Svindelfænomen rammer styrelse: Mistede 6,7 millioner kroner i en uges tid

Svindlere har haft held til at franarre den danske Patent- og Varemærkestyrelse millionvis af kroner. Pengene er dog nu tilbage på styrelsens konto.

Efter involvering af blandt andet kinesiske myndigheder og Danske Bank er det lykkedes Patent- og Varemærkestyrelsen (PVS) at undgå et milliontab som følge af en svindelmail.

I en pressemeddelelse fortæller styrelsen, at der har været tale om såkaldt CEO Fraud. Det vil sige, at nogen giver sig ud for at være direktør i et foretagende - altså uden at være det.

På Danske Banks hjemmeside fremgår det, at CEO-fraud rammer flere og flere virksomheder, og at svindelteknikken udnytter medarbejderes naturlige tilbøjelighed til hurtigt og effektivt at løse opgaver fra chefer.

Onsdag 11. maj tikkede en mail ind hos en ledende medarbejder i PVS. Mailen så umiddelbart ud til at være afsendt af styrelsens direktør Jesper Kongstad. Bag mailen stod imidlertid en svindler.

Efter en del mailkorrespondance mellem den falske direktør og medarbejderen blev pengene sat til at blive overført den 12. maj 2016 til en lokal kinesisk bank. Begrundelsen for overførslen var, at der var tale om betaling for aktier i en kinesisk virksomhed, som PVS angiveligt ønskede at overtage.

Fredag den 13.maj 2016 modtog medarbejderen i styrelsen endnu en mail, der så ud til at komme fra Jesper Kongstad, med besked om at overføre yderligere 6,7 mio. kroner. Men medarbejderen fattede mistanke om, at noget var galt og kontaktede sin chef, som kontaktede styrelsens direktør.

Nu blev Danske Banks afdeling for Fraud kontaktet, ligesom der blev indgivet en politianmeldelse. Og efter at kinesiske myndigheder og banker også har været involveret i sagen, er pengene i dag, 18. maj, tilbageført til Patent- og Varemærkestyrelsens konto. Altså en lille uges tid efter, styrelsen mistede millionerne.

»Vi er naturligvis stærkt chokerede over sagen. Det er for styrelsen en usædvanlig anmodning, både taget størrelsen af beløbet i betragtning, og at det skulle finde sted i forbindelse af opkøb af en virksomhed,« udtaler Jesper Kongstad ifølge pressemeddelelsen fra PVS og fortsætter:

»Vi er naturligvis gået i gang med en gennemgribende undersøgelse af såvel hele hændelsesforløbet som vores procedurer.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Loke Dupont

Implementer DMARC, og så er det slut med falske særdeles vellignende emails fra chefen.

Det ville bestemt være en god ide. Men jeg tror ikke det havde ændret på det scenarie, det lyder som om svindleren og medarbejderen har skrevet frem og tilbage. Hvilket får mig til at tro at der er tale om en mail udenfor PVS domæne, hvor man bare har anført Jesper Kongstad som afsender navn. Og da nogle mailklienter ikke nødvendigvis tydeligt angiver adressen så er det nok der problemet ligger.

  • 1
  • 0
Henrik Schack

Det ville bestemt være en god ide. Men jeg tror ikke det havde ændret på det scenarie, det lyder som om svindleren og medarbejderen har skrevet frem og tilbage. Hvilket får mig til at tro at der er tale om en mail udenfor PVS domæne, hvor man bare har anført Jesper Kongstad som afsender navn. Og da nogle mailklienter ikke nødvendigvis tydeligt angiver adressen så er det nok der problemet ligger.

Nu skrev jeg jo faktisk "særdeles vellignende" :-) I de tilfælde hvor folk overhovedet ikke ser på hvad de svarer på hjælper DMARC naturligvis ikke.
Jeg synes dog stadig DMARC burde være et must, både for at beskytte sig selv, men bestemt også som en service overfor folk man kommunikerer med via email.

  • 1
  • 0
Michael Weber

Hvilket får mig til at tro at der er tale om en mail udenfor PVS domæne, hvor man bare har anført Jesper Kongstad som afsender navn. Og da nogle mailklienter ikke nødvendigvis tydeligt angiver adressen så er det nok der problemet ligger.

Det lyder rigtigt.
Måske det ville være en idé at sørge for at mailsystemets indkø ikke accepterer indgående post fra interne brugere. Så hvis en mail indeholder data i "From" eller "reply-to" feltet fra en intern bruger, afvises mailen.
Eller noget i den stil.

  • 0
  • 0
Henrik Schack
  • 0
  • 0
Michael Weber

Ja så har du sikret din egen lille verden, med DMARC sikrer du også resten af verden mod falske emails fra dit domæne.

Jeg ser det ikke som et enten eller men et både og.

I eksemplet kunne det jo godt være, at Jesper Kongsted havde en Gmail, som han benyttede. Når mailsystemets indkø ser en mail fra Gmail med "From" sat til Jesper Kongsted, kunne den f.eks. modificere emnefeltet med noget a lá :
"Muligvis Spam Denne mail giver sig ud fra at være fra Jesper Kongsted - resten at enmefeltet" o.s.v. og så lade den passere. Så hjælper man brugeren.

  • 0
  • 0
Christian Nobel

Jeg undrer mig, hver gang man læser disse historier, over at folk er så ukritiske.

Hvis jeg sad som regnskabschef i et stor foretagende, og der tikkede en mail ind hvor direktøren liige bad om der som et lyn fra en klar himmel skulle overføres et millionbeløb til en kinesisk bank, så ville jeg da som det første gribe telefonen og spørge om det lige kunne passe.

  • 8
  • 0
Christian Nobel

Implementer DMARC, og så er det slut med falske særdeles vellignende emails fra chefen.

Er det ikke at oversimplificere?

DMARC har vel først 100% effekt når alle har implementeret det - man kan så gøre sit udadgående, men hvis man indadgående afskærer alle mail som ikke har DMARC implementeret, så vil man (for tiden) sortere alt for meget fra.

Bortset fra det, så mener jeg stadig at den rigtige løsning med mail ville være system baseret på en form for challenge-response:

1 - henrik@schack.dk vil sende en mail til christian@nobel.dk

2 - schack.dk kontakter nobel.dk og fortæller at der er en mail fra henrik til christian

3 - nobel.dk svarer: ok, jeg vender tilbage

4 - nobel.dk laver dnsopslag på schack.dk

5 - nobel.dk kontakter så schack.dk, da der jo eksisterer et validt domæne

6 - nobel.dk spørger så schack.dk om denne har en bruger der hedder henrik, og om denne har en mail i kø til christian.

7 - hvis det er tilfældet beder nobel.dk schack.dk om at levere mailen.

Imo kunne dette gøre hele email håndteringen meget simplere end den er i dag, og hvis ikke afsenderen har et legalt domæne, og brugeren er valid på dette, så kan der ikke sendes en mail - og teknisk set burde det være super enkelt at implementere.

Eneste ulempe er at det effektivt sætter en stopper for relaying, men hvem bruger også det i dag?

  • 2
  • 0
Peter Hansen

I eksemplet kunne det jo godt være, at Jesper Kongsted havde en Gmail, som han benyttede. Når mailsystemets indkø ser en mail fra Gmail med "From" sat til Jesper Kongsted, kunne den f.eks. modificere emnefeltet med noget a lá :
"Muligvis Spam Denne mail giver sig ud fra at være fra Jesper Kongsted - resten at enmefeltet" o.s.v. og så lade den passere. Så hjælper man brugeren.


Jeg er sikker på, at denne verdens Rasmus Hansen'er, Peter Larsen'er, Thomas Andersen og Michael Jensen'er vil elske din idé og takke dig mange gange for den.

Oprigtigt talt så er løsningen at Outlook for h.... skal holde op med at skjule vigtig information som afsender-adresser fra brugeren. De idioter fra MS, der nogensinde kom på den tanke, at det kunne være "brugervenligt" at fjerne visning af mail-adresser fra e-mails burde spærres inde i en gummicelle på livstid.

  • 4
  • 0
Bent Jensen

Var det ikke det offenlige, eller en styrelse med DJØF'er ?

