Sådan beskytter du din virksomhed mod phishing og CEO fraud
Sommerferien er for de fleste virksomheder en periode med lavere aktivitet og reduceret bemanding. Men mens medarbejdere og ledelse holder ferie, er der én gruppe, der arbejder på højtryk: cyberkriminelle.
Erfaring viser, at sommerperioden er højsæson for phishing og CEO fraud, og især mindre virksomheder er attraktive mål. CEO fraud kaldes ofte direktørsvindel. Det er egentligt lidt misvisende, for det er ikke direktøren, der svindler. Det er derimod en anden person, der giver sig ud for at være direktøren.
Årsagen er enkel. Når organisationen er tyndt bemandet, og nye eller midlertidige medarbejdere træder til, bliver de normale kontrolprocedurer ofte mindre skarpe. Samtidig er det sværere at få bekræftet usædvanlige forespørgsler, fordi nøglepersoner er væk.
Og dét skaber et oplagt vindue for svindlere.
Phishing dækker over falske e-mails eller beskeder, der forsøger at lokke dig til at klikke på et link, åbne en vedhæftning eller oplyse login-oplysninger. CEO fraud er en mere målrettet variant, hvor svindleren udgiver sig for at være en direktør, leder eller samarbejdspartner og typisk beder de om en hurtig betaling eller ændring af kontooplysninger. Henvendelsen er ofte både overbevisende og velresearchet, og den spiller på autoritet og tidspres.
Det er netop tidspresset, der er afgørende. Svindleren vil gerne have, at du handler hurtigt og uden at tænke dig om, og gerne uden at følge de normale procedurer. Derfor indeholder beskederne ofte formuleringer som “det haster”, “jeg er i møde” eller “kan du ordne det med det samme”.
I en travl hverdag og særligt i ferieperioder, er det let at falde i fælden.
Du kan selv reducere risikoen
Heldigvis kan du reducere risikoen markant med nogle få, men konsekvente tiltag.
For det første bør din virksomheder have klare regler for betalinger. Ingen betaling – uanset hvem den tilsyneladende kommer fra – bør gennemføres alene på baggrund af en e-mail. Der bør altid være krav om to godkendelser ved større beløb, og ændringer i leverandørers kontonumre bør altid bekræftes mundtligt via en kendt kontakt. En simpel kontrolopringning kan være forskellen på en almindelig arbejdsdag og et stort økonomisk tab.
Derudover er det vigtigt at sikre din virksomheds systemer.
To-faktor-login (MFA) er i dag en af de mest effektive og samtidig nemme sikkerhedsforanstaltninger. Hvis en hacker får adgang til en e-mailkonto, kan vedkommende sende meget troværdige beskeder internt i organisationen eller til samarbejdspartnere. Med MFA bliver det væsentligt sværere at overtage konti.
Dine medarbejderes opmærksomhed spiller også en central rolle. Det kræver ikke lange kurser eller avancerede sikkerhedsprogrammer, men det kræver bevidsthed. De bør derfor kende de typiske faresignaler. Det kan være uventede betalingsanmodninger, ændringer i kontooplysninger, sproglige fejl eller en afsenderadresse, der ligner, men alligevel ikke er helt korrekt. De kriminelle får løbende adgang til nye og bedre værktøjer, men helt perfekt bliver det sjældent, selvom AI har gjort forfalskninger nemmere.
Lige så vigtigt er det, at dine medarbejdere føler sig trygge ved at stille spørgsmål og dobbelttjekke.
Også når henvendelsen tilsyneladende kommer fra ledelsen.
Plan for ferien og beredskabet
Ferieplanlægning er et andet overset, men vigtigt element. Du bør på forhånd gøre det klart, hvem der må godkende betalinger, og hvem der træder til ved fravær. Samtidig bør du undgå, at én person både kan oprette og godkende en betaling. Denne form for funktionsadskillelse er en klassisk, men stadig meget effektiv kontrol.
Selv med gode foranstaltninger kan uheldet ske. Derfor bør din virksomhed have en enkel beredskabsplan. Hvis der er mistanke om svindel, er det afgørende at handle hurtigt.
Det kan fx være:
Kontakt banken med det samme for at forsøge at stoppe eller tilbageføre betalingen
Informer ledelsen
Sørg for at sikre relevante systemer ved fx at skifte passwords.
Jo hurtigere I reagerer, desto større er chancen for at begrænse tabet.
I sidste ende handler det ikke kun om teknik og procedurer, men om jeres kultur. Den mest effektive beskyttelse opstår nemlig i organisationer, hvor det er accepteret og forventet, at man er opmærksom og en smule skeptisk.
Hvor det er bedre at spørge en gang for meget end en gang for lidt.
Sommerferien behøver med andre ord ikke blive højsæson for svindel i din virksomhed. Med få, klare tiltag og en bevidst indsats kan du reducere risikoen betydeligt og sikre, at både medarbejdere og ledelse kan holde ferie med ro i maven.
Du kan få gode råd flere steder
Sikkerdigital.dk: Dette er det primære offentlige rådgivningssite for it-sikkerhed. De har en dybdegående guide specifikt om, hvor du bl.a. kan læse om, hvordan du tjekker afsenderadresser, og hvad du skal være opmærksom på i ferieperioder.
Politiets retningslinjer: Hvis uheldet er ude, eller du vil læse om de kriminelles metoder, kan du finde gode råd og anmelde sagen direkte
Det Kriminalpræventive Råd: De leverer gode, overordnede råd til, hvordan du bevarer den kritiske sans. Deres råd lyder blandt andet på at "stoppe op" og altid verificere anmodninger, der virker usædvanlige