Har du nylig mottatt en e-post fra en angivelig «administrerende direktør» som ba deg overføre penger til en «leverandør»? Ikke la deg lure! La meg forklare dette nærmere.
La oss starte med litt bakgrunn.
Jeg opplevde et forsøk på administrerende direktør-svindel knapt to måneder etter at jeg startet å jobbe fulltid som skribent for tipsbilk.net.
Det var ikke åpenbart med en gang, fordi svindleren brukte et velkjent domenenavn, Virgin Media ([email protected]). Jeg trodde derfor at min administrerende direktør på et vis var tilknyttet dette teleselskapet, siden begge har base i Storbritannia.
Jeg svarte derfor bekreftende på den innledende meldingen «Jeg vil gjerne gi deg en oppgave, er du ledig?» Deretter beskrev avsenderen en oppgave som innebar overføring av 24 610 indiske rupi (ca. 300 USD) til en leverandør. Detaljene skulle deles hvis jeg samtykket.
Dette gjorde meg litt mistenksom, og jeg ba avsenderen om å bekrefte identiteten sin før jeg overførte noe. Etter noen e-poster ringte svindleren. Jeg videresendte samtalen til min faktiske administrerende direktør og IT-avdelingen hos Virgin Media.
Selv om jeg ikke hadde noen formell opplæring i å håndtere denne typen svindel, var jeg heldig som ikke ble lurt.
Vi burde ikke stole på flaks; vi bør heller være forberedt på forhånd og lære opp andre.
CEO-svindel, også kjent som direktør-phishing
Dette er en form for spyd-phishing, et angrep som er rettet mot en spesifikk organisasjon eller noen av dens ansatte. Hvis målet er en ansatt i en høyere stilling (som en leder), kalles det hvalfangst-phishing.
Det amerikanske føderale politiet (FBI) klassifiserer disse svindelforsøkene under betegnelsen Business Email Compromise (BEC) eller Email Account Compromise (EAC). I følge en rapport om internettkriminalitet stod disse formene for svindel for et tap på nesten 2,4 milliarder dollar i 2021.
Geografisk sett er Nigeria det ledende landet for CEO-svindel, med 46 % av tilfellene, etterfulgt av USA (27 %) og Storbritannia (15 %).
Hvordan fungerer dette?
CEO-svindel krever ikke spesielle tekniske ferdigheter eller kriminell kompetanse. Alt som kreves er en tilsynelatende tilfeldig e-post og sosial manipulering for å lure deg til å overføre penger eller avsløre sensitiv informasjon til videre kriminelle handlinger.
La oss se nærmere på noen vanlige metoder som brukes av de kriminelle.
Type 1
En tilfeldig e-post der en angivelig administrerende direktør ber om penger, er den enkleste formen for denne typen svindel. Den er som regel lett å avsløre. Det viktigste er å sjekke e-postadressen (ikke navnet).
Vanligvis vil domenenavnet ([email protected]) avsløre svindelen. Noen ganger kan e-postadressen imidlertid se ut til å tilhøre en kjent organisasjon, som i mitt tilfelle.
Dette kan gi svindelen legitimitet, og gjøre uvitende ansatte til ofre. Det kan også være at e-postadressen ser ekte ut, men har mindre endringer, for eksempel @gmial.com i stedet for @gmail.com.
Til slutt kan e-posten faktisk komme fra en legitim, men kompromittert e-postadresse, noe som gjør svindelen ekstremt vanskelig å oppdage.
Type 2
En annen, mer avansert metode bruker videosamtaler. En «manipulert» e-postadresse fra en høytstående tjenestemann sender «haster» innkallinger til nettmøter til sine ansatte, ofte i finansavdelingen.
Deltakerne ser deretter et bilde uten lyd (eller med falsk lyd), og får forklart at tilkoblingen ikke fungerer som den skal.
Den «administrerende direktøren» ber deretter om at det gjennomføres en bankoverføring til ukjente bankkontoer, hvor pengene raskt sluses ut gjennom andre kanaler (f.eks. kryptovaluta) etter at svindelen er gjennomført.
Type 3
Dette er en variant av type 1, men den retter seg mot forretningspartnere i stedet for ansatte, og kalles fakturasvindel, som bedre beskriver modus operandi.
I dette tilfellet mottar en organisasjons klient en e-post der de blir bedt om å betale en faktura til spesifikke bankkontoer.
Kilde: CBC News
Denne formen for svindel har høyest suksessrate, ettersom det ofte benyttes en hacket firmakonto. Siden e-post er den primære kommunikasjonskanalen for mange profesjonelle, kan dette føre til store økonomiske tap og skade på omdømmet for den berørte organisasjonen.
Hvordan gjenkjenne CEO-svindel?
Som ansatt kan det være vanskelig å avvise en forespørsel fra egen administrerende direktør. Denne psykologien er hovedårsaken til at gjerningsmenn enkelt lykkes med en tilsynelatende tilfeldig e-post.
I tillegg til å stille spørsmål ved økonomiske forespørsler, er det best å be om et videomøte før man «samarbeider».
Ofte er det tilstrekkelig å sjekke e-postadressen nøye. Den tilhører kanskje ikke organisasjonen din, eller det kan være feilstavelser i firmanavnet.
En institusjon kan heller ikke registrere alle domeneutvidelser. Du bør derfor være på vakt hvis du mottar en e-post fra for eksempel [email protected], når den offisielle adressen skal være [email protected].
Du kan også motta e-poster fra en firmakonto som drives «utenfra» eller fra et useriøst internt medlem. Det viktigste i en slik situasjon er å få muntlig bekreftelse, eller å involvere flere ledere før betalinger gjennomføres.
Den mest effektive måten å beskytte organisasjonen din på er å inkludere phishing-simulering i den vanlige opplæringen av ansatte. Disse svindlerne utvikler seg stadig. En enkel advarsel er derfor ikke nok for å beskytte dine ansatte.
Avslutning!
Vi er dessverre svært avhengige av e-post i næringslivet, noe som etterlater store sikkerhetshull som kriminelle ofte utnytter.
Selv om det ikke finnes en erstatning for denne kommunikasjonsformen ennå, kan vi legge til forretningspartnere på applikasjoner som Slack eller WhatsApp. Dette vil bidra til raskt å bekrefte om noe virker mistenkelig, og dermed unngå slike ubehagelige situasjoner.
PS: Hvis jeg var deg, ville jeg ikke gått glipp av denne artikkelen som omhandler ulike typer nettkriminalitet for å øke kunnskapen din om internettsikkerhet.