Kræv ikke de skal tænke, hvis det sker siger de deres job op i rædsel over det de ikke laver. Mange af funktioner og arbejdsgangen er jo lavet for at forøge administratonen, hvor arbejdet bliver målt med statistiker, ændret løbende til formålet.

Efter det her "nye" New public management, så har de aldrig været mere efektive, alle eksperterne er fyret og jobet er over taget af DJØF'er. Men sagsbehandlingen bliver bemærkelsevis bare længere og længere. Og der hvor man ikke kan fuske med statistiken, der bliver kontrol besøgen og andet "rigtigt" arbejde også skåret ned.

De har lært af Arbejdstilsynets , kronesmiley og selv (nul) kontrol er vejen frem.
Derfor er det ikke nødvendig med et Telefon opkald, der er styr på sagerne og man gør bare som der står i mailen.

  • 4
  • 3
Ole Madsen

Af ren nysgerrighed: Hvilke problemer løser dit forslag, som som DKIM ikke allerede løser? DKIM springer dit trin 6 over, men løser det i stedet med en signeret besked der fortæller "jo, jeg er altså fra schack.dk".

Til gengæld bør dit løsningsforslag have en sikkerhed for at pind.dk ikke kan kontakte schack.dk og spørge om der er mail til christian.

  • 0
  • 0
Henrik Schack

Af ren nysgerrighed: Hvilke problemer løser dit forslag, som som DKIM ikke allerede løser? DKIM springer dit trin 6 over, men løser det i stedet med en signeret besked der fortæller "jo, jeg er altså fra schack.dk".

Til gengæld bør dit løsningsforslag have en sikkerhed for at pind.dk ikke kan kontakte schack.dk og spørge om der er mail til christian.

Det vil nok ikke kunne lade sig gøre i praksis iden for en overskuelig fremtid, ændringer på nettet kan tage lang tid, rigtig lang tid, se f.eks hvor langt vi er nået med ipv6.
DMARC er smart fordi det bygger på eksisterende teknologier, SPF & DKIM.

  • 0
  • 0
Christian Nobel

Af ren nysgerrighed: Hvilke problemer løser dit forslag, som som DKIM ikke allerede løser? DKIM springer dit trin 6 over, men løser det i stedet med en signeret besked der fortæller "jo, jeg er altså fra schack.dk".

Det vil implementationsmæssigt være meget, meget simplere, og SPF, DKIM og DMARC kan helt undgås - dvs. opsætning vil være stort set idiotsikker, og jeg er ret sikker på at grunden til at DMARC ikke er implementeret på rigtig mange mailservere er fordi administrator synes det er bøvlet at sætte op (vi kan så starte en længere tråd om inkompetente og sløsede administratorer, men det vil være en debat om menneskers natur som hurtigt bliver elitær.).

Og jeg vil mene der er forskel på signering, og så til direkte at henvende sig (tilbage) til et domæne - det vil også have den fordel at fanges et domæne i at være misbrugt, så kan der laves kontant afregning.

Men jeg er helt på det rene Henriks med udsagn om at det kan være svært at gøre i praksis inden for en overskuelig fremtid (det er sådan set også bare min ønskedrøm), men omvendt så er DMARC altså heller ikke den hellige gral før at alle har implementeret det.

  • 0
  • 0
Michael Bisbjerg

Man skal nu heller ikke være bleg for hvad mennesker gør. DMARC beskytter et domæne ganske fint - men det kan man komme udenom:

  • Brug et typosquatted domæne
  • Brug et domæne der minder om (firma.dk, firma.com, firma-global.com, firma-legal.com ...)
  • Brug et helt tredje domæne (gmail, hotmail), håb modtageren ignorerer det (som Peter Hansen nævner)
  • Brug et fake domæne der ikke eksisterer, men som minder om offeret, med Reply-To sat og håb at modtageren ignorerer det

Jeg har selv set flere af de senere (med reply-to) hvor der er kørt længere korrespondancer og endeligt trukket penge ud til scammeren. Offeret fik også en kraftig opfordring til DMARC da de netop blev spoofet.

