Unngå at svindlere lurer bedriften din for penger: Disse metodene bør du være oppmerksom på
Ber noen deg klikke på en lenke hvor du ikke kjenner til? Eller har sjefen sendt deg en epost om å gjennomføre en betaling til et selskap du ikke har hørt om før? Dette er noen av metodene svindlerne bruker for å bedra norske selskaper for millionbeløp.
7. desember 2020
– Det er flere former for bedrageri norske selskaper står over. Det kan være alt fra fakturasvindel til investeringsvindel. Den mest aktive som vi ser er såkalt «direktørsvindel», sier sikkerhetssjef Jan Daniel Juniszewski i Handelsbanken i Norge.
Selv om norske selskaper har vært usatt for «direktørsvindel» i flere år allerede, er dette en svindelform som stadig vokser i omfang og variasjon både i Norge og globalt.
– Utviklingen er nesten eksplosiv, og vi har sett store saker også her i landet i flere-hundre-millioners-klassen.
Kan utnytte informasjon på selskapets egne nettsider
Det er ofte vanlig å ha informasjon om både selskapet og de ansattes ulike posisjoner på nettsidene for å gjøre det enklere for omverdenen å ta kontakt. Det lokker også til seg kriminelle.
– Informasjon som navn, stillingstittel og kontaktinformasjon til økonomidirektøren, sentrale økonomimedarbeidere eller sjefen i selskapet kan svindlere fritt benytte for å finne ut av hvor de kan angripe.
Sikkerhetssjefen forteller at svindlerne ofte er på jakt etter dem som vil være de naturlige ansvarlige for overføringer, betalinger og lignende.
– Personer med disse rollene kan for eksempel få en hasteforespørsel, som tilsynelatende er fra sjefen, om å overføre penger eller betale en regning til en ny mottaker. Denne er vanligvis i utlandet, og ofte haster det veldig. Begrunnelsen er ofte at det kan få store konsekvenser for selskapet om pengene ikke blir overført.
Ifølge Finanstilsynets risiko- og sårbarhetsanalyse 2020 utgjorde «direktørsvindel» 37,6 prosent av alle svindeltilfeller i 2019 i kategorien for «tap ved svindel gjennom sosial manipulering». Det er en økning fra 11,4 prosent i 2018. For hele denne kategorien skriver Finanstilsynet at tapene trolig er større enn det som er rapportert siden selskapet selv bærer tapet.
Juniszewski forteller at disse tallene være større fordi selskapene muligens ikke ønsker å gå bredt ut fortelle om at de er blitt lurt.
Svindlerne er blitt proffere
Men hvordan opererer egentlig svindlerne, og hvordan har utviklingen vært de siste årene? Her er Juniszewski klar: De kriminelle har profesjonalisert og effektivisert svindelvirksomheten.
– I begynnelsen bar svindel-eposter preg av dårlig språk, hvor det ikke var æ, ø eller å i teksten. Disse epostene var enkle å avsløre. Der svindlerne tidligere benyttet epostadresser som var registrert hos en generell epostleverandør (som blant annet gmail og hotmail), ser vi nå stadig flere tilfeller der svindlerne har infiltrert bedriftens epost-systemer og monitorer den daglige korrespondansen mellom bedriftens ansatte.
Her går svindlerne grundig til verks. De lærer seg hvordan de ansatte, sjefen og økonomidirektøren korresponderer og hva slags formuleringer og ord de bruker, før de venter på å slå til.
– Ofte er sjefen utilgjengelig når de slår til – for eksempel ved reiser. Det kommer da en epost til den med ansvar for økonomien i selskapet om at det haster å få overført penger. I slike tilfeller kommer svindelforsøket på epost fra sjefens e-postadresse. Det gjør det vanskeligere for selskapet å oppdage svindelen før det er for sent.
Jobber aktivt med å avverge svindel
Juniszewski forteller at Handelsbanken i Norge bistår kundene regelmessig med rådgivning og annen bistand for å avverge svindel og hjelpe til dersom svindelen har funnet sted.
– Svindlerne er dyktige til å analysere de selskapene de monitorerer. Dersom de ser at de kan øke utbyttet ved å tappe selskapet for små beløp over lenger tid, er dette ofte en metode de kan finne på å benytte. Det kan for eksempel være selskaper med stor økonomisk mobilitet og som behandler mange fakturaer månedlig, sier han, før han legger til:
– Hvis de derimot ser at det er mulighet for å kunne foreta en større transaksjon, så foretrekker de det. Det kan for eksempel være hvis selskapet et par ganger i året kjøper inn større varepartier.
Sikkerhetssjefen forteller om tilfeller hvor Handelsbankens kunder har opplevd at leverandørene deres i utlandet oppgir nye mottakerkontonumre for betaling av større vareleveranser.
– I ettertid viser det seg at svindlere står bak, og at pengene er tapt.
I Finanstilsynets risiko- og sårbarhetsanalyse 2020 fremkommer det at «endret mottakerkonto» står for 22,7 prosent av alle svindeltilfeller i 2019 i kategorien for «tap ved svindel gjennom sosial manipulering». «Endret mottakerkonto» dette er den nest mest brukte svindelmetoden i denne kategorien etter «direktørsvindel». Også her kan imidlertid mørketallene være store.
Selskaper kan sikre seg bedre mot svindel
Men hvordan kan selskapet sikre seg bedre mot svindlernes sleipe metoder?
– For det første er det viktig at selskapet har en generell sikkerhetsbevissthet blant alle ansatte. Samtlige ansatte utgjør en potensiell risiko og må forstå hvilken funksjon de selv har for å sikre at selskapet ikke blir bedratt, sier Juniszewski, før han legger til:
– Hver enkelt ansatt må vite hvor de er i den store helheten og hvilke mulige risikomomenter som knytter seg til deres konkrete oppgaver og funksjon. Det er viktig. For det totale trusselbildet mot selskaper i Norge i dag, er svært omfattende.
–
For hva utgjør egentlig trusselbildet overfor norske bedrifter i 2020? Ikke bare svindel og bedrageri, men også blant annet industrispionasje og social engineering.
– En god måte å bygge og vedlikeholde en slik bevissthet på er at man sikrer løpende oppfølging og oppfriskning av de ansattes sikkerhetskunnskaper. Når man ser i mediene at andre bedrifter har vært utsatt for svindel, kan det også være lurt å ta en samtale om dette og stille noen spørsmål: Kunne dette skjedd oss? Hvilke svakheter ser vi hos oss som kunne vært utnyttet av svindlerne? Er vi flinke nok til å passe på? Hvor flink er vi til å korrespondere med hverandre og eksterne på epost?
Sikkerhetssjefen understreker viktigheten av at man basert på slik refleksjoner, kan iverksette enkle, men ikke nødvendigvis kostbare, rutiner som gjør bedriften til et vanskeligere mål for svindlerne.
– Selskaper bør ha tydelige interne rutiner for hvordan ukjente eposter skal behandles. Videre bør det etableres en fast rutine for å dobbeltsjekke og om nødvendig trippelsjekker avsenders epost før man går i videre dialog. I tillegg bør selskapene ha gode rutiner og regler for overføring av penger eller varekjøp. Det kan være så enkelt som at beløp over en fastsatt sum, eller nye mottakerkontoer skal verifiseres av nærmeste leder. Dette er rutiner og regler som nok ville ha reddet de aller fleste av selskapene som har vært utsatt for svindel.
Aktiv monitorering av transaksjoner
Selv om bankene har gode systemer for å hindre at kundene skal bli svindlet, hjelper ofte dette lite når det faktisk er kunden som sender en betalingsforespørsel.
– Vi har bygget kompetanse over tid med ansatte som gjenkjenner indikasjoner på at overføringer kan være svindel. Hvis en slik overføring oppdages, tar våre ansatte kontakt med kunden for å bekrefte at denne overføringen faktisk skal finne sted.
Sikkerhetssjefen forteller at kundene i flere tilfeller bekrefter dette.
– Men når vi igjen ber kundene om å bekrefte transaksjonen med nærmeste sjef, ser vi at det til stadighet avdekkes flere svindelsaker. Ved denne metoden har vi forhindret tap for mange av kundene våre.
Juniszewski forteller at det er fornuftig å fokusere på å følge med på trusselbildet norske selskaper står overfor som stadig er i endring.
– Vi analyserer og oppdaterer oss fortløpende om hvilke trender som er aktuelle til enhver tid og hvilke tiltak vi vurderer å implementere for å motarbeide slike trender. På lik linje med andre bedrifter, opplever vi også at svindlerne forsøker å svindle oss direkte. Det er den sikkerhetskulturen vi har klart å bygge opp blant våre ansatte i Handelsbanken som er årsaken til at vi ikke har falt for slike svindelforsøk.
Dette bør du gjøre om selskapet ditt er blitt svindlet
Er selskapet blitt svindlet? Da har sikkerhetssjefen noen tydelige råd:
- Anmeld forholdet til politiet.
