Bits:” Det svakeste leddet i IT-sikkerhet er brukerne”

NorSIS har invitert flere av våre samarbeidspartnere til å bidra med artikler i årets Sikkerhetsmåned. Artikkelens innhold er bidragsyters synspunkt og erfaringer.

Det er ikke lenger like enkelt for svindlerne å angripe IT-systemer. Derfor angriper svindlerne i større grad oss mennesker. Vi er blitt det svake leddet i IT-sikkerhet.

Med stadig større fokus på implementering av programvare og systemer som skal beskytte oss mot «the bad guys» i en verden der alt og alle er sammenvevd, blir det vanskeligere for svindlere å bryte seg gjennom våre forsvarsverk. Men for all del – det er på ingen måte umulig og tradisjonell hacking og trojanervirksomhet vil være et problem i overskuelig fremtid. De destruktive kreftene har enorme ressurser og kan kjøpe omtrent samme kompetanse som de gode kreftene. Men økt fokus på teknisk IT-sikkerhet i finansnæringen, har ført til at svindlerne som før benyttet seg av tekniske metoder for å svindle til seg penger, nå retter sitt fokus mot det som fremstår som det svakeste leddet, nemlig oss mennesker gjennom sosial manipulering.

Direktørsvindel

En slik type angrep er direktørsvindel. Den retter seg mot personer i bedrifter med rett til å betale ut penger fra bedriftens konto. Det siste året har denne svindelformen hatt en økende tendens.

Dette er en svindelmetode som tar i bruk flere virkemidler for sosial manipulering for å lure ansatte med økonomiansvar i mellomstore og store bedrifter til å betale pengebeløp ut av virksomhetens konto. Svindleren utgir seg for å være en leder eller administrerende direktør i virksomheten, og har gjennom sosiale medier og bedriftens nettsider innhentet informasjon som benyttes til å manipulere ansatte. Det å lage en mail eller en SMS som ser ut som den kommer fra administrerende direktør, er enkelt, om man lykkes med svindelen er ofte basert på hvor god informasjon man har om interne forhold og de enkelte avtaler bedriften er involvert i, sier Eivind Gjemdal, administrerende direktør i Bits som er bankenes infrastrukturselskap.

Betalingsforespørselen formidles gjennom e-post eller SMS, ofte som «hasteoppdrag» av stor betydning som ikke kan gjennomføres uten e-postmottakers umiddelbare hjelp. Typisk eksempel på direktørsvindel gjennomføres ved å lete frem organisasjonskart som avslører nettverket til direktør og hvem som utfører betalinger. Dersom svindleren i tillegg kan hente personlig informasjon om direktør via sosiale medier, f.eks. at hun/han befinner seg på hytta, ferie eller på reise, kan en betalingsforespørsel enkelt gjøres mer troverdig.

For å identifisere offeret benytter svindleren seg også av kartlegging av virksomhetens nettsider, undersøkelse i arbeidsoppgaver og sosiale medier. Svindleren henvender seg ved denne metoden til én eller få ansatte, etter å ha foretatt undersøkelser på forhånd om bedriftens leder, som vil forsterke troverdigheten bak betalingsforespørselen. Saken kan gjerne også være konfidensiell. Konsekvensen er at ansatte tilsidesetter viktige kontrollsystemer i tro om at de handler i henhold til instruks fra leder.

Selv om mange slike svindelforsøk er ganske lette å gjennomskue, ser vi eksempler på at svindlernes etterretningsvirksomhet må være raffinerte fordi de har detaljert dybdeinformasjon. Det kan bety bruk av mennesker på innsiden av bedriften, sier Gjemdal.

Svindlerne henvender seg som regel på epost den som skal iverksette en utbetaling. Svindleren er avhengig av at epostadressen som benyttes fremstår som ekte og ved hjelp av relativt enkle tekniske midler kan en svindler sende mail til finansdirektøren slik at mailen fremstår som en mail sendt fra administrerende direktør.

Stort og økende omfang

Omfanget av direktørsvindel er økende. Bankene har rapportert til Bits at bedriftskunder i 2016 har tapt 294 millioner på direktørsvindel i Norge. Det er også eksempel på at 500 millioner kroner ble forsøkt svindlet med denne metoden, hvor svindlerne til slutt kom unna med ca. 100 millioner.

I mørketallsundersøkelsen til Næringslivets Sikkerhetsråd 2016 fremkommer det at i perioden juni til august 2016 har NSM NorCERT blitt varslet av 45 virksomheter som hadde blitt utsatt for direktørsvindel. Dette er etter all sannsynlighet bare toppen av isfjellet, både hva gjelder antall hendelser og faktiske tap.

På internasjonalt nivå er direktørsvindel et omfattende problem som medfører tap i millionklassen for store og mellomstore aktører. Europol rapporterte i Internet Organised Crime Threat Assessment (IOACTA) 2016 at Direktørsvindel anses som en «key threat» innen sosial manipulering.

FBI meddelte tidligere i 2016 at 2.3 milliarder dollar var gått tapt i direktørsvindel internasjonalt de tre siste årene. De meddeler i tillegg at svindelmetoden har over 12.000 ofre på verdensbasis med et gjennomsnitt på 120 tusen dollar i tap.

Omdømmetap

Ved siden av de økonomiske konsekvensene for bedriften, som kan være store, vil slik svindel kunne påføre bedriften omdømmetap og det kan bety store personlige konsekvenser for den ansatte som lures.

Direktørsvindel lykkes først og fremst på grunn av menneskelige feil. Menneskelige feil er vanskelig å beskytte bedriften mot, med mindre det implementeres interne rutiner som ikke skal eller kan fravikes. Dersom bedrifter er opplyst om fremgangsmåter og kjennetegn ved denne typen svindel, er det lettere for bedrifter å innføre rutiner som kan forebygge og avverge direktørsvindel, påpeker Gjemdal.

Slik forhindrer du svindelen

Kjennetegnene på direktørsvindel er flere. Svindlerne gjør det de kan for å få en forespørsel til å virke så ekte som mulig. Det benyttes avsendere med høy autoritet, saken er konfidensiell, og det fremstilles ofte som om det står mye på spill hvis man ikke gjennomfører betalingen i tide.

Som for annen e-post svindel så er det enkelte kjennetegn man kan se etter

  • Endring av beløp og betalingsmottaker i siste øyeblikk
  • Betalinger med svært høye beløp og som haster
  • Betalinger til banker eller selskaper i andre land
  • Språklige feil
  • Henvisning til at transaksjonen er svært viktig for virksomheten, at det er en konfidensiell transaksjon
  • Vedkommende leder som meldingen kommer fra er gjerne på reise og ikke mulig å komme i kontakt med før betalingsfristen

Generelle råd for å forebygge direktørsvindel i virksomheter:

  • Innfør dobbelt signering for alle utbetalinger
  • Identifiser alle prosesser som kan være en innfallsport for slik svindel
  • Sør for at det er en åpen kultur i bedriften der det er lov til å stille spørsmål
  • Opprett en policy for bruk av sosiale media for de ansatte
  • Vær forsiktig med å åpne epost fra ukjente avsendere
  • Sørg for at det er fornuftig administrasjon av brukerrettigheter og autorisasjonskontroll
  • Oppfordre medarbeiderne til å bruke sunn fornuft

Gjesteartikkelen er skrevet av Bits AS, representert ved CEO Eivind Gjemdal.

Les mer om Bits AS.

Publisert: 2. oktober 2017

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.