  • 0
  • 0
Henrik Schack

Men jeg er helt på det rene Henriks med udsagn om at det kan være svært at gøre i praksis inden for en overskuelig fremtid (det er sådan set også bare min ønskedrøm), men omvendt så er DMARC altså heller ikke den hellige gral før at alle har implementeret det.


Jeg forstår ikke helt det her udsagn om at alle skal implementere DMARC før det virker.
Hvis SKAT implementerer DMARC i morgen (med en reject policy), så er det slut med eksakt domæne phishing fra SKAT i morgen, helt uafhængig af at man fortsat kan misbruge NETS, NemID og alle andre ubeskyttede domæner.

  • 0
  • 0
Frank Vilhelmsen

SPF, DKIM og DMARC vil hjælpe på langt de fleste tilfælde af e-mail fraud.. Den helt simple grund er et stykke statistik:

  • 69% af e-mail modtagere rapporterer SPAM udelukkende baseret på emnelinje

Hvis man som større virksomhed ikke benytter disse "næsten gratis" og "let tilgængelige teknikker" er man selv ude om den ekstra medie omtale og at man bliver bedømt som sikkerhedsmæssigt uforsvarlig.

Faktum er at mange større virksomheder sender mails gennem uransagelige kanaler og de har simpelthen ikke kontrol over deres forsendelser.

Tanken om en konversation der skal erkende om en given bruger findes hos afsender lyder både tillokkende og interessant. Men der er ikke kapacitet til denne langlivede udveksling af information..

  • at der sendes/modtages dagligt ca. 210 milliarder e-mails
  • at der findes ca. 3 milliarder mail konti

Hvilket jo nok indikerer at "alle skal ha DMARC for at det skal virker", er som en våd drøm, et fatamorgana, etc..

Som virksomhed og dermed modtager, at mails kan man hvidvaske de bekræftede organisatoriske domains man vil modtage fra og droppe resten. Nå ja,, det er jo det DMARC specificerer via p=reject. Ifølge Agari vil dette filter ca. 80% af al indkommende spam. De sidste 20% bør findes gennem traditionelle scaning-tools, eller medarbejderne!

  • 1
  • 1
Christian Nobel

Jeg forstår ikke helt det her udsagn om at alle skal implementere DMARC før det virker.

Det er heller ikke det jeg siger, men at først når alt og alle har implementeret DMARC har det fuld effekt - men dermed ikke sagt at man ikke skal komme i gang.

Hvis SKAT implementerer DMARC i morgen (med en reject policy), så er det slut med eksakt domæne phishing fra SKAT i morgen, helt uafhængig af at man fortsat kan misbruge NETS, NemID og alle andre ubeskyttede domæner.

Da kun hvis den modtagende mailserver også laver DMARC check - der skal altså to til at danse tango.

Og det hindrer stadig ikke de misbrug som Michael beskriver - det ville mit forslag derimod, hvis det var fuldt implementeret, men desværre er det bare en våd drøm.

  • 0
  • 0
Christian Nobel

Tanken om en konversation der skal erkende om en given bruger findes hos afsender lyder både tillokkende og interessant. Men der er ikke kapacitet til denne langlivede udveksling af information..

Hvorfor i alverden skulle der ikke være kapacitet nok til det, det eneste det fordrer er et ekstra DNS opslag (hvilket DMARC jo også gør) og så bare at retningen vendes en gang - det er ikke specielt langlivet.

Vil du virkelig hævde at der ikke er kapacitet nok til det - i så fald må du gerne underbygge argumentet (og antallet af mails sendt per dag anser jeg ikke for en underbygning!).

  • 0
  • 1
Henrik Schack

Da kun hvis den modtagende mailserver også laver DMARC check - der skal altså to til at danse tango.


Google, Microsoft, Yahoo og en del andre supporterer allerede inbound DMARC processing og har egentlig gjort det i lang tid, i store tal er omkring 70-80% af verdens emailadresser klar til DMARC.
Med andre ord vil rigtig mange mennesker allerede på nuværende tidspunkt kunne have glæde af DMARC, hvis ellers domæneejernee fik fingrene op af lommerne og kom igang med at implementere.

  • 1
  • 0
Log ind eller Opret konto for at kommentere