CxO svindel
CxO svindel
- Sikkerhet

Slik blir ledere forsøkt svindlet

Skrevet av: Hilde Martinsen
Publisert: 9. juni 2021 kl. 12:00

Direktørsvindel, Whaling, CEO-fraud, spoofing, vishing eller CxO-svindel er et stadig økende problem. Målet er direktører, ledere og andre nøkkelpersoner med myndighet til å foreta større økonomiske utbetalinger.

Ved whaling ønsker de kriminelle gjerne å lure til seg sensitiv informasjon fra ledere. En CxO-svindel ønsker å lure ansatte til å tro at ledere i firmaet vil ha dem til å godkjenne en større pengetransaksjon. Metodene som brukes er sammensatte av ulik sosial manipulering og består gjerne av både e-post og telefonhenvendelser for å effektuere svindelforsøket. Penger er målet med svindelen.

CxO-svindlerne forbereder seg godt

Svindlerne bak henvendelsene har ofte gjort forundersøkelser som gjør at de har et internt språk, og refererer til intern informasjon, noe som får hele henvendelsen til å fremstå veldig profesjonell og riktig. I 2019 ble et verdensomspennende norsk selskap forsøkt svindlet på denne måten for 500 millioner norske kroner. De lyktes å stoppe majoriteten av overføringen, men svindlerne slapp unna med over 100 millioner kroner. Og i 2020 ble DNB sine bedriftskunder forsøkt bedratt for 138 millioner kroner.

Slik angriper trusselaktørene

Digitaliseringen påvirker i økende grad arbeidslivet, næringslivet og hverdagen vår. I det fysiske liv har vi lang erfaring med å beskytte oss, men på nett er mange fremdeles i startgropa når det kommer til å skaffe seg forståelse for digital sikkerhet. Vi har sett nærmere på anatomien bak angrepene.

Sosial manipulering

Kort fortalt er sosial manipulering sikkerhetsangrep, eller digitale svindelforsøk. Brukt for å lure til seg sensitiv informasjon du sitter på og som kan brukes for å svindle til seg penger. 

Det finnes flere former for sosial manipulasjon phishing, whaling, spear-phishing, vishing, spoofing, baiting, elicitation, pretexting, tailgating, malvertising og e-post fra en venn. Dette er relativt enkle metoder, men de kan lede til katastrofale konsekvenser for deg og din virksomhet.

Lær mer om sosial manipulasjon nå

Phishing

Er betegnelsen på digital snoking eller fisking etter sensitiv informasjon som passord eller kredittkortnummer. De fleste av disse digitale angrepene startet med en e-post. En vanlig framgangsmåte er at en person sender deg en e-post og utgir seg for å være fra for eksempel en kjent bank.

Lær mer om hvilke grep du kan ta for å forhindre det

Spoofing

E-postmeldinger som henvises til som phishing eller spoofing blir mer og mer vanlig og kan fremstå som helt legitime ved å inkludere bedriftsnavn, riktig logo, farger og juridiske ansvarsfraskrivelser. En forfalskning av avsender omtales innen datasikkerhet som spoofing.

Spear-phishing

Også kalt spydphiske, er en selektiv, avansert og sofistikert form for phishing. Den retter seg som regel mot bedrifter. Her samler svindlerne på forhånd inn infor­masjon om selskapet, leverandører, avtaler og samarbeidspartnere. Denne informasjonen brukes så til å bygge kredibilitet i en e-post, ved å referere til interne ting og navn som er kjent for mottag­eren. Dette gjøres for å få tilgang på sensitiv informasjon og innpass i bedriftens nettverk, eller for utsendelse av falske fakturaer.

Voice-phishing eller Vishing

Når en svindler lager et automatisk talesystem for å foreta oppringninger til telefonbrukere for å be om privat informasjon kalles det vishing eller voice-phishing. Hensikten er den samme som med e-post-phishing eller SMS-phishing.

Sikkerhetstips mot Cxo-svindel

Denne typen svindel har økt i omfang, og siden det er store penger å tjene her forventer vi at de kriminelle vil fortsette å bruke denne metoden også fremover. Vårt råd til virksomheter er å innføre krav om minimum to personers godkjenning før større pengeoverføringer kan gjennomføres. Altså en 2 trinns verifisering i menneskelig form.

For å sikre tilganger til digitale systemer gir et enkelt grep et ekstra lag med sikkerhet. Dette tiltaket er enkelt, men effektivt – ta i bruk tofaktorautentisering for pålogging der dette er mulig.

Få med deg denne bloggposten for å lære mer om multifaktorautentisering

Du kan også sørge for at du har et oppdatert sikkerhetsprogram på maskinen din. Svindlerne jobber hardt og raskt for å lage autentiske e-poster, og de gjør det så bra at spamfilteret kan ha problemer med å fange dem opp. Obligatoriske og jevnlige patchinger er en enkel og lur måte å ta opp kampen mot svindlerne.

Vi kan også anbefale deg å ha en E-mail Security tjeneste som gir deg trusselbeskyttelse for innkommende og utgående e-post, i tillegg til kryptering og datatapsbeskyttelse. E-post er en av de mest utbredte kanalene for dataangrep, og estimert er over 90% av alle e-poster uønsket. E-postsikkerhet sørger for kryptering av e-post og beskyttelse mot tap av data og minimerer angrepsflaten og svindleres mulighet til å manipulere menneskelig oppførsel i forbindelse med bruk av e-postklienter.

Enda et godt hjelpemiddel for å blokkere “skadelige” nettsider er Secure DNS. Det gir deg full synlighet over bedriftens internettaktivitet, har mulighet for URL-filtrering og er et effektivt virkemiddel mot «phishing»- kampanjer.

Ønsker du flere sikkerhetstips bør du få med deg saken: Disse grepene sikrer bedriften din mot «direktørsvindel». Her gir sikkerhetsekspert Jan-Petter Torgersrud i Telenor deg 8 råd mot svindel.