Hvordan unngå bedrageri mot din virksomhet?
Bedrageri mot små og store virksomheter blir mer målrettet og stadig vanskeligere å avsløre.
Uoppmerksomhet kan påføre virksomheten tap i millionklassen.
I verste fall er det kroken på døren.
Her er enkle råd du kan følge for å unngå å bli lurt, utformet av politiets næringslivskontakter i samarbeid med Telenor og DNB.
De kriminelle blir stadig mer avanserte i sine angrep
Direktør- og fakturabedragerier utgjør en betydelig risiko for norsk næringsliv.
De kriminelle blir stadig mer avanserte i sine angrep, og bruker en kombinasjon av datainnbrudd, moderne teknologi og sosial manipulasjon. Dette kan ramme alle, uansett om man er en stor eller liten virksomhet.
Her gir vi deg klare tips og råd til hvordan du bedre kan sikre bedriften, foreningen eller idrettslaget.
Hvordan vet de så mye om oss?
Etter å ha valgt seg ut et egnet mål, starter informasjonsinnhentingen for bedragerne. På virksomhetens hjemmeside finner man ofte et galleri over nøkkelpersoner
og ledere, deres funksjoner og kontaktinformasjon. Også i sosiale medier og i nettaviser er bedrifter, foreninger og idrettslag ofte eksponert. Et enkelt søk på internettet kan være godt egnet for å innhente nok informasjon om virksomheten for å starte et angrep. Informasjon om oppkjøp, investeringer eller samarbeid er spesielt interessant. Det er organiserte kriminelle som står bak slike angrep. De vil ofte rette angrepet mot en person forholdsvis høyt opp i organisasjonen. Typisk en regnskapssjef eller en CFO. Men alle med betalingsfullmakt i en virksomhet er mulige mål.
Vi har også sett eksempler på at de utnytter e-post-tilgang hos kundeanvarlige for å manipulere andre i virksomheten som kan godkjenne fakturaer eller gjennomføre betalinger.
Slik kan svindlerne lure deg
Et angrep starter ofte med en phishing e-post der de kriminelle sikrer seg brukernavn og passord til en ansatt.
Ved å lese e-post over lang tid, får bakmenn unik innsikt i virksomheten. De vet da nøyaktig hvordan de skal gå frem for å lure noen. For å gjøre terskelen høyere for at de kriminelle skal lykkes med å skaffe seg tilgang til e-post-systemene anbefaler vi to-trinns autentisering ved pålogging til e-postkonto. Da får ikke de kriminelle tilgang hvis de skulle lykkes med å lokke til seg brukernavn og passord. En slik anbefaling gjelder også alle private kontoer man har hvor dette er mulig, som privat e-post og sosiale medier.
Hvorfor min virksomhet?
Det kan være ulike grunner til at akkurat din virksomhet blir valgt ut. Noen kriminelle jobber målrettet, mens andre jobber mer tilfeldig og sprer angrepet sitt. Kanskje er det åpen informasjon på nettet om virksomheten som gjør den interessant? Kanskje er de kriminelle inne i e-postsystemet deres og leser all korrespondanse dere har med kundene fordi en ansatt har vært utsatt for phishing. Når undersøkte virksomheten deres sist påloggingsloggene til Office 365 for å se etter ukjente innlogginger?
Hvordan kommer de i kontakt med oss?
I mange tilfeller er det en av disse metodene
som blir brukt:
- Kompromittering av e-post (BEC)
- Sosial manipulasjon
- Passord-angrep
- Utnyttelse av sårbarhet
Hva kan du gjøre som virksomhet?
- Benytt alltid to-trinns verifisering på all e-post og ikke bruk like passord flere steder. Sørg for god e-postsikkerhet også
teknisk. Om du ikke har egen IT-avdeling, sett krav til leverandøren. - Dersom du blir forespurt endringer fra normal rutine, eksempelvis endring av kontonummer, ikke endre betalingsdetaljer på bakgrunn av e-postdialog.
- Avklar betalingsopplysningene via andre kanaler, helst en kryptert meldingstjeneste. Hvilken kanal man bruker for
å kontrollere betalingsopplysninger bør avtales tidlig, gjerne ved kontraktinngåelse. Husk at selv om din virksomhet
har god e-postsikkerhet, så kan dialogen være kompromittert hos den du prater med. - Vær varsom med hvilken informasjon man legger ut på nettsider om både virksomheten og ansatte.
- Ta umiddelbar kontakt med egen bank og politiet dersom du har blitt utsatt for bedrageri. Kartlegg på forhånd hvordan og til hvem man kan gjør en slik hastehenvendelse, også utenfor bankens ordinære åpningstid.
- Hvis de kriminelle har fått tilgang til e-postsystemene, kan de sette opp automatiske regler. Ta gjennomgang av e-postregler jevnlig da disse ikke slettes når man bytter passord.
- Vurder å gjennomføre en testtransaksjon på et lite beløp hvis du skal sende til nytt kontonummer for å sikre deg om at dette
kommer frem til riktig konto. - Ha en god sikkerhetskultur. Snakk om sikkerhet fra ledelsen og ned og gjør ansatte oppmerksomme på at de kan utgjøre en rolle i kartlegging av virksomheten. Kommuniser at kontroll av informasjon settes pris på og at det ikke er tegn på mistillit.
- Informerte ansatte er verdifullt, men virksomheter er enda bedre rustet dersom de aktivt trener på håndtering av ulike
bedragerimetoder. Hold virksomheten oppdatert på ulike bedragerimetoder og øv med de ansatte i mottiltak. - Oppgrader applikasjoner og operativsystem. Oppdateringer kan være viktig for å tette sikkerhetshull. Registrer gjerne
kjente maskiner og IP-adresser i systemet og blokker for annen bruk av nettet. - NB! Husk å informere eventuelle ferievikarer om hvordan kriminelle opererer og om viktige rutiner da de kriminelle
gjerne slår til i ferietiden.
Kontakt
Telenor:
- Kundeservice 915 09 000
- telenor.no/sikkerhet
Politiet:
- Ring 028000
- tips.politiet
Søgne og Greipstad Sparebank: