VD-bedrägeri, också känt som CEO-fraud, Business Email Compromise (BEC) och lednings-nätfiske, är en typ av cyberbrottslighet där angriparen utger sig för att vara en VD, CFO eller någon helt tredje från ledningsgruppen. Det är en farlig attack som är svår att upptäcka, eftersom de kriminella utnyttjat VD:ns auktoritet för att komma över mycket känslig information eller få tillgång till pengar. Dessa kriminella använder sig av några simpla IT-trick, som kan komma att kosta er verksamhet en stor summa pengar.
VD-bedrägeri är vanligare än vad många tror
Enligt en rapport från FBI, som utgavs 2020, mottog FBI:s Internet Crime Complaint (IC3) in 19 369 klagomål som handlade om Business Email Compromose, BEC. Om man slår samman alla klagomål, uppgår alla ärenden till en förlust på 1,8 miljarder dollar. Enligt FBI kommer denna typ av cyberbrott bli allt vanligare, speciellt nu när så många av oss jobbar på distans.
År 2018, avslöjade The Boston Globe att Rädda Barnen, en ideell organisation, hade förlorat ungefär 1 miljon dollar, efter att ha varit utsatta för identitetsbedrägeri över mail. Cyberkriminella hade lyckats att ta sig in i e-mailkonto, som tillhörde en anställd vid organisationen. Med mailkontot skickade de kriminella falska fakturor och dokument, vilket fick organisationen att skicka pengar till bedragarna i Japan.
Toyota, en billeverantör, föll offer för ett VD-bedrägeri 2019, där de förlorade 37 miljoner dollar. Enligt CPO magazine, lyckades de kriminella lura och övertala en ledande person vid företagets ekonomiavdelning att göra en elektronisk överföring.
Ett nyligen uppmärksammat ärende var när en grupp cyberkriminella börjat använda sig av en mjukvara som baseras på artificiell intelligens för att imitera en röst från en person i ledningen för ett brittiskt företag, som beordra en överföring av 220 000 pund (243 000 dollar) till en leverantör i Ungern.
Men, det är inte bara de stora organisationer som utsätts för VD-bedrägerier. Även mindre (familje)företag kan drabbas. I motsatt från vad många kan tro, utsätts också mindre företag för dessa typer av attacker. Eftersom många fall av online-brottslighet, och bedrägerier, tyvärr inte anmäls, är både antalet fall och de faktiska förlusterna sannolikt mycket högre än vad vi känner till idag.
I den här bloggartikeln går vi igenom hur attacker med VD-bedrägerier fungerar, och hur du med få knep kan genomskåda deras taktik.
Vad är VD-bedrägeri?
Cyberkriminella använder sig ofta av ett mailkonto som tillhör en välkänd högt uppsatt chef på ett företag (som till exempel en VD) – eller så använder de en mailadress som är väldigt lik den originella – för att lura en anställd att överföra pengar eller dela med sig av extremt känslig information. Grunden till varför de kriminella utger sig för att vara en person som de anställda litar på, är för att de ska vara säkra på att den som blir utsatt för attacken gör som den blir tillsagd. Många kunniga och omtänksamma anställda skulle inte ifrågasätta om sin chef bad dem om en tjänst.
Det är viktigt att inte blanda ihop VD-bedrägeri med “whaling”, vilket är en typ av nätfiskeattack där den kriminella utsätter en VD eller andra i ledningen för en attack, i stället för att den kriminella utger sig att vara denna person. VD-bedrägeri skiljer sig också från nätfiske, eftersom de kriminella använder sig av andra typer av strategier inom social engineering, som till exempel telefonbedrägeri.
Så fungerar en attack med VD-bedrägeri
Precis som alla attacker som bygger på social manipulation, utnyttjar attacker med VD-bedrägeri människors känslor, speciellt tillit och att det är bråttom. För om VD:n behöver en snabb tjänst, tenderar många att glömma att ifrågasätta hen.
De två vanligaste sätten cyberkriminella får tillgång till VD:s mailkonto, är genom
-
Hacking: Genom att kapa VD:s jobbmail, för att använda kontot till att skicka meddelanden till anställda
-
Riktat nätfiske (spear phishin): (spear phishing): Genom att skicka mails från ett falsk adress som är nästan identiskt med chefens
De sju vanligaste attackerna vid VD-bedrägeri
Att skapa en medvetenhet är nyckeln till att kunna förebygga attacker. Därför har vi listat de vanligaste typerna av VD-bedrägerier:
-
Nätfiske om banköverföring: En anställd får ett meddelande från VD:ns hackade, eller spoofade, mailkonto om att betala en faktura.
-
Nätfiske om presentkort: Den kriminella ber en anställd att köpa presentkort till dem (till exempel som en överraskning till en kollega).
-
Skadlig kod: E-postmeddelandet innehåller en skadlig bilaga (nätfiske).
-
Överföring av pengar till en utländsk leverantör: en typ av attack som riktar sig mot långvariga relationer som innefattar en banköverföring till en känd leverantör, där den kriminella ber om att få pengarna överförda till ett annat bankkonto.
-
Bluffakturor: Företag mottar falska fakturor från någon som utger vara chef med en begäran om att få betalningen till ett annat bankkonto.
-
Konfidentiell information: De kriminella utger sig för att vara jurister eller chefer som hanterar konfidentiell information, och ber därför om hemligstämplad information.
-
Datastöld: Kan till exempel vara en kriminell som utger sig vara en chef på HR-, redovisnings- eller revisionsavdelningen, som så begär att få en alla lönebesked eller skattedeklarationer, eller en företagslista med personligt identifierbar information.
Ofta följs e-mails upp med telefonsamtal från en person som verkar trovärdig, och som ber den anställda om att skynda på, då begäran är mycket viktig. Efter att den kriminella mottagit pengar, så delar den kriminella ofta upp pengarna på flera olika bankkonton.
Hur man kan förhindra VD-bedrägerier
Det är viktigt att utbilda företagets anställda inom säkerhet, för att stärka deras medvetenhet, genom att ge dem kunskap som betonar vikten av att vara uppmärksam på mailadresser, företagsnamn, och begäran som är mycket ovanliga.
Ofta kan man upptäcka VD-bedrägerier genom att dubbelkolla avsändarens mailadress och/eller URL-adress. Ibland räcker det med att vara uppmärksam på detaljer i meddelanden, för att upptäcka saker som inte stämmer.
Det är också klokt att ha tydliga riktlinjer för företaget när det kommer till överföring av pengar. En riktlinje kan till exempel vara en anställd ska använda multifaktorautentisering för betalningskrav. Dessa typer av riktlinjer ska nedtecknas i företagets Riktlinjer för IT-användning.
Skydda din verksamhet från VD-bedrägerier
Den kriminella som utger sig för att vara en chef, försöker ofta pressa en anställd genom att sätta korta deadlines på sin begäran. För den kriminella ska lyckas med att utge sig att vara någon som den inte är, lägger de ofta ner tid på efterforskningar, och drar nytta av situationer då chefen ifråga inte är lätt att få tag på – till exempel om han eller hon är på semester eller en konferens.
Så, vad ska egentligen en anställd göra om denne får ett mail, och misstänker att det är ett VD-bedrägeri?
-
Var på din vakt mot betalningskrav som är oväntade eller avvikande, oavsett summa.
-
Verifiera varje pengaöverföring. Alla betalningskrav med nya eller ändrade bankuppgifter som kommer via e-post, brev eller telefon ska verifieras. Det gäller även för interna mails som innehåller betalningskrav.
-
Kontrollera alltid med personen som du tror skickade mejlet för att försäkra dig om att det är från den, oavsett hur upptagna ni båda är. Om personen inte går att få tag på, och mejlet begär ett snabbt svar, prata med någon av personens kollegor. Men tänk på att du inte kan verifiera över mail till personen i fråga, eftersom dennes mailkonto kan ha blivit hackat. Ring istället upp dem, fråga dem personligen.
-
Om du känner minsta tvekan, genomför inte betalningen, oavsett hur brådskande det än må verka eller vilka konsekvenser det än sägs få.
-
Utbilda all personal angående den här typen av bedrägeri, i synnerhet de som sköter betalningar.
-
Tillämpa tvåfaktorautentisering för betalningar.
-
Var försiktig med hur mycket information ni avslöjar om ert företag, och skriver om speciella händelser på sociala medier och automatiska jag-är-på-semester-svar.
-
Överväg att ta bort information som till exempel referenser från er egen eller era leverantörers webbsajter eller sociala medier. Det är information som kan göra att bedragare får reda på vilka era leverantörer är.
Så nu när du har en översikt med VD-bedrägerier, vet vad det är för något och hur du kan förhindra att din verksamhet drabbas. Men vad ska du göra om ni faktiskt faller offer för VD-bedrägeri?
Viktiga åtgärder att vidta om ditt företag utsätts för ett VD-bedrägeri
Vi nämnde tidigare att överföring av pengar, läcka av konfidentiell information, och ett system som blir infekterat av skadeprogram, kan alla orsakas av VD-bedrägeri.
I händelse av ett bedrägeri som ledde till överföring av pengar, ska du:
-
Genast kontakta din bank och prata med deras avdelning för cybersäkerhet.
-
Kontakta polisen.
-
Kalla till ett akut möte för att ge styrelsen och företagsledningen en sammanfattning av händelsen, vilka åtgärder som vidtagits, och ytterligare åtgärder som ska vidtas.
-
Och slutligen, stärk er cybersäkerhet, och kalla in specialister inom IT-säkerhet.
Om du drabbas av en attack med ett skadligt program, ska du omedelbart kontakta IT-avdelningen. Ditt företags IT-team kan hindra att infektionen sprider sig eller att dina eller företagets data äventyras. Om det skett en läcka av konfidentiella uppgifter, är det bäst att kontakta dataskyddsombudet (DPO). Dataskyddsombudet känner till alla nödvändiga regler för hur man ska svara internt och offentligt, i och med att man måste anmäla det till myndigheterna inom 72 timmar.
Vi hoppas att denna artikel hjälper dig och dina kollegor att förhindra att ett VD-bedrägeri blir till verklighet hos ert företag. Det bästa sättet för dig att säkerställa att ni inte drabbas är genom att utbilda dina kollegor och göra dem medvetna och uppmärksamma om vad VD-bedrägerier är för något.
Du kan överväga att läsa på mer om hur du utbildar personal i den här gratis e-boken som vi har skrivit om hur dina kollegor kan bli ditt bästa försvar mot cyberattacker och dataläckor.
