Der har været et opsving i antallet af forsøg på direktørsvindel – det der også kaldes CEO-fraud, da udtrykket oprindeligt er engelsk. Senest er det kommet frem, at Statens Museum for Kunst er blevet snydt for knap en million kroner, men dette er langt fra et enestående tilfælde.
Direktørsvindel eller CEO-fraud kan dog løbe op i langt flere penge, end det var tilfældet med Statens Museum for Kunst.
Kim Aarenstrup fra Nationalt Cyber Crime Center siger til Berlingske, at vi i Danmark har set tilfælde, hvor der er tale om tocifrede millionbeløb, der er blevet svindlet ud af virksomhedernes lommer.
Internationalt er store virksomheder som Michelin og Nestlé tidligere faldet i fælden med direktørsvindel, og den amerikanske virksomhed Ubiquiti Networks nåede at sende 47 millioner dollars til svindlere, inden det blev opdaget.
Hvad er CEO-fraud eller direktørsvindel?
Denne svindeltype er en form for phishing der er meget mere målrettet, end phishing typisk er – nogle kalder det også ’spearphishing’. Som regel handler phishing om at sende en masse mails til en masse mennesker og håbe på, de gør noget bestemt – det vil ofte være at logge ind på en forfalsket side, så svindlerne kan stjæle login-oplysningerne og bruge dem på den rigtige side.
Direktørsvindel eller CEO-fraud er en afart af phishing, da der bliver sendt mails til medarbejdere i positioner, der kan sende penge på virksomhedens vegne.
Disse mails er tilsyneladende sendt fra direktøren og i disse mails bliver medarbejderen bedt om at sende et beløb til en udenlandsk konto. Påskuddet vil typisk være noget i stil med en større ordre eller måske et opkøb af en anden virksomhed, og at det skal ske i al fortrolighed.
Muligvis har svindlerne også timet sine mails så godt, at de kommer, når direktøren er på ferie – altså hvor det er naturligt, at direktøren ikke personligt afleverer beskeden om pengeoverførslen.
Lav en klare procedurer, der sikrer mod direktørsvindel
Det er en klar anbefaling, at man indretter nogle meget klare procedurer, når det gælder om transaktioner til udlandet og især af større beløb. Procedurer, der skal verificere forespørgslens ophav så at sige.
Der er mange måder at indrette disse procedurer på, og hver virksomhed skal selvfølgelig finde den måde, der passer bedst i forhold til sin egen struktur.
Et bud på en relativt simpel foranstaltning som værn mod direktørsvindel er simpelthen at ringe til direktøren for at få bekræftet overførslen. En mundtlig bekræftelse fra direktøren vil alt andet lige være svær for svindlere at forfalske.
Hvordan procedurerne skal se ud i den enkelte virksomhed er svært at sige, men har man ikke en procedure på plads for denne form for transaktioner, er de værd at vedtage. Og det er værd at gå de eksisterende i gennem for at tjekke, om der er risiko for at blive snydt.
Hvorfor virker denne type svindel?
Det kan umiddelbart virke underligt, at det ved hjælp af e-mail er muligt at lokke ellers dygtige og loyale medarbejdere til at overføre store summer til udlandet.
Sagen er bare, at det netop er loyaliteten, svindlerne spiller på. Modtagerne af disse mails kan få mange mails i løbet af kort tid, og det kan også kombineres med opkald fra ’advokater’, der giver mere information og bekræfter offervirksomhedens overtagelse af det falske firma.
Det er selvfølgelig svindlerne, der poserer som advokater, men med nærmere instruktioner om overførslen og måske en besked om, at tilbuddet for overtagelse af virksomheden udløber om kort tid, ellers vil handlen falde fra hinanden, kommer den svindelramte medarbejder under pres.
Der er ikke noget firma, der skal overtages, men det ved den ansatte ikke. Sat under pres af både autoriteten i forhold til direktøren og af tiden i forhold til handlen, kan selv dygtige og kompetente medarbejdere lave fejl og overføre pengene.
Grunden til, faste procedurer kan være en hjælp, er, at det kan tage noget af presset væk i en situation om denne. Hvis der er meget klart definerede måder at handle på, når en sådan forespørgsel kommer, er det ikke på medarbejderens skuldre at tage en beslutning, om pengene skal sendes eller ej.
Til gengæld skal der handles efter de retningslinjer, der er blevet udstukket. Eksempelvis at ringe til direktøren og få en bekræftelse, inden pengene sendes afsted til udlandet.