CEO fraud – når bedragere udgiver sig for at være direktøren

CEO fraud koster virksomheder mange penge

Tre gange så mange udsættes for afpresning af hackere, som for et år siden. Det kunne Nordjyske Plus berette om ved året begyndelse – og det er en tendens, der ser ud til at fortsætte.

Senest har vi set sagen fra teleselskabet 3, der har vakt stor opsigt, fordi de har brudt tendensen med at gå ekstremt stille med dørene. 3 har nemlig valgt at være åbne om det sikkerhedsbrud, der er sket – men de er altså ikke de første, der har været udsat for et forsøg på afpresning, og de bliver helt sikkert ikke de sidste til at opleve denne type kontant afpresning fra IT-kriminelle, der er kommet i besiddelse af deres fortrolige data.

Der findes dog også en anden type IT-kriminalitet, som er blevet en økonomisk trussel for store virksomheder herhjemme: Nemlig CEO fraud – direktørsvindel. Der er dog ikke tale om, at flere direktører svindler, men at IT-kriminelle svindler ved at udgive sig for at være virksomhedens direktør.

Sådan foregår CEO fraud

Svindlere kan finde på at ringe til virksomhedenCEO fraud foregår typisk ved at de IT-kriminelle på forhånd har udset sig en virksomhed, som de overvåger og researcher på. De tilegner sig viden om medarbejdernes forskellige roller og arbejdsgange i videst omfang muligt. De hacker sig, om muligt, ind på mails og finder oplysninger om direktørens ferieplaner.

Stik imod vores forventninger, kan de rent faktisk også finde på at ringe til virksomheden under påskud af at være en jobansøger eller potentiel kunde, som derfor naturligvis har en række spørgsmål. De kan også ringe og forsøge at få fat på direktøren selv for at tjekke, om han er på ferie eller forretningsrejse.

Det er nemlig ofte der, de slår til. Når direktøren er ude af huset, sender de en mail til en regnskabsmedarbejder. Mailen kommer enten fra direktørens mailkonto, men kan også være en anden mail, der er tilpasset, så de færreste opdager, at det ikke rent faktisk er den rigtige mail.

I mailen skriver ”direktøren”, at der er opstået et behov for en hasteoverførsel af et større millionbeløb til en udenlandsk konto – han er nemlig i udlandet og har fået en fantastisk mulighed for at gøre et opkøb af en anden virksomhed. Det skal naturligvis foregå i al fortrolighed, så medarbejderne må ikke tale med nogen om det – det skal bare gå hurtigt!

Det lyder måske som noget, man burde kunne gennemskue – men afhængigt af virksomhedens opbygning og størrelse, samt medarbejdernes kendskab til deres direktør, kan det rent faktisk godt lade sig gøre at slippe afsted med dette nummer.

CEO fraud udnytter menneskelig svaghed

Der ryger mange penge ud af virksomheder ved CEO FraudCEO svindel er en ”karrierevej” for svindlere – og det kan kun lade sig gøre, fordi det desværre faktisk lykkes for de kriminelle at trække store summer ud af store virksomheder. Fordi der netop er tale om store summer, bruges der også lang tid på research og forarbejde, hvilket tilmed gør svindelnummeret mere overbevisende og øger de kriminelles succesrate.

Der er især to grunde til, at det kan lade sig gøre:

1. Vi er ekstremt autoritetstro –

Også selvom vi som folk bryster os af at have en god naturlig skepsis i livet, og at vi ikke parerer ordrer ukritisk. Men det er ikke tilfældet, når det kommer til CEO svindel. Her udnytter svindlerne nogle svagheder hos medarbejderne: At de er meget autoritetstro over for koncernens direktør, og at de gerne vil handle hurtigt, når der netop bliver stillet krav om hurtig håndtering af et ønske om at overføre pengene.

2. Vi er bange for at indrømme vores fejl

Her er dog ikke tale om, at medarbejderen, der har begået fejlen, ikke vil indrømme det – for det skal nok blive opdaget uanset hvad. Men overfor omverdenen går virksomheder, der har været udsat for CEO svindel, meget stille med dørene – ingen vil indrømme, at de er ”faldet for” sådan noget. Der er nemlig en tendens til at tænke, at ”det kunne jeg da aldrig falde for”, når vi hører om det – men det er altså ikke tilfældet i praksis.

Idet virksomhederne går stille med dørene, bliver kendskabet til fænomenet ikke udbredt – og den enkelte virksomhed i dansk erhvervsliv står tilbage med et indtryk af, at det ikke er noget, der sker så ofte. Kombineret med tanken om, at deres egne medarbejdere ikke kan narres af et svindelnummer, har mange virksomheder i virkeligheden paraderne nede – og svindlerne har frit spil til at fortsætte numrene.

Sådan forebygges CEO svindel

Den bedste måde at forebygge CEO svindel på, er ved at have meget strengt definerede og faste arbejdsgange for overførsler af større millionbeløb. Det behøver nemlig ikke nødvendigvis have noget at gøre med selve IT-sikkerheden i virksomheden – selvom denne sikkert ofte også kan forbedres. Svindelnummeret kan nemlig lade sig gøre uden nogen ulovlig indtrængen.

En god procedure kan være to-trins godkendelse af store overførsler – at overførsler større end en fastsat grænse skal godkende at to uafhængige medarbejdere. Sådan en procedure sikrer, at en medarbejder ikke selv kan overføre store summer penge til kriminelle – og heller ikke risikerer at stå alene med skylden efterfølgende.

Det kan dog være svært helt at gardere virksomheden mod CEO svindel, da der er tale om meget planlagte og veludførte svindelnumre, som kan være svære at se i gennem. Den almindelige medarbejder vil nemlig agere pligtopfyldende og i god tro, når en sådan e-mail tikker ind i indbakken.