Tre konkrete råd: Sådan undgår du nemt at blive fuppet med 'CEO-fraud'

CEO-fraud har kostet danske virksomheder mere end 200 millioner kroner i det sidste år, og senest er det gået ud over Statens Museum for Kunst, der blev franarret 805.000 kroner. Tre enkle procedurer kan sikre virksomheden markant bedre mod de falske direktører.

CEO-fraud er it-kriminalitet i rivende udvikling, og det koster danske virksomheder millioner af kroner, når hackere sender falske mails fra direktører til ansatte og får dem til at overføre store beløb til udenlandske konti.

Senest er det kommet frem, at hackere har lokket ansatte ved Statens Museum for Kunst til at overføre 805.000 kroner ved på email at udgive sig for at være direktør Mikkel Bogh.

Hackerne udnytter de ansattes ønske om at gøre det godt på arbejdet, og det er svært at købe et it-sikkerhedsprodukt, der beskytter mod velvilje.

Men ifølge sikkerhedsekspert Rasmus Theede kan man ved hjælp af helt enkle procedurer beskytte sin virksomhed eller organisation mod det meste CEO-fraud.

Etabler et system for finansielle transaktioner
Rasmus Theede er nordisk sikkerhedschef i CSC og har gennem årene arbejdet med it-sikkerhed i både Maersk, KMD og NNIT.

Og ifølge ham handler forsvar mod CEO-fraud først og fremmest om at få etableret de rigtige arbejdsgange.

"Det undrer mig meget, at enkelte ansatte mange steder kan føre penge ud af virksomheden. Så et godt råd er at få de helt basale procedurer for finansielle transaktioner på plads, så der altid er en anden person, der skal godkende overførsler. Hvis du har det på plads, så kræver det i hvert fald, at svindlerne snyder minimum to personer," siger han til Computerworld.

Rasmus Theede tilføjer, at man som fast praksis bør tale med den chef, der efterspørger en stor pengeoverførsel:

"Det er let at indføre, at hvis en transaktion overstiger et givent beløb, så skal man tale med personen i telefon eller ansigt til ansigt. Det er noget sværere at forfalske. Alternativt kan man få sat tofaktor-godkendelse op, så man er sikker på, at det rent faktisk er chefen, der har godkendt det."

Email er usikkert
CEO-fraud forekommer næsten altid i form af falske email-henvendelser fra direktør til ansat, og hvis hackeren bare kender direktørens navn, er det relativt let at skabe en falsk email-adresse, der tilsyneladende tilhører chefen.

Derfor anbefaler Rasmus Theede, at man sætter sit system op til kun at kunne modtage sikre emails.

"Det er vigtigt at forstå, at email som udgangspunkt ikke er sikkert. Enhver email kan forfalskes, og derfor er det en god ide for eksempel at gøre TLS til standarden for mails i virksomheden," siger han.

Han peger på, at TLS er simpel at bruge, da det i de fleste tilfælde kan slås til og fra i en mail-kontos indstillinger:

"Det koster ikke mange konsulenttimer at tjekke det flueben af."

Fortæl intet om din virksomhed
For at CEO-fraud skal fungere, skal hackerne i første omgang vide, hvem den pågældende leder er.

Det er svært at lave identitets-fusk, hvis man ikke kender identiteten.

Derfor er en stor del af de cyber-kriminelles arbejde at skabe overblik over virksomheders organisation, så de kan finde ud af, hvem de skal imitere.

Rasmus Theede har hos tidligere arbejdsgivere oplevet daglige telefonopkald fra kriminelle, der under påskud af forretningsanliggender ville have navne på ledere på forskellige niveauer.

Til sidst havde de totalt overblik over virksomheden, og så begyndte der at tikke phishing-mails ind hos alle chefer.

Derfor anbefaler han, at man gør de falske direktørers arbejde meget sværere ved simpelthen ikke at fortælle nogen, hvem der arbejder hvor i virksomheden.

"Vi har en politik om, at man aldrig udleverer nogen former for information om organisationen, medmindre man kender personen i den anden ende. Det kan være lidt grænseoverskridende, men det gør det noget sværere at kortlægge virksomheden," siger han.

Rasmus Theede understreger, at man aldrig kan helgardere sig mod svindel, hvis man samtidig skal have en dagligdag til at køre:

"Man kan aldrig være 100 procent sikker, men hvis man har de rigtige procedurer, så tager man nok 85 procent af det. Og jeg tror, at der sidder nogen inde på Statens Museum for Kunst og river sig i håret over, at de ikke havde dette her på plads."

Læs også: Morgenbriefing: Statens Museum for Kunst snydt til at udbetale formue via CEO-fraud / Anklage: Bose spionerer via hovedtelefoner og sælger dine data.



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
På besøg i Fujitsus hovedkvarter i Tokyo: Japanerne er klar til radikalt kursskifte
Fujitsu Labs, Kawasaki, Japan: I mere end 75 år har Fujitsu udviklet og loddet hardware sammen inden for alverdens kategorier. Men løsningerne til kunderne skal ikke længere loddes. De skal programmeres. Det stiller store krav til en virksomhed i færd med en afgørende omstilling.
Computerworld
Se listen: Disse it-virksomheder drømmer de danske it-studerende om at arbejde for
Konsulenthusene buldrer frem på listen over de virksomheder, som de danske it-studerende helst vil arbejde for. "Konsulenthusene har simpelthen øget kendskabet til sig selv som arbejdsgiver blandt de it-studerende. Det kræver heftig aktivitet på de sociale medier og universiteterne," lyder det fra Universum, der står bag undersøgelsen.
CIO
Sådan kan du stå imod, når hackerangrebet rammer: 16 nye anbefalinger fra politiet
En ny vejledning fra Rigspolitiet og Dansk IT skal hjælpe danske virksomheder med at få bedre styr på it-sikkerheden. Se her, hvad du bør gøre før, under og efter du bliver ramt af et hackerangreb.
Job & Karriere
Vil strejkende it-folk kunne lægge hele Statens It ned? "Det har vi ingen kommentarer til," lyder den kryptiske melding fra Statens It
50 it-medarbejdere hos Statens It truer med at nedlægge arbejdet i sympatistrejke. Vil det betyde, at Statens It går ned?
Statens It nægter at svare.
White paper
Sådan indfrier du virksomhedens digitale potentiale - og her giver det mest værdi at starte
Digitalisering er det altafgørende omdrejningspunkt for mange virksomheder. Men hvor tager man fat, så det giver mest værdi? EG har identificeret fem helt centrale områder, hvor der typisk er et perfekt match mellem virksomhedens behov og de teknologiske muligheder. Læs dette whitepaper og få indblik i, hvordan vidt forskellige virksomheder har grebet det an. 14 sider på dansk.