bloghoved ole tange

Falsk faktura

Vi modtager jævnligt falske fakturaer, som vi ignorerer.

Men denne gang var hele setuppet virkeligt godt lavet.

> Fra: Anne [mailto:anne@prosa.dk]
> Sendt: 21. september 2016 09:24
> Til: Lise <LISE@prosa.dk>
> Emne: Re: Hej
> 
> Hej Lise,
>
> Faktura er fastgjort igen, skal du bekraefte at du har modtaget den.
> Lad mig vide, nar overforslen er fuldfort.
> sende som ekspres overforsel
> og send mig en kopi af kvitteringen.
>
> mvh
> Anne
>
>
> 2016-09-21 8:09 GMT+01:00 Lise <LISE@prosa.dk>:
> Der er desværre ikke nogen vedhæftet faktura
>
> Mvh
>
> Lise
>
> -----Oprindelig meddelelse-----
> Fra: Anne [mailto:anne@prosa.dk]
> Sendt: 21. september 2016 08:48
> Til: Lise <LISE@prosa.dk>
> Emne: Hej
>
> Hej Lise,
>
> Venligst betale vedlagte faktura for Euro 11.200 i dag,  sende mig en kopi af kvitteringen
>
> Mvh
> Anne

Illustration: (CC-By-SA) Ole Tange

Anne plejer ikke at lave stavefejl, men Lise regner med, at Anne skriver via sin mobil, og det forklarer den skjuskede stavemåde. Anne sender ofte regninger til betaling, så det er heller ikke usædvanligt. Hvad der er endnu mere overbevisende er selvfølgelig, at "Anne" svarer på Lises henvendelse. Vi formoder, at Annes adgangskode er blevet knækket, og at de kriminelle derigennem har læst Annes mail og slettet svaret fra Lise, så den rigtige Anne ikke ser det.

Heldigvis er vores betalingsprocedure, at udenlandske betalinger kun bliver udført, hvis bogholderiet har været i telefonisk eller personlig kontakt med personen, der beder om betalingen, så vi fanger den i dette tilfælde og får sagen politianmeldt.

Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Bobjerg Juul

Hvis man ikke har afgivet en ordre, hvorfor skal man så betale?
Så kan en ordre være en engangsfornøjelse, fast antal gange, eller en fortløbende ydelse.

Men dybest set, hvorfor skal kreditor bogholderiet overhovedet have mulighed for at, udbetale penge for noget der ikke er sendte en ordre (købsaftale) på.

  • 2
  • 0
Peter Knudsen

Det ville være optimalt om vi kunne blive fri for den slags fakturasvindel, men firmaer, der blot betaler regninger de modtager uden først at tjekke om de har fået leveret den ydelse, der faktureres for, er jo med til at holde den slags svindel i live. Svindelen forekommer kun fordi den virker. Enhver virksomhed bør derfor have en proces der sikrer, at der kun faktureres for leverede ydelser.

  • 4
  • 0
Henrik Schack

Eksakt domæne phishing som i det viste eksempel er netop hvad DMARC blev opfundet for at stoppe.
DMARC så dagens lys i starten af 2012, måske er det på tide at implementere det ?

  • 6
  • 0
Claus Bobjerg Juul

Vi formoder, at Annes adgangskode er blevet knækket

Jeg er ikke sikker på jeg forstår hvordan DMARC, hjælper på mails der ikke kommer udefra.
Hvis passwordet er knækket, antager jeg at hackeren benytter webmail funktioner, således at man (hackeren) er fri for at tænke på alle de foranstaltninger som kan være på plads i forhold til eksterne mails.

  • 0
  • 0
René Nielsen

Tillad mig at være lidt direkte. Problemet er ikke om e-mailen er vellignende, men at I overhoved bruger tid på den e-mail.

Den påståede faktura bærer end ikke et indkøbsordrenummer og enhver ansvarlig A/P-bogholder vil smide e-mailen ud uden at bruge tid på den.

I dag kan ethvert ERP-system lave indkøbsordreflow og enhver seriøs leverandør ved at hans kunder i stort omfang bruger indkøbsordrer med firmalogo, leveringsadresse, momsnummer og den slags (nødvendige juridiske) detaljer.

For en leverandør giver en indkøbsordre tryghed for at indkøberen f.eks. har lov til at købe ind på firmaets vegne foruden at betaling og den slags – i reglen går hurtigere igennem.

