Tre konkrete råd: Sådan undgår du nemt at blive fuppet med 'CEO-fraud'

CEO-fraud har kostet danske virksomheder mere end 200 millioner kroner i det sidste år, og senest er det gået ud over Statens Museum for Kunst, der blev franarret 805.000 kroner. Tre enkle procedurer kan sikre virksomheden markant bedre mod de falske direktører.

CEO-fraud er it-kriminalitet i rivende udvikling, og det koster danske virksomheder millioner af kroner, når hackere sender falske mails fra direktører til ansatte og får dem til at overføre store beløb til udenlandske konti.

Senest er det kommet frem, at hackere har lokket ansatte ved Statens Museum for Kunst til at overføre 805.000 kroner ved på email at udgive sig for at være direktør Mikkel Bogh.

Hackerne udnytter de ansattes ønske om at gøre det godt på arbejdet, og det er svært at købe et it-sikkerhedsprodukt, der beskytter mod velvilje.

Men ifølge sikkerhedsekspert Rasmus Theede kan man ved hjælp af helt enkle procedurer beskytte sin virksomhed eller organisation mod det meste CEO-fraud.

Etabler et system for finansielle transaktioner
Rasmus Theede er nordisk sikkerhedschef i CSC og har gennem årene arbejdet med it-sikkerhed i både Maersk, KMD og NNIT.

Og ifølge ham handler forsvar mod CEO-fraud først og fremmest om at få etableret de rigtige arbejdsgange.

"Det undrer mig meget, at enkelte ansatte mange steder kan føre penge ud af virksomheden. Så et godt råd er at få de helt basale procedurer for finansielle transaktioner på plads, så der altid er en anden person, der skal godkende overførsler. Hvis du har det på plads, så kræver det i hvert fald, at svindlerne snyder minimum to personer," siger han til Computerworld.

Rasmus Theede tilføjer, at man som fast praksis bør tale med den chef, der efterspørger en stor pengeoverførsel:

"Det er let at indføre, at hvis en transaktion overstiger et givent beløb, så skal man tale med personen i telefon eller ansigt til ansigt. Det er noget sværere at forfalske. Alternativt kan man få sat tofaktor-godkendelse op, så man er sikker på, at det rent faktisk er chefen, der har godkendt det."

Email er usikkert
CEO-fraud forekommer næsten altid i form af falske email-henvendelser fra direktør til ansat, og hvis hackeren bare kender direktørens navn, er det relativt let at skabe en falsk email-adresse, der tilsyneladende tilhører chefen.

Derfor anbefaler Rasmus Theede, at man sætter sit system op til kun at kunne modtage sikre emails.

"Det er vigtigt at forstå, at email som udgangspunkt ikke er sikkert. Enhver email kan forfalskes, og derfor er det en god ide for eksempel at gøre TLS til standarden for mails i virksomheden," siger han.

Han peger på, at TLS er simpel at bruge, da det i de fleste tilfælde kan slås til og fra i en mail-kontos indstillinger:

"Det koster ikke mange konsulenttimer at tjekke det flueben af."

Fortæl intet om din virksomhed
For at CEO-fraud skal fungere, skal hackerne i første omgang vide, hvem den pågældende leder er.

Det er svært at lave identitets-fusk, hvis man ikke kender identiteten.

Derfor er en stor del af de cyber-kriminelles arbejde at skabe overblik over virksomheders organisation, så de kan finde ud af, hvem de skal imitere.

Rasmus Theede har hos tidligere arbejdsgivere oplevet daglige telefonopkald fra kriminelle, der under påskud af forretningsanliggender ville have navne på ledere på forskellige niveauer.

Til sidst havde de totalt overblik over virksomheden, og så begyndte der at tikke phishing-mails ind hos alle chefer.

Derfor anbefaler han, at man gør de falske direktørers arbejde meget sværere ved simpelthen ikke at fortælle nogen, hvem der arbejder hvor i virksomheden.

"Vi har en politik om, at man aldrig udleverer nogen former for information om organisationen, medmindre man kender personen i den anden ende. Det kan være lidt grænseoverskridende, men det gør det noget sværere at kortlægge virksomheden," siger han.

Rasmus Theede understreger, at man aldrig kan helgardere sig mod svindel, hvis man samtidig skal have en dagligdag til at køre:

"Man kan aldrig være 100 procent sikker, men hvis man har de rigtige procedurer, så tager man nok 85 procent af det. Og jeg tror, at der sidder nogen inde på Statens Museum for Kunst og river sig i håret over, at de ikke havde dette her på plads."

Læs også: Morgenbriefing: Statens Museum for Kunst snydt til at udbetale formue via CEO-fraud / Anklage: Bose spionerer via hovedtelefoner og sælger dine data.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Live fra Retten i Glostrup (afsluttet): Retten vurderer: Må Computerworld fortsætte liveblog eller ej?
Live fra Retten i Glostrup: Vi er tilbage i retten til Atea-sagens tredjesidste dag inden jul. Følg med i sagen her live og hør om, hvorvidt en rejse til USA var ren ferie på skatteydernes penge eller ej.
CIO
Efter masser af luksusbilag i Atea-bestikkelsesretssagen: Tiltalte it-topfolk fastholder uskyld - vil frifindes
Efter 18 retsdage med timelange afhøringer af de tiltalte og tonsvis af bilag står sagen stadig åben. "Hvis der er kommet noget frem her under sagen, så er det noget, der taler for vores påstand om frifindelse," mener forsvarer Michael Skjødt.
Comon
Ny topmobilprocessor afsløret: Her er de fire ting, du skal vide om Snapdragon 845
Qualcomm har præsenteret sin Snapdragon 845-chipsæt, som vil være at finde i mange af næste års bedste Android-telefoner. Her er alt, hvad du skal vide om chippen
Job & Karriere
Dansk it-virksomhed indførte fire-dages arbejdsuge: I dag er sygefraværet rekord-lavt og direktøren har tabt sig 13 kilo
Interview: Great Place To Work kategori-vinderen IIH Nordic har indført en fire-dages arbejdsuge og taget et opgør med forstyrrende storrums-kontorer og en frustrerende mailkultur. I dag er medarbejderne gladere end nogensinde før.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.