Hackerne går ikke på juleferie

Svindelnumre via e-mails er efterhånden en gammel kending, der dog vokser eksplosivt i omfang i disse år, samtidig med at angrebene bliver stadigt mere sofistikerede, påpeger PwC. Seneste trend er mails i ferien fra chefen, der beder om at hasteoverføre penge til en "ny" leverandør. FBI vurderer, at forbrydere via disse svindelnumre er lykkes med at svindle sig til ca. USD 215 millioner på godt ét år*.

Svindel via e-mail, også kaldet ’CEO fraud’ eller ’Business E-mail Compromise’ (BEC), hvor en falsk CEO fx beder økonomiafdelingen hasteoverføre penge til en ”ny” leverandør, bliver brugt i stigende grad. Angrebet sker gerne, mens den rigtige CEO er på ferie eller rejse, så der er god grund til at være ekstra opmærksom i dagene omkring jul, hvor mange holder fri.

”Det er ret banalt, men desværre også ekstremt effektivt. PwC oplever hver eneste uge, at mange danske CEO’er eller CFO’er har været udsat for forsøg på dette svindelnummer, hvoraf flere forsøg er lykkedes,”
udtaler Mads Nørgaard Madsen, partner og cybercrime-ekspert i PwC. Han fortsætter:

”Virksomheder bør derfor være særligt opmærksomme på denne form for svindelnummer – meget kan forhindres med fornuftig omtanke, men snyderierne bliver desværre også mere og mere sofistikerede.”

Udbredelsen af teknologi i forbindelse med forretningsydelser, kombineret med den eksplosive vækst i sociale medier og dataopkobling har en gang for alle ændret situationen for - og på mange måder forenet - virksomheder og forbrugere. Der er dog også en ulempe ved opkoblingsmulighederne og -adgangen:

”I dag er det muligt for målrettede og udspekulerede kriminelle at operere i det skjulte. Og fordi cyber-kriminalitet netop udøves mere eller mindre i hemmelighed, kan det forekomme, at organisationerne ikke opdager, at de er blevet angrebet, indtil længe efter at skaden er sket,”
fortæller Mads Nørgaard Madsen.

Dette forhold alene gør de mange former for elektronisk svindel til en af de største trusler inden for økonomisk kriminalitet. Mange virksomheder har måske ikke et klart indblik i, om deres netværk og de data, der findes i disse netværk, er blevet kompromitteret, og de ved ikke, hvad der er gået tabt - eller værdien heraf, påpeger Mads Nørgaard Madsen:

”Tidligere var det blot dårligt skrevne e-mails, som ”lokkede” offeret til at overføre penge, ved at udgive sig for at være fra chefen. I dag er der flere og flere eksempler på, at hackerne har insideroplysninger, fordi de via fx malware eller anden smart phishing scam har fået adgang til centrale personers e-mail-systemer,” forklarer han og fortsætter:

”På den måde kan de kriminelle tilrettelægge og besvare eventuelle henvendelser meget hurtigt. Og de kan samtidig virke meget troværdige, da de nu har interne oplysninger at benytte sig af.”

Er uheldet ude, så kontakt politiet

Hvis din virksomhed bliver udsat for svindel, så kontakt øjeblikkelig banken og bed dem kontakte den bank, hvortil pengene er overført. PwC’s Globale incident response team står desuden til rådighed, hvor eksperter hjælper med at sikre virksomheden både før, under og efter et databrud er opstået. 

”I PwC har vi faktisk set eksempler på, at nogle af pengene kan skaffes tilbage, hvis man reagerer hurtigt. Vi anbefaler også altid, at man kontakter såvel sin bank som politiet,” slutter Mads Nørgaard Madsen.

Gode råd om it-sikkerhed

  • Få vurderet it-sikkerheden generelt i virksomheden.
  • Kontrollér ændringer til leverandørens betalingssted, og bekræft anmodninger om overførsel af midler.
  • Vær på vagt over for gratis webbaserede e-mailkonti, som er mere udsatte for at blive hacket.
  • Vær forsigtig, når du lægger finansielle og personlige oplysninger ud på sociale medier og virksomheders hjemmesider.
  • Vær i forbindelse med betalingsoverførsler mistænksom over for anmodninger om tavshedspligt eller eventuel opfordring til at handle hurtigt.
  • Overvej finansielle sikkerhedsprocedurer, der omfatter en to-trins-verifikationsproces for betalinger via bankoverførsel.
  • Skab varslings- og alarmsystemer, som fremhæver e-mails med lokale navne, der svarer til virksomhedens e-mail, men ikke er helt de samme. Fx .co i stedet for .com.
  • Overvej indførelse af to-faktor-autentificering på mail som minimum, når man skal oprette et device.

*Tallene fra FBI dækker fra oktober 2013 til december 2014.