Sådan undgår du CEO-fraud - og der er ingen lavthængende frugter

Det er ikke nogen triviel opgave at undgå mailsvindel, hvor nogen giver sig ud for at være direktør i en virksomhed uden at være det.

»HASTER: Overfør straks 1 mio. kroner til kontonummer 1234 5678901. Mvh chefen.«

Fænomenet kaldes af flere CEO-Fraud. Svindlen går ud på, at nogen udgiver sig for at være direktør i mails sendt til ansatte i en virksomhed - altså uden faktisk at være direktør. Og den form for svindel kan blive en dyr fornøjelse for virksomheden.

Eksempelvis var det forleden lige ved at gå helt galt for den danske Patent- og Varemærkestyrelse (PVS). Her havde en medarbejder modtaget en mail om at overføre 6,7 mio. kroner til en konto i forbindelse med køb af aktier i en kinesisk virksomhed. Mailen så ud til at komme fra direktøren i PVS, men i virkeligheden var der tale om rendyrket svindel.

Pengene blev overført. Det lykkedes dog for PVS at få dem igen efter en lille uges tid, efter at blandt andet Danske Bank og kinesiske myndigheder var involveret i sagen.

Det er selvsagt ikke en ønskværdig situation at havne i. Men det er ikke helt trivielt at undgå, at svindlere på den måde narrer ansatte til at gøre noget uhensigtsmæssigt, påpeger Henrik Kramshøj, der blogger på Version2 om it-sikkerhed.

»Der er ikke nogen direkte lavthængende frugter. Det, jeg synes, man bør gøre - specielt når man taler den størrelsesorden (som beløbet ved PVS-sagen, red.) - det er, at man insisterer på at bruge den procedure eller det workflow, man allerede har.«

Insistér på procedurer

En procedure i forbindelse med overførsler kunne være, at en medarbejder godt kan lave et betalingsforslag i systemet, men en chef skal godkende det, for at det går endeligt igennem. Og hvis chefen ikke har mulighed for at godkende det, så må chefen ringe op og via tale sige, at betalingen skal godkendes, fortæller Henrik Kramshøj.

»Man skal simpelthen insistere på at benytte etablerede procedurer. Og grunden til, man skal gøre det, det er, at de sikrer separation of duties, så der ikke er en enkelt person, der kan overføre.«

Og hvis ikke der allerede procedurer for eksempelvis pengeoverførsler, så skal virksomheden sørge for at få dem på plads, påpeger Kramshøj.

Særligt her op mod sommerferien er det en god idé at holde fast i sine procedurer. For i denne periode hiver de danske organisationer nemlig vikarer ind. Og de skal også opdrages til at overholde retningslinjerne i organisationen, mener Kramshøj.

»Sommer er der, hvor man har mange vikarer, hvor nogen er på ferie, og hvor de kan være svære at nå, hvis de er på vandretur i Norge. Så det er der, man skal tænke lidt på sine etablerede procedurer. Hvem er backup for en person, og hvem kan godkende en betaling,« siger han.

Desuden er det en god idé at være skeptisk. Henrik Kramshøj peger på, at danskerne generelt bryster sig af at være skeptiske i stedet for blot at klappe hælene sammen, når nogen stikker en ordre ud. Og den skepsis er sund at holde fast i, mener han.

»Danske virksomheder bør være bedre til ikke at falde for den der med, at tingene haster. Der er altså ikke noget, der haster mere, end at det kan vente til i morgen. Vær lidt mere skeptisk, tingene kan godt vente til et døgn efter.«

Men hvad med it'en?

CEO-Fraud gør eksempelvis brug af mail og udnytter, at en pligtopfyldende medarbejder i skyndingen ikke får spottet, at chef-mailen i virkeligheden er afsendt af en svindler. Men i udgangspunktet er mails slet ikke til at stole på, fortæller Henrik Kramshøj.

»Det er jo frygteligt, at der her i 2016 dagligt bliver indgået kæmpeaftaler på e-mail. Det er jo som at sende et åbent postkort, og enhver kan jo sætte et ekstra nul på.«

Som det vil være flere bekendt, kan mails udstyres med forskellige teknologier, som øger sikkerhedsniveauet.

Eksempelvis kan de sendes krypteret via TLS, som blandt andet Google har implementeret i Gmail. Svindlere kan dog også sende mail krypteret, så den form for mail-kryptering bevirker blot, at indholdet af svindelmailen ikke kan læses af andre end modtageren - og dermed bliver selve svindelforsøget som sådan ikke stoppet.

En anden teknik, der kan forbedre sikkerheden, er Domain-based Message Authentication, Reporting and Conformance (DMARC). Teknikken gør det kort fortalt muligt for en mailserver at validere, hvorvidt en mail nu også er afsendt fra det domæne, som mailadressen i mailen lægger op til.

I udgangspunktet kan enhver nemlig skrive, hvad de vil i felterne for afsendernavn og mailadresse. Men med DMARC bliver der altså sat en stopper for at indsætte falske mail-adresser.

Men, påpeger Henrik Kramshøj, selvom mailadressen bliver tjekket på denne måde, så er det ikke sikkert, brugeren i sit mailprogram lægger mærke til andet end afsenderen på en mail. Og i navnefeltet er der stadig frit slag i bolledejen for, at hvem som helst kan kalde sig hvad som helst.

»Mailprogrammer i dag viser ikke altid mailadressen, men viser mere det navn, der står i mailen,« siger Henrik Kramshøj.

Signering

En anden mulighed for at validere afsendere i en organisation er digital signatur. Nemlig brug af nøgle-par i form af offentlige og private nøgler. En teknik, som også bliver anvendt i flere andre sammenhænge.

Via denne metode vil mails kunne signeres med afsenderens private og hemmelige nøgle, og signaturen vil kunne valideres af modtager via afsenders offentlige nøgle. Men det er ikke trivielt at sætte op og administrere i en hel organisation, mener Henrik Kramshøj og nævner i den forbindelse, at de enkelte medarbejdere eksempelvis skal kunne holde styr på det kodeord, som er forbundet med den private nøgle, for at systemet fungerer.

»Man kan gøre mange ting, men jeg ikke lige komme i tanke om nogen virksomheder, der gør det her i større stil.«

En anden mulighed er S/MIME-standarden, fortæller Kramshøj. Den indebærer, at medarbejderne har et digitalt certifikat liggende på deres maskiner, der kan bruges til at signere mails med, som så kan valideres af modtageren. Men heller ikke denne fremgang mener Henrik Kramshøj er realistisk at anvende bredt.

»Det er mere enterprise-venligt, men der er meget dårlig support for det i klienterne, og derfor er det ikke en løsning,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Maciej Szeliga

...og i øvrigt er der en rigtig god måde at undgå det på: chefen skal ikke være en kransekagefigur som man kun ser en gang om året eller så. Kender man chefen så falder man ikke for CEO-fraud. ...og i en stor virksomhed ville chefen kontakte økonomidirektøren eller direktionssekretæren og ikke ham som udbetaler pengene. ...og i sidste ende kan jeg ikke forestille mig en CEO som ville blive sur over at modtage en SMS eller et opkald for verifikation.

  • 6
  • 0
#4 René Nielsen

Nu gør en persons CEO-titel ikke at en virksomhed stor, tværtimod er der ofte en tendens til at der er "inflation" i titlerne når vi snakker om mindre virksomheder.

Jeg har i de sidste 20 år arbejdet i virksomheder ned til 25 ansatte og ingen af stederne burde det som artiklen omtaler kunne finde sted, fordi processen omkring betaling altid er bygget op omkring "de fire øjne".

Det kunne godt ske at fup-emails som den artiklen omtaler slap igennem, men beløbets størrelse ville kræve en kontrol opringning til forspørgeren og er det mindre beløb ville forspørgeren få besked om at bruge sit firmakreditkort.

A/P bogholdere er faktisk meget på "På mærkerne" omkring den slags, for som A/P bogholder er den sikre vej til miste jobbet og måske ryge i fængsel med en bedragerimistanke, ikke at overholde firmaets godkendelsesprocess!

Derfor tror jeg ikke at CEO-Fraud er et generelt problem i Danmark På mig virker det mere som medarbejderne hos Patent- og Varemærkestyrelsen har fjumret kollektivt i det og samtidig "slået hjernen fra".

  • 1
  • 0
#5 Henrik Schack

Jeg synes Kramshøj glemmer en del af effekten ved at have implementeret DMARC med en reject policy.

På den ene side er der den tekniske spærring som DMARC udgør og som Kramshøj beskriver.

På den anden side er signalværdien af en reject policy. De kriminelle er ikke dumme, når de ser en reject policy ved de udmærket godt de ikke kan spille på alle tangenter i en omgang CEO fraud på det pågældende domæne. Omvendt er en manglende reject policy jo et public statement om at man ikke har helt styr på det der med emailsikkerhed, og så kan man jo gætte på hvem de kriminelle kaster sig over først.

  • 3
  • 0
#6 Michael Hein

Selvom dette er et teknologi site, så virker det påfaldende så langt man vil gå over åen efter vand. Godkendelsesprocedurer for store udbetalinger / overførsler har langt det fleste virksomheder da forhåbentligt - og langt de fleste har da "manuel" 2 faktor verifikation eller 4 øjne principper på plads.

Kom der sådan en mail der udgav sig for at være mig, ville INGEN i min regnskabsafdeling udbetale en krone uden at først tale med eller ringe til mig. Slap den endeligt forbi første led, ville den helt sikkert blive spottet fordi det altid er en anden end den der laver overførselen der skulle godkende i netbanken og så ville vedkommende bede om verifikation. Og ud over det har de fleste vel ekstra procedurer ved beløb over beløbsgrænser osv.

  • 0
  • 0
#7 Maciej Szeliga

Selvom dette er et teknologi site, så virker det påfaldende så langt man vil gå over åen efter vand. Godkendelsesprocedurer for store udbetalinger / overførsler har langt det fleste virksomheder da forhåbentligt - og langt de fleste har da "manuel" 2 faktor verifikation eller 4 øjne principper på plads.

Har du ikke bemærket at revisor- og bogholdertyper samt sikkerhedstyper gerne vil have tekniske løsninger til ting som virker fint med manuel sikkerhed ? Der er INGEN som helst bevis for at teknisk sikkerhed virker bedre end manuel sikkerhed og det sidste er både billigere og nemmere at vedligeholde men folk vil gerne have teknisk sikkerhed fordi det betyder at de ikke behøver at TÆNKE!

  • 3
  • 0
#10 Povl H. Pedersen

TLS giver ofte ingen sikkerhed omkring beskeden. Ofte betyder det at brugernavn/password er krypteret mellem afsender mailprogram og første mailserver. Men dette kræver at mailprogrammet validerer certifikatet, eller er sikkerheden intet værd.

De fleste mailservere sender beskeden videre, evt med TLS, men uden at validere certifikatet, for google.com har tusindvis af domæner det modtager mail for, men intet certifikat på disse.

  • 0
  • 0
#11 Maciej Szeliga
  • 1
  • 0
#13 Henrik Schack

Har man en SPF text record DNS opsætning, kan ingen sende på vegne af firmaet, dvs. finans kan ikke få en mail fra direktøren. Very simple :-)

Nej så simpelt er det ikke, SPF har ingensomhelst indflydelse på hvad du kan skrive i det synlige From: felt. SPF har relation til Senderenvelope adressen, også kaldet returnpath eller bounceadresse

Hvis du vil kontrollere hvad hvem der kan skrive hvad i From: feltet og få leveret email er det DMARC du skal tage i brug.

  • 2
  • 0
#17 Knud Høgh Knudsen

En hurtig lille øvelse for modtageren er at prøve med klikke svar retur og så tjekke modtageren af e-mail for returneringen. Det vil fange mange af den slags CEO.fraud mails (bl.a. hvor kun navnet fremkommer i afsenderfeltet), - dog uden 100% sikkerhed, men det vil i alle tilfælde vise at modtageren tænker over hvad der er indkommet af anmodning fra "chefen". En efterfølgende telefonopringning (eller SMS) til chefen vil nok altid være at foretrække uanset hvor i verden vedkommende opholder sig.

  • 0
  • 0
Log ind eller Opret konto for at kommentere