Falske direktørmails i kraftig stigning: Danske virksomheder malkes for millioner

Danske virksomheder har i anden halvdel af 2016 mistet mere end 180 millioner kroner, fremgår det af trusselsvurdering fra Center for Cybersikkerhed.

Sidder du i økonomiafdelingen og modtager en mail fra direktøren, der beder dig overføre 2 millioner kroner til en konto i udlandet straks, så kan det være en god idé lige at klappe hesten, inden du trykker ‘overfør.’

I en nyudgivet trusselsvurderingsrapport fra Center for Cybersikkerhed (CFCS) fremgår det, at der i 2016 har været en kraftig stigning i svindelsager, hvor aktører ved hjælp af social engineering narrer medarbejdere i virksomheder til at overføre penge eller uforvarende give adgang til systemer i den tro, at medarbejderen agerer på en ordre fra ledelsen.

CFCS henviser i den forbindelse til oplysninger fra Rigspolitiets Nationale Cyber Crime Center (NC3), der viser, at cyberkriminelle særligt i sidste halvdel af 2016 har udset sig danske virksomheder som mål for denne type svindel.

En svindel, der ikke alene kan have økonomiske konsekvenser:

»Især i sidste halvdel af 2016 har de udset sig danske virksomheder som mål. Alene i sager anmeldt til politiet i denne periode har danske virksomheder lidt tab for over 180 mio. kr. De økonomiske tab har naturligvis store konsekvenser for de ramte virksomheder og kan også få store personlige konsekvenser for de medarbejdere, der er gået i fælden,« skriver CFCS.

Svindlen kaldes i rapporten Business Email Compromise (BEC) og er også kendt som ‘CEO Fraud’.

BEC-svindel er ikke forbeholdt private virksomheder. I maj 2016 blev Patent- og Varemærkestyrelsen udsat for svindel-fænomenet, der til at starte med resulterede i, at 6,7 mio. kroner blev ført ud af styrelsen.

Pengene kom dog via et samarbejde mellem myndigheder og banker tilbage igen en lille uges tid senere.

Af CFCS-rapporten fremgår det, at BEC-svindel i stigende grad foregår via organiseret kriminalitet, hvor hackerne danner 'firmaer', der specialiserer sig i svindlen.

»De kriminelle firmaer har bl.a. medarbejdere, som er specialiserede i udvalgte sprogområder, eller som står for profilering af målvirksomhedernes ansatte for at finde ud af, hvilke ansatte der har hvilke adgange eller vil være mest tilbøjelig til at tro på en falsk e-mail. Firmaerne har også underleverandører til f.eks. hvidvaskning af penge,« står der i rapporten.

Andre trusler

I trusselsvurderingen kommer CFCS omkring en række andre trusselsscenarier. Eksempelvis oplyser CFCS, at truslen fra cyberspionage mod danske myndigheder og private virksomheder er MEGET HØJ. Cyberspionage udnævnes i rapporten som den alvorligste cybertrussel mod Danmark.

CFCS vurderer, at det især er fremmede stater, der står bag angreb af denne type. Og staternes interesse i at spionere mod Danmark kan være både strategisk, politisk og kommerciel, fremgår det af rapporten.

»Formålet med cyberspionage kan f.eks. være at få indsigt i den politiske forberedelse forud for vigtige forhandlinger eller at kopiere en virksomheds produkter og intellektuelle ejendom for at opnå en konkurrencemæssig fordel,« oplyser CFCS.

I forhold til cyberspionage fremhæver rapporten en teknik kaldet »hack og læk,« som beskrives som værende i vækst.

Teknikken går ud på, at fremmede stater ved selektivt at lække oplysninger fra hackerangreb forsøger at påvirke politiske og demokratiske processer og folkestemninger i det offentlige rum.

Som eksempler på denne teknik, så nævner rapporten lækket i kølvandet på hacket af Demokraternes Nationale Komité i USA, og en stigning i antallet af spear-phishing-angreb mod tyske partier, som den tyske sikkerhedstjeneste ser som et forsøg på at påvirke det kommende forbundsdagsvalg.

Cyberterror

Udover at vurdere truslen fra cyberspionage som værende meget høj, så vurderer CFCS truslen fra cyberkriminalitet (herunder Ransomware, DDoS og BEC-svindel) som værende meget høj. Truslen fra cyberaktivisme (også kaldet hacktivisme) vurderes til at være middel, mens truslen fra det, der kaldes cyberterror - heldigvis - vurderes til at være lav.

I forhold til cyberterror, så dækker begrebet i denne sammenhæng alene over terrorhandlinger via internettet med det formål at forårsage død eller voldsom ødelæggelse.

»CFCS vurderer, at aktører, som er kendt for forsøg på eller har udtrykt intention om at begå konventionel terror, såsom militante islamistiske grupper, ikke på nuværende tidspunkt har den fornødne kapacitet til at begå cyberterror. Det er sandsynligt, at militante islamistiske grupper ønsker at opbygge en cyberkapacitet, men det er ikke højt prioriteret på kort sigt,« står der i trusselsvurderingen.

Og i den forbindelse påpeger CFCS, at terrorgruppers øvrige brug af internettet til ondsindede formål betragtes derfor ikke som cyberterror. Det vil eksempelvis sige cyberhændelser, der chikanerer eller generer, såsom defacement af hjemmesider, eller kriminelle handlinger med henblik på terrorfinansiering.

