CEO-fraud – pas på, når chefen går på ferie

CEO-fraud er cyberkriminalitet, hvor en hacker fx sender en ofte velformuleret og tilsyneladende troværdig mail og udgiver sig for at være topleder i en virksomhed. En medarbejder – typisk en ansvarlig i økonomi- eller HR-afdelingen – vil blive bedt om at overføre penge, sende personfølsomme oplysninger eller lignende.

CEO-fraud er - modsat andre typer cyberkriminalitet - social engineering målrettet en bestemt modtager – ofte udført med præcis timing og grundig research. Det er en udspekuleret metode baseret på tillid og manipulation. Der vil typisk blive spillet på relationen – det tætte fortrolige samarbejde, hvor andre ikke må involveres, og en stram tidsramme, hvor der skal handles hurtigt.

Derfor er det også særligt i ferietid, man skal være opmærksom – for her er man måske mere tilbøjelig til at slække på sikkerhedsprocedurer, tænker ikke over lidt mere usædvanlige ordrer og accepterer, at noget skal gå særligt hurtigt eller ikke behøver involvere for mange.

Og det er netop dét, svindlerne ved.

Ofte kan forarbejdet være så grundigt, at svindleren ved, hvor direktøren er på ferie, hvem han rejser med og andet, der får mailen til at virke troværdig. Der bruges typisk spoofing eller kompromitterende e-mailkonti, så det ikke opdages af sikkerhedssystemer, og der er ikke tale om spam eller automatiserede phishing-mails, men et målrettet angreb, hvor den enkelte medarbejder er eneste stopklods. Et enkelt forkert klik kan betyde tab på flere hundrede tusinde eller millioner kroner – og kan ikke trækkes tilbage.

Derfor er det vigtigt, at man ved, hvad man skal være opmærksom på.

Træn jeres sikkerhedsbevidsthed

• Oplær medarbejdere i cybersikkerhed og social engineering
• Tjek e-mailadresser nøje, når der anmodes om en særlig handling – falske domæner kan ligne de rigtige meget
• Vær mistænkelig ved anmodning om større pengeoverførsler, videresendelse af personfølsomme oplysninger og lignende
• Kræves der ekstraordinær hurtig overførsel af penge eller informationer – og lægges der usædvanlig vægt på fortrolighed og diskretion ¬– bør man tænke sig om en ekstra gang

Indfør kontrolmekanismer for betalinger 

• Indfør klare procedurer for godkendelse af overførsler
• Verificer altid usædvanlige anmodninger – fx med et telefonopkald
• Send aldrig følsomme data uden kryptering eller verificering

Forhindr teknisk sårbarhed

• Gør det sværere at forfalske virksomhedens e-mails
• Stil krav om stærke adgangskoder, som jævnligt skal ændres og ikke bør genbruges, så I mindsker risikoen for, at hackere får adgang til e-mailkonti
• Indfør to-faktor godkendelse for e-mailkonti, så det bliver sværere at hacke sig ind, og brug altid to-faktor godkendelse ved større betalinger

Vær særlig opmærksom i ferier og pressede perioder 

• I perioder med særlig travlhed og i ferietid, hvor mere atypiske anmodninger kan finde sted – eller måske endda med ferieafløsning – kan man måske blive mere tilbøjelig til at følge instrukser uden kritisk eftertanke. Vær derfor ekstra opmærksom i ferietid.