Indkøbsordre kan virke tungt – hvis man ikke har prøvet det før, men den person hedder Anne burde slet ikke have kontaktet Lise, fordi Anne ved at uden I/O nummer på fakturaen, bliver ikke betalt noget. Derfor kan Lise trygt smide e-mailen fra Anne ud.

Og Anne ved også, at uden hendes ”Sign-off” i ERP-systemet på leverandøren har leveret det bestilte, så bliver der heller ikke betalt.

At I overhoved anser sådan en e-mail for et problem – tyder på at I som firma burde stramme op på indkøbsprocessen, for uden et system til at håndter indkøb, så må sygdom, kursus, ferie og andet fravær da være et problem for jer når kreditorerne rykker for penge.

  • 7
  • 4
Michael Harly

Jeg havde forvente at du også have vist mailheaderen så vi kunne se om den virkelige er send fra prosa.dk mail server eller om afsende er spoofet

Siden jeg fik sat SPF, DKIM og DMARC op i dns recorden på på alle mine domainer har jeg ikke fundet nogle falskposetiv mail eller falske mail, jeg har 150-200 spam mail pr løbene 30 dagen som alle er at finde i spam mappen.

Det er effektiv bekæmpelse af uønsket mails

  • 1
  • 0
Lasse Mølgaard

Eksakt domæne phishing som i det viste eksempel er netop hvad DMARC blev opfundet for at stoppe.
DMARC så dagens lys i starten af 2012, måske er det på tide at implementere det ?

Det er ikke alle mails med falske fakturaer, som du fanger med DMARC.

Hvad hvis brugeren sender fra et domæne navn, der er tæt beslægtet med et autentisk domæne?

Du er heller ikke garderet, hvis DMARC er aktiveret, men mailserveren er ikke beskyttet imod relay fra uautoriseret brugere. Begynder fejl - jeg ved det, men det sker.

Nu har jeg overvåget min mail log i længere stykke tid, da jeg har en bruger der bliver spammet groft af alle mulige mail adresser med uønsket materiale.

Mit spam filter har det ikke nemt, når afsender sender fra en gyldig mailadresse, der bruger TLS, har SPF records - selv signeret med DKIM!

Men indholdet af mailen er tvivlsomt.

Det sker en gang imellem, at mailserveren selv finder ud af det er spam, fordi afsender er blevet blacklisted af sorbs.net og lignende.

Så jeg endte med at give personen en anden email adresse.

  • 0
  • 0
Jesper Svarre

Vi har en til vished grænsende formodning om at det er kontoen, der er blevet hacket. Dvs. at DMARC, DKIM, SPF og hvad ved jeg er helt irrelevant i dette tilfælde.

Mht. diverse "forslag" om erp-systemer, indkøbsordrer og hvad ved jeg, så er det i hvert fald meget langt fra vores virkelighed i en lille og meget agil organisation, med udbredt selvstyre i forskellige afdelinger.

Bla. Peter Knudsen skriver, at vi først skal tjekke at varen, fakturaen vedrører, er leveret. Men det er jo præcis det, Anne bekræfter overfor Lise.

Fakturaen blev så heldigvis alligevel ikke betalt. Ikke kun fordi den var til udlandet, men også fordi der er yderligere sikkerhedsprocedurer etableret.

Mvh. en PROSA-ansat

  • 10
  • 0
Ivan Skytte Jørgensen

Den påståede faktura bærer end ikke et indkøbsordrenummer og enhver ansvarlig A/P-bogholder vil smide e-mailen ud uden at bruge tid på den.

Det kan ikke fremhæves nok.

Hos en tidligere arbejdsgiver var det en fast politik - allerede inden email blev populært sidst i 90erne. Jeg ved ikke om det var fordi at der havde været forsøg med "european business registry" osv, eller det var pga. erfaring at hvis en leverandør ikke kunne finde ud af at sætte reference (indkøbsordrenummer) på fakturaen så kunne han nok heller ikke finde ud af at sætte de rigtige fakturalinier på.

  • 0
  • 0
Peter Haase Skaarup

Det glæder mig at høre, at det er en fornuftig procedure der fangede snyderiet, og ikke de mange stavefejl.

Jeg ser lidt for ofte folk der påstår at phishing kan spottes på stavningen. Fint, lige ind til at de kriminelle finder en der kan (ordenligt) dansk, hvilket helt sikkert sker en dag...

  • 3
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize