Pas på CEO-fraud

SMV-nyhedCEO-fraud er højaktuelt i ferieperioden. Hvad er CEO-fraud? Se eksempler og læs, hvad du kan gøre mod CEO-fraud.

CybersikkerhedSMV

Rigspolitiet oplyser, at højsæsonen for CEO-fraud er ferieperioder, hvor medarbejdere kan være afskåret fra jævnlig kontakt med hinanden. Emnet er derfor højaktuelt, men også yderst relevant på hele cyberdagsordenen, idet mange danske virksomheder allerede har været ramt af CEO-fraud.

I dette opslag vil vi gennemgå følgende:

  • Hvad CEO-fraud er
  • Eksempler på CEO-fraud
  • Kendetegn ved CEO-fraud e-mails
  • Gode forebyggelsesråd i forbindelse med CEO-fraud

Hvad CEO-fraud er

CEO-fraud går i sin enkelthed ud på at franarre en virksomhed eller forening oplysninger eller pengebeløb ved at udgive sig for at være virksomhedens direktør eller foreningens formand.

Bedrageriet foregår typisk via e-mail, hvor en gerningsperson sender en e-mail til f.eks. bogholderen i en virksomhed eller kassereren i en forening fra en e-mailadresse, der – på overfladen – ligner direktørens. Her vil gerningspersonen bede om at få overført et bestemt pengebeløb, ofte under indtrykket af, at det haster.

Reagerer man på e-mailen, vil gerningspersonen typisk følge op med en e-mail indeholdende de kontooplysninger, der ønskes overført penge til samt bede om at få tilsendt en kvittering for overførslens gennemførsel.

 

Eksempler på CEO-fraud

Herunder har vi inkluderet et eksempel på CEO-fraud i en forening, hvor gerningspersonen anvender formandens e-mailadresse til at franarre foreningen næsten 50.000 kr.:

Karsten er 47 år og bor i Viborg med sin kone Malene og deres tre børn. I sin fritid er han engageret i badmintonklubben Viben som træner og kasserer. Badmintonklubben har 10-års jubilæum, og Karsten og formanden John har besluttet, at der skal indkøbes nye badmintonnet i den anledning. Karsten og John har derfor været i gang med at indhente tilbud på de nye net.

En dag får Karsten en mail fra John om, at han hurtigst muligt skal overføre 48.350 kr. til et kontonummer i Nordea. Karsten undrer sig over, at John ikke sender yderligere oplysninger, men på den anden side har de jo lige skrevet frem og tilbage om tilbud på nye net – måske har John fundet et godt tilbud og vil handle hurtigt. Karsten logger derfor ind på klubbens konto og overfører pengene til John.

Om aftenen mødes de til træning, og Karsten spørger ham grinende: ”Hvad i alverden skulle du bruge de 50.000 kr. til i den fart?!”. John ser helt forkert ud i hovedet og spørger, hvad han snakker om. John har aldrig sendt ham en e-mail.

Ovenstående er illustreret nedenfor:

 

 

Nedenfor har vi inkluderet et eksempel på en mail fra en gerningsperson, hvor formanden beder kassereren om at overføre et større pengebeløb:

 

 

Kendetegn ved CEO-fraud e-mails

Følgende er kendetegn på CEO-fraud emails (kilde: Rigspolitiet):

Personlig stilet. Gerningspersonen har gjort sit forarbejde og stilet e-mailen personligt med det rigtige navn. Typisk vil afsenderen ‘John’ være formanden (eller bestyrelsesmedlem) i foreningen og ‘Karsten’ kasserer.

Det haster. Gerningspersonen opstiller typisk en meget kort tidsfrist for overførslen, og vil ofte spørge om ofret har tid nu? Og om personen har mulighed for at overføre betalingen her og nu.

Udenlandske beløb. Gerningspersonen vil typisk bede om beløb i udenlandsk valuta. Der er ofte tale om EURO eller Britiske Pund.

Generelle vendinger. En gerningsperson vil ofte forsøge sig med generelle vendinger som f.eks. ”.. 4.820 EUR til en modtager i dag..”. Gerningspersonen har nødvendigvis ikke et kvalificeret bud på, hvem en relevant ‘modtager’ kunne være og holder sig derfor til generelle termer.

Kort og kontant. En bedragerisk e-mail vil typisk også være kortfattet og holde sig til pointen; at der skal overføres nogle penge – hurtigt.

Mærkelige formuleringer og fejl. Ofte bærer disse e-mails præg af at have været gennem et oversættelsesprogram som eksempelvis Google Translate. Derfor kan der godt opstå unaturlige ordstillinger, underlige formuleringer eller fejl, f.eks. ”Er du tilgængelig nu?” eller ”Jeg har bankoplysninger, Kan du foretage betaling nu?”.

Fortsætter korrespondancen. Svarer du på mailen, vil gerningspersonen indgå i en korrespondance med dig og typisk følge op med oplysninger om de kontooplysninger, der ønskes overført penge til.

 

Gode forebyggelsesråd i forbindelse med CEO-fraud

Rigspolitiets bedste råd er følgende:

Undlad, hvis muligt, at have offentligt tilgængelige oplysninger om direktører og bestyrelsesmedlemmer på en hjemmeside. Oplys kun en hovedmail for kontakt til virksomheden.

I praksis vil det for en virksomhed nok være umuligt, at skjule en direktørs mailadresse fra omverdenen. Gerningspersonerne kan nemt finde mailadresserne – navne er tilgængelige i offentlige registrere og måden e-mailadresser er opbygget på i virksomhederne gør, at gerningspersonerne ofte kan gætte sig til relevante e-mailadresser, hvis de ikke kan findes via google-søgninger, LinkedIn profiler, nyheder, artikler o. lignende.

Yderligere gode råd fra Rigspolitiet er følgende:

1. Hav robuste interne procedure for pengeoverførsler, f.eks. ”.. ret altid personlig henvendelse til afsender ved anmodning om overførsel af store beløb..”, samt en regel om at flere skal godkende udbetalinger (godkendelse to i forening) – og gerne ad andre kanaler (evt. SMS).

2. Vær opmærksom på udansk sprogbrug og mærkelige formuleringer.

3. Reagér hurtigt hvis uheldet er ude, så bankoverførsler om muligt kan hindres, inden de gennemføres.

FSR opfordrer også til at, du bør have styr på følgende, for at imødegå CEO-fraud:

  • at alle medarbejdere i virksomheden – ikke blot i regnskabsafdelingen – er bekendt med CEO-fraud.
  • at virksomhederne opdaterer interne procedurer for store pengeoverførsler.
  • at medarbejdere har mulighed for at få pengeoverførslen bekræftet – eksempelvis ved et opfølgende telefonopkald eller SMS.
  • at virksomhederne tjekker anmodninger om transaktioner til udlandet for fejl og mangler, såsom stavefejl i virksomhedsnavne og adresser.
  • at medarbejdere altid følger virksomhedens interne procedurer.

Rigspolitiet oplyser i øvrigt, at borgere og virksomheder kan bestille et foredrag, hvor man selv definere indholdet, som naturligvis skal have en politimæssig karakter – eksempelvis IT-relateret Økonomisk Kriminalitet, hvor CEO-fraud bliver gennemgået sammen med phising-forsøg, som er bedrageriske e-mails, der prøver at lokke konto, kort- eller andre oplysninger ud af offeret for derpå at misbruge dem. Man kan eventuelt slå sig sammen på tværs af flere interesserede virksomheder.
Bestil et foredrag online via dette link