In English
vd bedrägeri

Social engineering • Artikel

30 mars, 2021

Vad innebär VD-bedrägerier?

Cyberbrottslingar har utvecklat en form av attack som i USA går under namnet CEO-fraud (VD-bedrägeri), även känt som Business Email Compromise (BEC). Begreppet VD-bedrägeri är egentligen lite missvisande eftersom bedrägerierna egentligen kan drabba personer med andra ledande befattningar på företag.

I dessa attacker låtsas bedragaren vara en vd eller en annan ledande befattningshavare från din organisation. Brottslingarna skickar mail till anställda, som dig själv, och försöker lura dig att göra något du inte bör göra.

De skickligaste bedragarna gör en ordentlig bakgrundskoll. De ser över informationen på organisationens webbplats, de tar reda på organisationsstrukturen, vilka som är chefer och vilka andra organisationer som din organisation har samarbeten med.

Genom att även kolla igenom sociala medier kan en bedragare även få en bild av medarbetares privatliv, vilka intressen har de och vilka av kollegorna umgås privat.

Efter att ha skapat sig en bild av organisationen börjar de inrikta sig på en specifik person baserat på deras specifika mål med aktionen. Ifall de är ute efter att komma över pengar siktar de in sig på någon på ekonomiavdelningen. Medan om de är ute information i en databas kan de gå via någon på IT-avdelningen.

När offret är utvalt börjar bedragaren planera sin attack. Oftast sker första attacken med hjälp av spjutfiske (på engelska spear phishing). Till skillnad mot nätfiske där man skickar ut mängder av mail och hoppas på napp, väljer man här ut en enskild person som får ett specialskrivet mail skickat till sig.

Eftersom bedragaren har lagt mycket tid på att få sitt mail att uppfattas som seriöst är det oftast mycket svårt att avslöja dessa bedrägeriförsök innan det är för sent.

Mailet kan vara mycket välformulerat och använda samma jargong som chefen brukar använda. Till utseendet kan det också vara svårt att avslöja eftersom rätt font och signatur används. Det går även att fejka avsändaradressen så att det verkligen ser ut att komma från rätt person.

I dessa mail försöker bedragaren oftast att spela på en stark känsla av brådska. Du behöver omedelbart vidta åtgärderna som står i mailet och du ska absolut inte berätta något för någon. Ett exempel är att ”vd:n” är utomlands och ska genomföra en affär men om inte du överför transaktionen omedelbart blir det ingen affär för företaget. Det är kritiskt läge helt enkelt.

Vanliga motiv bakom attackerna

Pengar

Det vanligaste är att bedragaren är ute efter pengar. De vill ta reda på vem som har möjlighet att genomföra transaktionen och vem som har mandat att kräva av vederbörande att transaktionen utförs. Det finns gott om exempel på organisationer som har drabbats, däribland Ubiquity som blev av med 46 miljoner dollar till följd av ett bedrägeri.

Information

Vissa organisationer har otroligt känslig information som både privatpersoner och andra organisationer skulle ha intresse av. Exempel skulle kunna vara ifall ett företag sitter på specifik information om ett visst patent eller ett forskningsföretag som tar fram en ny medicin. Men det kan också vara kursdrivande information om huruvida ett företagsförvärv blir av eller inte.

Så skyddar du dig

1. Kontrollera att källan för fakturor och betalningsbegäranden är autentiska. I synnerhet när det gäller större belopp och brådskande betalningar.

2. En persons mejladress kan lätt förfalskas, därför bör man inte lita blint på att det är rätt person. Att verifiera genom att mejla tillbaka eller ringa vederbörande kan göra man undviker ett bedrägeri.

3. Eftersom mer sofistikerade bedragare även kan ringa och utge sig för att vara en företagsledare, kan det om man inte känner till rösten vara värt att ringa tillbaka via företagets växel eller via ett verifierat direktnummer för att komma i kontakt med personen och bekräfta att det är rätt person. Eftersom information om vilka som arbetar på företaget ofta går att få fram via exempelvis LinkedIn kan en bedragare försöka förvirra offret genom att nämna kollegors namn m.m.

4. Inför, eller under, ett pågående bedrägeri kan en bedragare via telefon eller över mail fiska efter vilka teknologier som företaget använder, vem som har befogenhet att göra utbetalningar m.m. Lämna därför aldrig ut känslig information utan att verifiera vem som frågar.

5. Lämna aldrig ut ditt användarnamn eller lösenord till någon. Bedragare utger sig gärna för att vara din vän/ kollega för att övertyga dig om att lämna ut uppgifterna.

6. Ta fram rutiner och processer för hur betalningar ska ske, hur faktureringsuppgifter ska kontrolleras m.m.

7. Utbilda personalen i hur man kan känna igen olika former av bedrägerier och bluffmejl.

8. Testa er organisations förmåga att hantera den här typen av attacker. Sentor kan utföra den här typen av bedrägeriförsök under kontrollerade former. På så vis kan ni testa er motståndskraft och hitta brister innan de utnyttjas av någon med onda avsikter.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.