It-kriminelle kaster sig over stadigt flere raffinerede metoder. En af dem er det såkaldte BEC – Business E-mail Compromise – som vi oplever mange eksempler på især i sommerperioden. Og omfanget frygtes at stige.
Hvordan foregår BEC?
BEC – Business E-mail Compromise, der også tidligere har været kendt som CEO-fraud eller direktørsvindel, foregår sådan, at de it-kriminelle sender en e-mail, der ser ud til at komme fra ledelsen eller en person fra salg, indkøb eller bogholderi, altså fra en person eller afdeling, som typisk sender e-mails vedrørende betalinger eller fakturabehandling
Tidligere var disse e-mails typisk fra topchefen – eller fra en af de andre chefer eller ledere – i virksomheden. Derfor kaldte man det CEO-fraud.
Den falske e-mail kan eksempelvis være sendt til virksomhedens bogholder – og i e-mailen beder chefen eller lederen om at få lavet en eller flere overførsler til banker i udlandet. Penge, som i sidste ende lander hos de kriminelle.
I de mest avancerede sager bliver topchefens e-mail hacket, hvilket gør de it-kriminelle i stand til at være særdeles overbevisende i både sprogbrug og indhold, da de måske gennem længere tid har haft mulighed for at læse chefens eller lederens øvrige e-mails. I flere tilfælde foretager de it-kriminelle også opringninger, hvor de udgiver sig for at være chefen eller lederen, og hvor de beder medarbejderne om at fremskynde overførslerne – fx med henvisning til et fortroligt virksomhedsopkøb i udlandet.
Pas på mistænkelige e-mails om overførsler
Det er vigtigt, at jeres medarbejdere er opmærksomme, når de modtager e-mails om mistænkelige overførsler til banker i lande både indenfor og udenfor Europa. Vi oplever i perioder, at der bliver forsøgt svindel med England, Tyskland og Sverige som modtagerland.
En anden fremgangsmåde er, at kriminelle hacker sig ind i virksomheders e-mail-korrespondancer med leverandører. Virksomheden modtager en mail med opfordring om at ændre afregningskonto for deres leverandørbetaling. Virksomheden bliver opfordret til at betale til en ny og anden bankkonto, som altså tilhører de it-kriminelle.
Sådan kan du sikre virksomheden mod BEC og anden form for svindel:
- Alle medarbejdere, ikke blot i regnskabsafdelingen, skal kende til BEC.
- Sørg for, at jeres procedurer for store overførsler er opdaterede. Fx ved at indføre beløbsgrænser eller overveje, om de rette personer har adgang til at overføre penge, og om en person alene må overføre pengene
- I skal aldrig ændre modtagerkontoen hos en kreditor uden først at have foretaget en kontrolopringning til en person, man kender hos kreditor
- Gennemfør ikke betalinger til kreditorer, I ikke kender uden først at sikre autenticiteten på kreditoren
- Gennemfør aldrig betalinger på grundlag af e-mails, breve, fax eller SMS’er uden først at have foretaget ovennævne kontrolopringning. Det gælder også kontrolopringning til afsenderen af e-mailen
- Indfør en regel om, at direktøren eller andre ledere ikke kan bede om en overførsel uden også at få det bekræftet hos fx økonomichefen eller chefbogholderen
Hvad gør du, hvis virksomheden udsættes for BEC eller anden form for svindel:
- Kontakt banken så hurtigt som muligt. Jo hurtigere du kan forsøge at hjemkalde en betaling, jo bedre. Du skal vedlægge følgende information: Afsendelsesdato, kort redegørelse om sagen/forløbet, bekræft anmodning om returnering samt mailkorrespondancen vedr. den hackede mail. Når banken har modtaget disse oplysninger, kontakter vi modtagerbanken og evt. vores korrespondentbank og anmoder om returnering. Vi gør naturligvis bankerne opmærksomme på, at der er tale om en svindelsag. Det er dog langt fra sikkert, at det kan lade sig gøre at få pengene retur, og det kan desuden være omkostningsfyldt for din virksomhed
- Kontakt dansk eller udenlandsk politi.
Så stort er omfanget af svindelsager
Omfanget af svindelsager er desværre stigende, og i Danmark har vi oplevet sager, hvor virksomheder har mistet mere end 100 mio. kr. som følge af BEC. Svindelen retter sig ikke kun mod store virksomheder, men også mod mange små og mellemstore virksomheder, hvor svindlen typisk beløber sig til tusindvis af kroner og ikke millioner.
