Sådan efterligner svindlere chefens e-mail

Op til sommerferien er det højsæson for den type it-kriminalitet, der kaldes CEO-fraud. Her forsøger udspekulerede svindlere at lokke penge ud af både små og store virksomheder ved at udgive sig for at være direktøren på e-mail.

Fremgangsmåden er enkel, men effektiv: Kriminelle sender en forfalsket e-mail til en medarbejder i en virksomhed, typisk den økonomiansvarlige, og udgiver sig for at være direktøren eller en anden leder. I mailen beder ”direktøren” om hurtigt og fortroligt at få overført et større beløb. Målet er at lokke pligtopfyldende medarbejdere til at sende penge direkte i svindlernes lommer og de forfalskede e-mails kan være særdeles overbevisende.

Svindlen, der kaldes CEO-fraud eller Business E-mail Compromise (BEC), kan foregå hele året, men frekvensen stiger typisk omkring ferieperioder, hvor vikarer afløser de faste medarbejdere. Hvert år har kriminelle held til at lokke enorme summer ud af deres ofre. I 2018 modtog FBI over 20.000 anmeldelser om CEO-fraud, med et samlet tab på 1.2 mia USD. Både små og store virksomheder bliver ramt og hyppigheden af denne type svindelforsøg er stigende, også i Danmark.

Omhyggelig research af ofre

De mange eksempler på succesfuld CEO-fraud overrasker ikke sikkerhedsekspert Tommy Abrahamsson fra sikkerhedsvirksomheden SECU, der for nylig blev købt af TDC Erhverv og NetDesign.

– I modsætning til en del andre it-trusler, så er disse angreb ofte målrettet specifikke virksomheder og udført af intelligente kriminelle. Det kræver omhyggelig forberedelse og research af den enkelte virksomhed at gennemføre denne type svindel. Blandt andet ved at bruge LinkedIn, CVR-registeret og virksomhedens hjemmeside til at identificere nøglemedarbejdere, siger Tommy Abrahamsson.

Angreb udefra og indefra

Overordnet set udføres CEO-fraud på to måder: I den første variant sendes den forfalskede e-mail fra en ekstern konto, hvor afsenderinfo og signatur er indstillet til at ligne direktørens. Som regel kan sådan en ”spoofet” e-mail afsløres ved at se nærmere på afsenderadresse og -domæne.

I mere udspekulerede tilfælde forsøger de it-kriminelle at få adgang til virksomhedens interne systemer, for eksempel ved at kompromittere udvalgte medarbejderes Microsoft Office 365-konto ved hjælp af phishing-mails eller ved at knække svage passwords.

– En nøglemedarbejders Office 365-konto er et attraktivt mål for svindlerne. Får de først adgang, kan de for eksempel indstille offerets e-mail til at videresende alle beskeder, så de får grundig indsigt i sprogbrug, forretningsgange og aktuelle sager. De har også adgang til kalenderen, der kan afsløre, hvornår direktøren eller den faste økonomiansvarlige er bortrejst, siger Tommy Abrahamsson.

Ingen ”silver bullet” mod CEO-fraud

Som virksomhed kan I styrke forsvaret med CEO-fraud gennem både tekniske foranstaltninger og øget opmærksomhed. Tommy Abrahamsson understreger, at der ikke findes én enkelt ”silver bullet”, for svindlerne finder hele tiden nye måder at narre virksomhederne på.

– På den korte bane kan virksomheden beskytte sig mod spoofede e-mails ved at indstille mail-systemet til at markere eller blokere eksterne mails, hvor navnet i afsenderfeltet matcher direktøren og andre nøglemedarbejdere. En anden mulighed er at aktivere to-faktor godkendelse på Office 365, så du for eksempel får tilsendt en kode på sms, hvis kontoen bliver brugt på en ny enhed eller lokation, siger Tommy Abrahamsson.

På længere sigt er vaccinen mod CEO-fraud en blanding af mere komplicerede tekniske løsninger, awareness-træning af medarbejderne og faste procedurer for udbetalinger over et vist beløb.

Forebyg CEO-fraud med hjælp fra TDC Erhverv

I TDC Erhverv og NetDesign har vi mange muligheder for at hjælpe netop din virksomhed med at undgå CEO-fraud. Vi kan blandt andet teste sikkerhedsniveauet på jeres e-mail løsning, rådgive om sikkerhed i Office 365 og implementere tekniske løsninger, der kan afsløre falske e-mails.

Læs mere om vores sikkerhedstilbud