Politiet modtager dagligt anmeldelser om CEO-fraud

På en daglig basis bliver organisationer i Danmark udsat for CEO-fraud.

Politiets nye landsdækkende center for it-relateret økonomisk kriminalitet, LCIK, modtager 1-2 anmeldelser om dagen om CEO-fraud.

Det skriver Politiken.

CEO-fraud, også kaldet BEC-fraud (Business Email Compromise), dækker over den form for svindel, hvor kriminelle forsøger at narre penge fra en virksomhed ved eksempelvis at sende en mail til en regnskabsmedarbejder, hvor mailen er udformet, så den ser ud til at komme fra virksomhedens direktør.

Ifølge et skøn fra bankernes brancheorganisation, Finans Danmark, har denne form for svindel påført danske virksomheder et samlet tab på 120 millioner kroner i det første halvår af 2019.

»Det her er den største økonomiske cybertrussel lige nu. Men til forskel fra andre svindeltyper så rammer CEO-fraud alle segmenter, lige fra multinationale selskaber til blikkenslagere og den lokale badmintonklub. Alle kan blive ramt,« siger CTO ved CSIS Jan Kaastrup til Politiken.

DMARC

DMARC-teknologien kan være et medvirkende værn til at beskytte medarbejdere i en virksomhed mod de allermest vellignende svindelmails.

Læs også: Trods nyligt phishing-misbrug: Stadig ingen DMARC-beskyttelse på officielt Nets-domæne

DMARC kan kort fortalt forhindre, at hvem som helst kan sende en mail til eksempelvis en regnskabsmedarbejder, hvor der for eksempel står ceo@virksomhedsnavn.dk i mailens synlige afsenderfelt.

Center for Cybersikkerhed har siden 2017 anbefalet danske organisationer at implementere DMARC(PDF). CFCS har lavet en vejledning om emnet, den ligger her.

I 2018 udgav CFCS i øvrigt en trusselsvurdering for finanssektoren (PDF), hvor netop BEC-fraud nævnes som en udfordring.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Nu handler denne historie ganske vidst ikke om CEO-fraud, men økonomisk kriminalitet er det da - og her gør man ikke noget, selv omd et er millionsvindel, og den skyldige er kendt - og stadig aktiv:
https://nyheder.tv2.dk/2019-10-11-andelsforening-meldte-direktoer-til-po...

Og begrundelsen (som de ikke rykker ud med i udsendelsen)? Politisk prioritering af personfarlig kriminalitet:
https://nyheder.tv2.dk/2019-10-15-fyns-politi-derfor-er-vi-endnu-ikke-ga...

Nu kan det jo umiddelbart lyde rimeligt, at man priorieterer mennesker over penge. Det "kriminelle" i argumentet går jo på, at man ikke har sørget for, at politiet har ressourcer nok til også at følge op på andre former for kriminalitet.

Måske bruger man for mange ressourcer på fejlslagen digitalitis? Tænk, hvor mange ressourcer det koster at rydde op efter teledata-skandalen. Og fremover skal politiet så bruge mange ressourcer på at sikre, at disse data faktisk kan bruges til noget uden fare for retssikkerheden.

Måske ville flere betjente, som faktisk ved, hvad de laver, være et bedre valg? Eller er der topfolk i samfundet, som nyder godt af, at fokus lige nu stort set kun ligger på personfarlig kriminalitet?

  • 3
  • 0
Knud Larsen

Nu kunne man jo starte med at prioritere anderledes.
Hvordan og hvornår er det blevet sådan at samtlige ministre skal politibeskyttes 24/7 f.eks. Skatteministeren.
Med biler politi med mere koster det i omegnen af 5 mio kr mere end ministerløn, folketingsløn og tillæg og pensioner.

  • 2
  • 1
Henrik Biering Blogger

Principielt er jeg enig med dig. Men omvendt er det vel klart at vi ikke alle kan gå med hovedet under armen og så forvente at der er bunker af efterforskningsresurser til ting som folk kunne have undgået ved at udvise almindelig omhu og forsigtighed, jf. for eksempel artiklens henvisning til at benytte DMARC og tjekke afsenderadressen.