Truslen fra Cyberterror vil dog stige, påpeges det i rapporten, hvis det lykkes terrorgrupper at tiltrække medlemmer med tilstrækkelige tekniske færdigheder, eller hvis etablerede hackere bliver radikaliseret. Desuden kan trusselsbilledet også forandre sig, hvis terrorister køber sig til services via internettets sorte markeder, bemærker CFCS.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Schack

At dømme ud fra tallene i denne DK-Hostmaster opgørelse https://www.dk-hostmaster.dk/da/news/undga-falske-e-mails-med-dmarc , så ligger vi helt i bund i Europa i forhold til at forebygge phishing.
Så ja, de kriminelle ville da være godt dumme hvis ikke de groft udnytter vores soven i timen.

CFCS, NC3, Digitaliseringsstyrelsen og sikkerhedsfirmaerne er alle tavse som graven når det drejer sig om email sikkerhed, de nøjes med at konstatere der er et problem.

  • 8
  • 0
John Foley

Hvorfor blive ved med at poste milliader af skattekroner efter institutioner og myndigheder, der ikke magter opgaven med at sikre samfundet og befolkningen i cyberspace? Det eneste der oplyses, er banaliteter, som alle i forvejen kender til. Bevisførelse og dokumentation udebliver. Så er det jo en billig omgang at spille kloge, og fremstå som sandhedsvidner. Hvem kontrollerer kontrollanterne? Ingen.

  • 7
  • 0
Kim Rasmussen

Problemet er jo at de ikke sendes fra falske adresser. De seneste CEO Fraud mails jeg har set, er sendt fra @aol.com bare med CEOens navn.

Det kan jeg ikke umiddelbart se hvordan man kan undgå?

Det bedste råd mod det er vel at have nogle procedurer for større overførsler.

  • 1
  • 0
Henrik Schack

Problemet er jo at de ikke sendes fra falske adresser. De seneste CEO Fraud mails jeg har set, er sendt fra @aol.com bare med CEOens navn.


Sidst jeg så en, var den sendt fra CEO's email adresse til CFO's emailadresse, der var også en Reply-To header, så en dialog kunne gennemføres hvis nødvendigt.

Firmaet har idag en DMARC reject policy, det tog ialt ca. 1 time plus 1 time, afbrudt af en uges tid til at indsamle DMARC rapport data.

  • 0
  • 0
Henrik Schack

Det bedste råd mod det er vel at have nogle procedurer for større overførsler.


Jeg tror den den bedste løsning er en kombination af teknik, procedurer og uddannelse af brugere.

1) Lad DMARC sørge for "grovsorteringen" således de mest veludførte falske emails slet ikke kommer igennem. Det er godt for dig selv, dine samarbejdspartnere og ikke mindst dine kunder. Gør man sig inden for email marketing er DMARC også en god ting, Google beder om det i deres Bulk Sender Guidelines.

2) Som du nævner, faste procedurer og nok også lidt uddannelse af brugere (lær at kigge på det der From: felt)

  • 0
  • 0
Henrik Schack

Hvad angår falske emails fra @aol.com, så har AOL haft en DMARC reject policy i nogle år, dvs hvis der havde været et inbound DMARC tjek på den pågældende mailserver, så var den email ikke blevet leveret.

Apple er generelt ikke så gode til email sikkerhed, de har kun en None policy i deres DMARC record, så den email ryger igennem et inbound DMARC tjek.

  • 0
  • 0
Henrik Schack

Ja hvis den rent faktisk er afsendt af en AOL server så vil den ryge igennem et inbound DMARC check, den manglende DKIM signatur betyder ikke noget hvis den er DMARC SPF aligned. Emailen er som sådan en ægte AOL email.
I sådan et tilfæde er man afhængig af modtageren kan finde ud af at kigge på From: adressen.

Havde der været tale om en eller anden bandit på en tilfældig russisk ipadresse så var den med sikkerhed stoppet, hvis vedkommende forsøgte at misbruge en @aol email adresse.

  • 0
  • 0
Rasmus Rask

https://www.version2.dk/blog/falsk-faktura-957127 er Oles teori at brugerens brugernavn og password er kompromitteret og e-mailen vil kom fra deres eget mailsystem.

Jeg kender til et konkret eksempel på samme type svindel, hvor "spear-phishing" blev brugt til at skaffe sig adgang til en eller flere brugeres brugernavn/password, og svindel e-mails beviseligt blev sendt via organisationens eget mailsystem.

Det kan DMARC vel ikke beskytte imod?

  • 0
  • 0
Henrik Schack

Det kan DMARC vel ikke beskytte imod?


Det kommer lidt an på de nærmere omstændigheder omkring hvordan brugernavn/kodeord er blevet erhvervet.
Tager vi et eksempel hvor medarbejderne modtager en falsk email fra sysadmin i firmaet som beder dem skifte kodeord, så ville det ihvertfald ikke være dårligt med DMARC implementeret. Falder medarbejderne derimod for en email afsendt fra en tilfældig hotmail adresse, så er der ikke rigtig noget at gøre.

Der er flere ting i DMARC, du slipper for de bedst udførte spear phishing emails som anvender dine egne email adresser, og derudover sender du via DNS et tydeligt signal til de kriminelle om at du ikke er vendens nemmeste offer for den slags kriminalitet.

Dermed ikke sagt at brugerne ikke også skal være opmærksomme.

  • 1
  • 0
Log ind eller Opret konto for at kommentere