Dette indlæg er alene udtryk for skribentens egen holdning.

Falsk faktura

22. september 2016 kl. 10:4919
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Vi modtager jævnligt falske fakturaer, som vi ignorerer.

Men denne gang var hele setuppet virkeligt godt lavet.

  1. > Fra: Anne [mailto:anne@prosa.dk]
  2. > Sendt: 21. september 2016 09:24
  3. > Til: Lise <LISE@prosa.dk>
  4. > Emne: Re: Hej
  5. >
  6. > Hej Lise,
  7. >
  8. > Faktura er fastgjort igen, skal du bekraefte at du har modtaget den.
  9. > Lad mig vide, nar overforslen er fuldfort.
  10. > sende som ekspres overforsel
  11. > og send mig en kopi af kvitteringen.
  12. >
  13. > mvh
  14. > Anne
  15. >
  16. >
  17. > 2016-09-21 8:09 GMT+01:00 Lise <LISE@prosa.dk>:
  18. > Der er desværre ikke nogen vedhæftet faktura
  19. >
  20. > Mvh
  21. >
  22. > Lise
  23. >
  24. > -----Oprindelig meddelelse-----
  25. > Fra: Anne [mailto:anne@prosa.dk]
  26. > Sendt: 21. september 2016 08:48
  27. > Til: Lise <LISE@prosa.dk>
  28. > Emne: Hej
  29. >
  30. > Hej Lise,
  31. >
  32. > Venligst betale vedlagte faktura for Euro 11.200 i dag, sende mig en kopi af kvitteringen
  33. >
  34. > Mvh
  35. > Anne

Anne plejer ikke at lave stavefejl, men Lise regner med, at Anne skriver via sin mobil, og det forklarer den skjuskede stavemåde. Anne sender ofte regninger til betaling, så det er heller ikke usædvanligt. Hvad der er endnu mere overbevisende er selvfølgelig, at "Anne" svarer på Lises henvendelse. Vi formoder, at Annes adgangskode er blevet knækket, og at de kriminelle derigennem har læst Annes mail og slettet svaret fra Lise, så den rigtige Anne ikke ser det.

Artiklen fortsætter efter annoncen

Heldigvis er vores betalingsprocedure, at udenlandske betalinger kun bliver udført, hvis bogholderiet har været i telefonisk eller personlig kontakt med personen, der beder om betalingen, så vi fanger den i dette tilfælde og får sagen politianmeldt.

19 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
23. september 2016 kl. 08:25

Det glæder mig at høre, at det er en fornuftig procedure der fangede snyderiet, og ikke de mange stavefejl.

Jeg ser lidt for ofte folk der påstår at phishing kan spottes på stavningen. Fint, lige ind til at de kriminelle finder en der kan (ordenligt) dansk, hvilket helt sikkert sker en dag...

17
23. september 2016 kl. 07:42

Email kan misbruges til mange ting, herunder som et faktura-/betalings-styringssystem.

15
22. september 2016 kl. 18:58

Den påståede faktura bærer end ikke et indkøbsordrenummer og enhver ansvarlig A/P-bogholder vil smide e-mailen ud uden at bruge tid på den.

Det kan ikke fremhæves nok.

Hos en tidligere arbejdsgiver var det en fast politik - allerede inden email blev populært sidst i 90erne. Jeg ved ikke om det var fordi at der havde været forsøg med "european business registry" osv, eller det var pga. erfaring at hvis en leverandør ikke kunne finde ud af at sætte reference (indkøbsordrenummer) på fakturaen så kunne han nok heller ikke finde ud af at sætte de rigtige fakturalinier på.

12
22. september 2016 kl. 15:18

PROSA er jo de it-professionel forening så det har i jo styr på ;-)

11
22. september 2016 kl. 14:50

Vi har en til vished grænsende formodning om at det er kontoen, der er blevet hacket. Dvs. at DMARC, DKIM, SPF og hvad ved jeg er helt irrelevant i dette tilfælde.

Mht. diverse "forslag" om erp-systemer, indkøbsordrer og hvad ved jeg, så er det i hvert fald meget langt fra vores virkelighed i en lille og meget agil organisation, med udbredt selvstyre i forskellige afdelinger.

Bla. Peter Knudsen skriver, at vi først skal tjekke at varen, fakturaen vedrører, er leveret. Men det er jo præcis det, Anne bekræfter overfor Lise.

Fakturaen blev så heldigvis alligevel ikke betalt. Ikke kun fordi den var til udlandet, men også fordi der er yderligere sikkerhedsprocedurer etableret.

Mvh. en PROSA-ansat

10
22. september 2016 kl. 14:37

Eksakt domæne phishing som i det viste eksempel er netop hvad DMARC blev opfundet for at stoppe.
DMARC så dagens lys i starten af 2012, måske er det på tide at implementere det ?

Det er ikke alle mails med falske fakturaer, som du fanger med DMARC.

Hvad hvis brugeren sender fra et domæne navn, der er tæt beslægtet med et autentisk domæne?

