjør de ofte svært grundige og detaljerte undersøkelser, og drar fordel av situasjoner der den aktuelle lederen ikke er lett tilgjengelig – for eksempel hvis han eller hun er på ferie eller på en konferanse. Hva kan du gjøre når du som ansatt mottar en e-post og har en mistanke om at det er direktørsvindel?
-
Vær på vakt for betalingsforespørsler som er uventede eller uregelmessige, uansett beløp.
-
Få bekreftelse på alle pengeoverføringer. Eventuelle betalingsforespørsler med nye eller endrede bankopplysninger mottatt via e-post, brev eller telefon, bør bekreftes. Dette inkluderer interne e-poster som inneholder betalingsforespørsler.
-
Ta alltid kontakt med den personen som du tror sendte e -posten for å kontrollere at den er fra dem, uansett hvor travelt begge to har det. Hvis personen ikke er tilgjengelige og e-posten har bedt om et umiddelbart svar, ta kontakt med en av denne personens overordnede. Men ikke bekreft dette via e-post. Det kan være at kontoen deres har blitt hacket. I stedet kan du ringe, spørre personlig eller bruke en annen pålitelig kommunikasjonsmetode.
-
Hvis du er i tvil, ikke utfør betalingen uansett hvor pressende det kan virke eller hvilke mulige følger det kan ha.
-
Gi alle ansatte opplæring om denne typen svindel, spesielt de som foretar betalinger eller installerer filer.
-
Gjennomfør tofaktorsverifisering før en betaling sendes.
-
Vær forsiktig med hvor mye informasjon du publiserer offentlig om din bedrift og dine kunder/leverandører via sosiale medier og automatiske svarere.
-
Vurder å fjerne informasjon som for eksempel attester på dine egne eller leverandørenes nettsteder eller sosiale medier. Denne informasjonen kan føre til at svindlere vet hvem leverandørene dine er.
Nå har du fått en oversikt over hva direktørsvindel er og hva du kan gjøre for å forhindre at dette skjer med bedriften din. Men hva bør du gjøre hvis bedriften din blir offer for direktørsvindel?
Viktige steg du må ta hvis bedriften din er utsatt for direktørsvindel
Vi nevnte tidligere at overføring av midler uten autorisasjon, brudd på konfidensiell informasjon og et system som er blir infisert av skadelig programvare, kan falle inn under direktørsvindel.
Hvis tilfellet er en falsk pengeoverføring, bør du:
-
Kontakte banken din umiddelbart og snakke med cybersikkerhetsavdelingen.
-
Ta kontakt med politiet.
-
Innkall til et hastemøte for å orientere styret og toppledelsen om hendelsen, om tiltak som er tatt og om ytterligere tiltak som skal utføres.
-
Til slutt, forsterk selskapets cybersikkerhetstiltak og få tak i IT-sikkerhetsspesialister.
Hvis et skadelig programvareangrep skjer, bør du kontakte IT-avdelingen umiddelbart. Bedriftens IT-team kan stoppe skadevaren fra å spre seg eller fra å få tak i dine eller selskapets personopplysninger.
Hvis det er et konfidensialitetsbrudd, er det best å kontakte personvernombudet (DPO). Personvernombudet er kjent med alle nødvendige protokoller om hvordan man skal reagere internt og offentlig siden du må rapportere det til myndighetene innen 72 timer.
Vi håper denne artikkelen vil hjelpe deg og teamet ditt med å forhindre at direktørsvindel noen gang vil skje i din bedrift. Den beste måten å forsikre seg mot dette er å trene teamet ditt og gjøre dem oppmerksom på direktørsvindel.
Vurder å ta en titt på vår gratis e-bok som vi har skrevet. Den handler om hvordan teamet ditt kan bli ditt beste forsvar mot cyberangrep og databrudd.
