Falsk mail: Sommerferieperioden er præcis den periode, hvor hackerne er ekstra kreative og sender hasteanmodninger på vegne af CEO’en. Hop ikke i fælden!
“God morgen.
Vi skal foretage en betaling til en virksomhed i Storbritannien.
Hvilke oplysninger skal du bruge for at foretage betalingen? Kan du gøre det i dag?”
Mails med lignende ordlyd som ovenstående tikker flere gange om året ind i indbakken hos danske virksomheder. Korte, præcise og med kun et formål: At få modtageren til at hoppe i fælden og starte en dialog, der kan få fatale konsekvenser for virksomheden.
Det er højtid for CEO-fraud, også kendt som Business Email Compromise (BEC), som er en voksende trussel mod virksomheder verden over. Cyberkriminelle udnytter virksomheders tillid og organisatoriske strukturer til at narre medarbejdere til at overføre penge eller afsløre følsomme oplysninger.
– Vi modtager selv CEO-fraud flere gange om året. Det er selvfølgelig en fordel, at vi kender hinanden rigtig godt, og ikke mindst måden hvorpå vores CEO normalt kommunikerer. Men de (hackerne) bliver dygtigere og dygtigere – og jeg kan sagtens forestille mig, at sidder man i en stor organisation med mange medarbejdere, der måske ikke er helt tætte med deres CEO, at så kan man let falde i, fortæller CFO Jan Rasmussen, CapaSystems.
I dette blogindlæg sætter vi ord på, hvad CEO-fraud er, og kommer med gode råd til, hvordan din virksomhed effektivt kan beskytte sig mod denne type svindel – som fx. at spotte en falsk mail med det samme.
Hvad er CEO-fraud?
CEO-fraud er den form for svindel, hvor en hacker udgiver sig for at være en virksomheds CEO eller anden højtstående leder for at narre medarbejdere til at udføre handlinger, som gavnligt tjener hackerens formål. Dette kan inkludere overførsel af penge til en falsk konto eller afsløring af følsomme virksomhedsoplysninger. Svindlerne bruger ofte social engineering og e-mailspoofing for at få deres meddelelser til at se troværdige ud.
Typiske kendetegn ved CEO-fraud
Hastende Anmodninger: Svindel-e-mails indeholder ofte en følelse af pres og hast, hvor det fremgår, at anmodningen skal behandles straks.
Hemmelige Transaktioner: Anmodningerne indebærer ofte, at transaktionen skal forblive fortrolig og ikke diskuteres med andre.
Uregelmæssige E-mailadresser: E-mailadressen kan afvige en smule fra den legitime adresse (f.eks. bruge .net i stedet for .com).
Gode råd til at beskytte din virksomhed mod CEO-fraud
Uddannelse og Bevidsthed:
- Regelmæssig træning for medarbejdere om at genkende svindel-e-mails og social engineering-teknikker
- Uddan medarbejdere om de typiske kendetegn ved CEO-fraud.
- Send evt. Politiets folder rundt til udvalgte medarbejdere
Verifikationsprocedurer:
- Implementer to-faktor autentifikation for alle anmodninger om finansielle transaktioner
- Kræv en mundtlig eller ansigt-til-ansigt-verifikation før gennemførelse af større finansielle transaktioner
E-mail-sikkerhed:
- Brug avancerede e-mailfiltre og trusselsdetekteringssystemer for at blokere mistænkelige e-mails
- Implementer DMARC (Domain-based Message Authentication, Reporting & Conformance) for at forhindre e-mailspoofing
Sikkerhedspolitikker:
- Etabler og kommuniker klare politikker for håndtering af finansielle anmodninger og følsomme oplysninger
- Sørg for, at alle medarbejdere kender og følger disse politikker
Regelmæssige Kontroller:
- Gennemfør regelmæssige sikkerhedstjek og revisioner for at identificere og afhjælpe sårbarheder
- Overvåg økonomiske transaktioner nøje for at opdage mistænkelige aktiviteter
CEO-fraud er en alvorlig trussel, der kan have betydelige økonomiske og omdømmemæssige konsekvenser for virksomheder. Ved at følge ovenstående råd og implementere robuste sikkerhedsforanstaltninger kan din virksomhed reducere risikoen for at blive offer for denne type svindel.
Vi ønsker alle en rigtig god (og sikker) sommer med mindre chance at blive narret af en falsk mail fra chefen 🌞
Research af Mickala Schwanenflügel Eilskov
28.06.24