Du er heller ikke garderet, hvis DMARC er aktiveret, men mailserveren er ikke beskyttet imod relay fra uautoriseret brugere. Begynder fejl - jeg ved det, men det sker.

Nu har jeg overvåget min mail log i længere stykke tid, da jeg har en bruger der bliver spammet groft af alle mulige mail adresser med uønsket materiale.

Mit spam filter har det ikke nemt, når afsender sender fra en gyldig mailadresse, der bruger TLS, har SPF records - selv signeret med DKIM!

Men indholdet af mailen er tvivlsomt.

Det sker en gang imellem, at mailserveren selv finder ud af det er spam, fordi afsender er blevet blacklisted af sorbs.net og lignende.

Så jeg endte med at give personen en anden email adresse.

9
22. september 2016 kl. 14:02

Jeg havde forvente at du også have vist mailheaderen så vi kunne se om den virkelige er send fra prosa.dk mail server eller om afsende er spoofet

Siden jeg fik sat SPF, DKIM og DMARC op i dns recorden på på alle mine domainer har jeg ikke fundet nogle falskposetiv mail eller falske mail, jeg har 150-200 spam mail pr løbene 30 dagen som alle er at finde i spam mappen.

Det er effektiv bekæmpelse af uønsket mails

8
22. september 2016 kl. 13:08

Tillad mig at være lidt direkte. Problemet er ikke om e-mailen er vellignende, men at I overhoved bruger tid på den e-mail.

Den påståede faktura bærer end ikke et indkøbsordrenummer og enhver ansvarlig A/P-bogholder vil smide e-mailen ud uden at bruge tid på den.

I dag kan ethvert ERP-system lave indkøbsordreflow og enhver seriøs leverandør ved at hans kunder i stort omfang bruger indkøbsordrer med firmalogo, leveringsadresse, momsnummer og den slags (nødvendige juridiske) detaljer.

For en leverandør giver en indkøbsordre tryghed for at indkøberen f.eks. har lov til at købe ind på firmaets vegne foruden at betaling og den slags – i reglen går hurtigere igennem.

Indkøbsordre kan virke tungt – hvis man ikke har prøvet det før, men den person hedder Anne burde slet ikke have kontaktet Lise, fordi Anne ved at uden I/O nummer på fakturaen, bliver ikke betalt noget. Derfor kan Lise trygt smide e-mailen fra Anne ud.

Og Anne ved også, at uden hendes ”Sign-off” i ERP-systemet på leverandøren har leveret det bestilte, så bliver der heller ikke betalt.

At I overhoved anser sådan en e-mail for et problem – tyder på at I som firma burde stramme op på indkøbsprocessen, for uden et system til at håndter indkøb, så må sygdom, kursus, ferie og andet fravær da være et problem for jer når kreditorerne rykker for penge.

7
22. september 2016 kl. 12:30

Er Lises svar ikke skrevet før Annes oprindelige, første besked (08:09 og 08:48)? Og jeg ville nok blive lidt mistænkelig hvis en person fastgør en fil.

6
22. september 2016 kl. 12:25

Vi formoder, at Annes adgangskode er blevet knækket

Ja det er også en mulighed, men svært at sige når der ikke er de rå mailheaders med i historien. Kigger man på dem behøver man ikke at formode noget, så kan man nok sige lidt mere præcist hvad der er sket.

5
22. september 2016 kl. 12:20

Vi formoder, at Annes adgangskode er blevet knækket

Jeg er ikke sikker på jeg forstår hvordan DMARC, hjælper på mails der ikke kommer udefra. Hvis passwordet er knækket, antager jeg at hackeren benytter webmail funktioner, således at man (hackeren) er fri for at tænke på alle de foranstaltninger som kan være på plads i forhold til eksterne mails.

4
22. september 2016 kl. 11:55

Eksakt domæne phishing som i det viste eksempel er netop hvad DMARC blev opfundet for at stoppe. DMARC så dagens lys i starten af 2012, måske er det på tide at implementere det ?

3
22. september 2016 kl. 11:28

Det ville være optimalt om vi kunne blive fri for den slags fakturasvindel, men firmaer, der blot betaler regninger de modtager uden først at tjekke om de har fået leveret den ydelse, der faktureres for, er jo med til at holde den slags svindel i live. Svindelen forekommer kun fordi den virker. Enhver virksomhed bør derfor have en proces der sikrer, at der kun faktureres for leverede ydelser.

2
22. september 2016 kl. 11:20

Og optimalt set, skal køberen, selv ligge indkøbsordren ind i systemet, således at funktionsadskillelsen er intakt.

1
22. september 2016 kl. 11:12

Hvis man ikke har afgivet en ordre, hvorfor skal man så betale? Så kan en ordre være en engangsfornøjelse, fast antal gange, eller en fortløbende ydelse.

Men dybest set, hvorfor skal kreditor bogholderiet overhovedet have mulighed for at, udbetale penge for noget der ikke er sendte en ordre (købsaftale) på.