- Avklar om svindlerne har kommet seg inn i epost-systemet eller øvrige IT-systemer og om nødvendig sørg for å sanere egne datasystemer.
- Ta kontakt med kunder, leverandører og andre relevante aktører som dere kjøper eller selger varer til for å avklare om de er blitt kontaktet av svindlerne og for eksempel har fått oppgitt nye kontonumre.
- Følg med på kredittvurderinger, endringer i Brønnøysundregistrene, ukjente epost med mer.
- Ta kontakt med selskapets bankforbindelser og informer om svindelen.
Økokrim følger tett med på massebedragerier
Også Økokrim følger utviklingen nøye. I sin trusselvurdering for 2020 er massebedragerier, både mot privatpersoner og bedrifter, en av truslene de har identifisert og fokuserer på.
– Sakene er krevende å etterforske. Ofte krever de omfattende utenlandsetterforsking. Teknologien gjør det enkelt for de kriminelle å skjule sporene. Selv om pengene lar seg spore, kan de ofte være brukt opp eller vanskelig å få igjen. Siden dette kan være svært ressurskrevende å etterforske og straffeforfølge, jobber vi også forebyggende for å hindre at privatpersoner og bedrifter i utgangspunktet blir svindlet, sier politiadvokat Daniel Sollie i Økokrim.
Akkurat som Handelsbankens sikkerhetssjef uttaler, sier Sollie at bedragerne er blitt stadig mer sofistikerte de senere årene. Man behøver ikke være lettlurt for å bli utsatt for nettsvindel.
– Bedragerne retter seg fortsatt mot de samme målgruppene. Det foretas fortsatt eksempelvis kortbedragerier, direktørsvindler, kjærlighetssvindler og investeringsbedragerier. Men teknologien er i stadig endring, og bedragerne tar i bruk ny teknologi for å begå bedragerier som er svært vanskelig å avsløre.
Har sett eksempler på deepfake-manipulering
Politiadvokaten forteller at de har sett eksempler på at deepfake-manipulering av stemme er benyttet ved direktørbedrageri over telefon – blant annet i Storbritannia.
– Deepfake er et fenomen hvor kriminelle bruker teknologi som gjør at man kan manipulere bilde, video eller lyd slik at det fremstår som om du snakker med en du tror du vet hvem er. Det kan for eksempel være sjefen din, mens det i realiteten er en bedrager i andre enden.
For hvert nye teknologiske fremskritt, får også bedragerne mulighet til å ta teknologien i bruk. Deepfake-teknologien er blant annet lett tilgjengelig på internett, og blir stadig enklere å bruke.
– Det er fort gjort å tenke at dette ikke kan skje her, og dermed også være mindre oppmerksomme på denne risikoen. Nettopp dette kan de kriminelle utnytte, sier Sollie.
Pandemien er også et element som har ført til økt digitalisering og virtualisering av hverdagen til mange.
– Selv om det har fordeler, innebærer det også større risiko for bedrageri, siden massebedrageriene ofte er digitale. Hjemmekontor medfører også en økt risiko for direktørbedragerier, som blant annet kan skje gjennom bruk av deepfakes.
Økokrim: Ta deg tid til å tenke deg om
Politiadvokat Sollie forteller at bedragerne gjerne utnytter våre drømmer og håp.
– Er det for godt til å være sant, så er det gjerne nettopp det. Opplever man å havne i en slik situasjon, er det ekstra viktig at man stopper opp og gjør flere undersøkelser for å sikre at man ikke blir lurt. Er man i tvil, bør man la være.
Dersom man blir bedt om å overføre penger til noen man kun har snakket med på telefon eller nett, bør man være på vakt.
– Man bør stille spørsmål ved om man bør overføre disse midlene, og om man kan verifisere ektheten av forespørselen på en annen kanal enn forespørselen opprinnelig kom på, sier Sollie.
– Man bør også være på vakt dersom man føler at man blir presset eller at det haster med å få personopplysninger eller gjennomført betaling. Dersom du ikke får tid til å verifisere betalingen eller mottakeren av personopplysninger, bør du avbryte kontakten.
Politiadvokaten understreker at seriøse aktører vil aldri be deg om å opplyse passord og PIN-koder på telefon eller e-post.
– Utvis alltid nettvett, og ta deg tid til å tenke deg om. Blir du lurt, er du i samme båt som mange andre. Det hjelper ikke å være etterpåklok – det er viktigere og nyttigere å handle raskt. Ta kontakt med banken din, anmeld forholdet til politiet og varsle andre som kan være berørt av bedrageriet.