Hvis vi vil have et fungerende retssamfund er det væsentligt at vi alle bidrager til at forebygge kriminaliteten. Ellers ender vi jo med at halvdelen af befolkningen skulle være ansat i politi og retsvæsen.

I det tilfælde du nævner har boligforeningerne åbenbart givet udenforstående helt selvstændig adgang til deres konti. Det er simpelthen for dumt at betalinger ikke supplerende skal godkendes af kasserer eller formand. Og I det mindste kunne man ved at have abonneret på CVR ændringer på firmaet DKadministration allerede i efteråret 2017 (ændring af indeværende regnskabsår til 1,5 år) samt sommer 2018 (fyring af den pågældende direktør kort før udgangen af det forlængede regnskabsår - og længe før november 2018) have fået en kraftig indikation for at noget var helt galt i DKadministration, så man kunne have inddraget den pågældendes selvstændige adgang.

  • 3
  • 0
Anne-Marie Krogsbøll

Tak for svar, Henrik Biering.

Du ar selvfølgelig ret i, at det er bedst, at vi selv forebygger - men jeg synes nu, at du stiller meget store krav til, hvad den almindelige befolkning skal kunne have indsigt i. Mht. andelsforeningen så kan jeg da forestille mig, at man netop hyrer et administrationsselskab, fordi man ikke selv er så "stiv" i den slags. I så fald er det måske en risiko, man slet ikke ved eksisterer.

Man kan så undre sig over disse CEO-frauds, som åbenbart bliver ved og ved - for det burde jo være noget, som der er stort fokus på i virksomhederne. Men her må jeg vel endnu en gang henvise til, at ingen sikkerhedsforanstaltninger ser ud til for alvor at kunne hamle op med "den menneskelige faktor" i den gennemdigitaliserede verden. Og ønsker vi virkeligt at gøre op med "den menneskelige faktor"? Det er vel også den, som i et eller andet omfang adskiller os fra robotter - og det er jeg da glad for.
"»Jeg er ikke en robot«-tests
Sikkerhedsfunktion på hjemmesider, hvor du får forevist en række felter, og så skal du klikke dem af, der forestiller trafiklys. Hvem i helvede havde forudset, at det ville blive definitionen på at være menneske?"

(fra "Listen" i Politiken: https://politiken.dk/ibyen/klummer_ibyen/listen/art7431947/Om-jeg-skal-m... )

Jeg ved ikke, hvad løsningen er, selv om det selvfølgelig er vigtigt at få virksomhederne til at undervise deres ansatte, og udstikke klare procedurer for den slags. Men nu er det vel ikke sådan, at forbrydelser ikke skal efterforskes og opklares, hvis man på en eller anden måde selv har dummet sig?

  • 0
  • 0
Hans Nielsen

Send fluks den ene milliard til mig.

De "gode" foreslag kunne jeg også godt have formidlet Der manger meget mere, hvis man virkeligt ville have øget sikkerheden. Som valg af browser, og blokereing af Flash, (meget) java, og add blocker.

3part programmer/reklamer banner som indsamler oplysninger, er jo også en stor kilde til virus og malware.
Her kunne et direkte ansvar også økonomisk til hjemmeside for skader fra malware og virus, fra 3 parts være en løsning.

Selv om man ikke får manget for penge idag, så lyder det som vi til nu, har fået særdeles lidt for pengene.

Hvis jeg skulle have følt vi have fået meget for pengene, så skulle de have lavet en gratis eller hjulpen med udviklingen af andre gratis, GPL/FOSS udviklet password husker, som de evt kunne testet for sikkerheds huller og oversatte til Dansk, samt hjælpe med vedligeholdelse. Til brug på Apple, Linux, Windows og Andriod.

Så kunne de samtidigt med anbefalinger, også anbefale bruge af, eller henvise til det specifikke program.

Hvis der var en milliard til overs, så kunne de til rettet den så den virker med (nye) løsninger fra Eboks og NEMID.

Samt lave den sådan, at man meget meget nemt kunne anmelde, SPAM, Virus, Forsøg på svindel, Ulovelig sider. Så fik de også noget mere data, så de måske kunne værer mere aktiv, hvis der var større angreb på vej. Eller de kunne hurtigere efterforske eller lukke angreb ned.

  • 0
  • 0
Log ind eller Opret konto for at kommentere