Tre konkrete råd: Sådan undgår du nemt at blive fuppet med 'CEO-fraud'

CEO-fraud har kostet danske virksomheder mere end 200 millioner kroner i det sidste år, og senest er det gået ud over Statens Museum for Kunst, der blev franarret 805.000 kroner. Tre enkle procedurer kan sikre virksomheden markant bedre mod de falske direktører.

CEO-fraud er it-kriminalitet i rivende udvikling, og det koster danske virksomheder millioner af kroner, når hackere sender falske mails fra direktører til ansatte og får dem til at overføre store beløb til udenlandske konti.

Senest er det kommet frem, at hackere har lokket ansatte ved Statens Museum for Kunst til at overføre 805.000 kroner ved på email at udgive sig for at være direktør Mikkel Bogh.

Hackerne udnytter de ansattes ønske om at gøre det godt på arbejdet, og det er svært at købe et it-sikkerhedsprodukt, der beskytter mod velvilje.

Men ifølge sikkerhedsekspert Rasmus Theede kan man ved hjælp af helt enkle procedurer beskytte sin virksomhed eller organisation mod det meste CEO-fraud.

Etabler et system for finansielle transaktioner
Rasmus Theede er nordisk sikkerhedschef i CSC og har gennem årene arbejdet med it-sikkerhed i både Maersk, KMD og NNIT.

Og ifølge ham handler forsvar mod CEO-fraud først og fremmest om at få etableret de rigtige arbejdsgange.

"Det undrer mig meget, at enkelte ansatte mange steder kan føre penge ud af virksomheden. Så et godt råd er at få de helt basale procedurer for finansielle transaktioner på plads, så der altid er en anden person, der skal godkende overførsler. Hvis du har det på plads, så kræver det i hvert fald, at svindlerne snyder minimum to personer," siger han til Computerworld.

Rasmus Theede tilføjer, at man som fast praksis bør tale med den chef, der efterspørger en stor pengeoverførsel:

"Det er let at indføre, at hvis en transaktion overstiger et givent beløb, så skal man tale med personen i telefon eller ansigt til ansigt. Det er noget sværere at forfalske. Alternativt kan man få sat tofaktor-godkendelse op, så man er sikker på, at det rent faktisk er chefen, der har godkendt det."

Email er usikkert
CEO-fraud forekommer næsten altid i form af falske email-henvendelser fra direktør til ansat, og hvis hackeren bare kender direktørens navn, er det relativt let at skabe en falsk email-adresse, der tilsyneladende tilhører chefen.

Derfor anbefaler Rasmus Theede, at man sætter sit system op til kun at kunne modtage sikre emails.

"Det er vigtigt at forstå, at email som udgangspunkt ikke er sikkert. Enhver email kan forfalskes, og derfor er det en god ide for eksempel at gøre TLS til standarden for mails i virksomheden," siger han.

Han peger på, at TLS er simpel at bruge, da det i de fleste tilfælde kan slås til og fra i en mail-kontos indstillinger:

"Det koster ikke mange konsulenttimer at tjekke det flueben af."

Fortæl intet om din virksomhed
For at CEO-fraud skal fungere, skal hackerne i første omgang vide, hvem den pågældende leder er.

Det er svært at lave identitets-fusk, hvis man ikke kender identiteten.

Derfor er en stor del af de cyber-kriminelles arbejde at skabe overblik over virksomheders organisation, så de kan finde ud af, hvem de skal imitere.

Rasmus Theede har hos tidligere arbejdsgivere oplevet daglige telefonopkald fra kriminelle, der under påskud af forretningsanliggender ville have navne på ledere på forskellige niveauer.

Til sidst havde de totalt overblik over virksomheden, og så begyndte der at tikke phishing-mails ind hos alle chefer.

Derfor anbefaler han, at man gør de falske direktørers arbejde meget sværere ved simpelthen ikke at fortælle nogen, hvem der arbejder hvor i virksomheden.

"Vi har en politik om, at man aldrig udleverer nogen former for information om organisationen, medmindre man kender personen i den anden ende. Det kan være lidt grænseoverskridende, men det gør det noget sværere at kortlægge virksomheden," siger han.

Rasmus Theede understreger, at man aldrig kan helgardere sig mod svindel, hvis man samtidig skal have en dagligdag til at køre:

"Man kan aldrig være 100 procent sikker, men hvis man har de rigtige procedurer, så tager man nok 85 procent af det. Og jeg tror, at der sidder nogen inde på Statens Museum for Kunst og river sig i håret over, at de ikke havde dette her på plads."

Læs også: Morgenbriefing: Statens Museum for Kunst snydt til at udbetale formue via CEO-fraud / Anklage: Bose spionerer via hovedtelefoner og sælger dine data.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Steffen Andersen er en af Danmarks bedste CIO'er: Styrer Adform i et vildt teknologiræs mod gigantiske konkurrenter
Nomineret til Årets CIO 2018: Tag med på et vildt teknologiræs med 2,7 milliarder visninger, budprocesser på 300 millisekunder, millioner af transaktioner i sekundet og konkurrenter som Facebook og Google. Læs her, hvordan Steffen Andersen, CIO hos Adform, sikrer, at virksomheden er helt fremme teknologisk.
Computerworld
Se listen: Disse it-virksomheder drømmer de danske it-studerende om at arbejde for
Konsulenthusene buldrer frem på listen over de virksomheder, som de danske it-studerende helst vil arbejde for. "Konsulenthusene har simpelthen øget kendskabet til sig selv som arbejdsgiver blandt de it-studerende. Det kræver heftig aktivitet på de sociale medier og universiteterne," lyder det fra Universum, der står bag undersøgelsen.
CIO
Allersidste opdatering på vej: Om en uge er det slut med stor-version af Windows 10 - skynd dig at opdatere
Om en uge er det slut for altid med den første store udgave af Windows 10, som Microsoft efter 29 måneder ikke længere vil supportere.
Job & Karriere
Vil strejkende it-folk kunne lægge hele Statens It ned? "Det har vi ingen kommentarer til," lyder den kryptiske melding fra Statens It
50 it-medarbejdere hos Statens It truer med at nedlægge arbejdet i sympatistrejke. Vil det betyde, at Statens It går ned?
Statens It nægter at svare.
White paper
På jagt efter nyt BI-system? … Her er analysen og de 25 vigtigste KPI’er
Et godt BI-system er en central del af en digitaliseret virksomhed. Dette whitepaper fra EG dykker ned i en analyse af de nødvendige overvejelser på det organisatoriske, teknologiske og brugerorienterede niveau. Samtidig får du en liste med 25 vigtige KPI’er inden for ni funktionsområder, så du kan se, hvad andre virksomheder holder øje med.