Direktørsvindel på sms
Direktørsvindel er stadig en aktiv trussel i sikkerhetsbildet. Nå advarer et dansk sikkerhetsselskap om at svindlerne har begynt å bruke sms i stedet for e-post.
Direktørsvindel er en form for datakriminalitet der en betrodd medarbeider med rettigheter til virksomhetens bank- og betalingssystemer narres til å gjennomføre utbetalinger ved at angriperen utgir seg for å være sjefen i virksomheten. Angriperen lager gjerne en situasjon med tidspress, slik at medarbeideren skal presses til å gjennomføre utbetalingen så raskt som mulig, gjerne uten normal saksbehandling.
Før e-post, nå sms
Fram til nå har direktørsvindel vært en teknikk som gjennomføres ved hjelp av e-post, etter som avsenderadresser i e-post er enkelt å forfalske. Nå melder det danske sikkerhetsselskapet CSIS Security Group at de har etterforsket en slik svindelsak, denne gangen med sms i stedet for e-post. Svindlerne har forfalsket mobilnummeret – såkalt «caller-id spoofing» – til avsenderen, på helt tilsvarende måte som e-postadresser blir forfalsket.
Selskapet skriver at «ettersom sms-forfalsking er uhyggelig enkelt å gjennomføre og teknisk umulig å forhindre, vil medarbeideren oppleve at sms-en har blitt sendt fra direktørens mobil».
Selskapet skriver også at de forventer at denne svindelformen vil skyte fart i løpet av 2019. De karakteriserer kombinasjonen av caller-id spoofing og direktørsvindel som «en giftig kombinasjon» som for de aller fleste ofre vil framstå som troverdig, og dermed vil sannsynligheten for at svindelen lykkes, øke.
Norsis anbefaler
Norsk senter for informasjonssikring, Norsis, omtaler denne svindelen på sin nyhetsside. De kommenterer at «Dette er veldig bekymringsverdig fordi de fleste fortsatt stoler altfor mye på SMS-er».
Norsis har også noen råd til virksomheter for å beskytte seg mot denne svindelen, disse gjengir vi i sin helhet her:
Husk at det er like enkelt for svindlere å sende falske SMS-er som å sende falske e-poster. Stol aldri blindt på at avsenderen av en SMS eller en e-post er ekte, spesielt ikke dersom “sjefen” vil at du skal overføre noen hundre tusen fra bedriftskontoen til en mottaker i utlandet. Her er noen gode tiltak:
- Etterspør opplæring om falske e-poster og SMS-er i din virksomhet, dersom dere ikke har fått det fra før av.
- Følg rutinene for betalinger og pengeoverføringer. Ikke la deg lure til å fravike fra disse. Svindlerne prøver ofte å skape en følelse av hastverk, men ta deg likevel alltid tid til å gjøre ting på riktig måte.
- Dersom du er i tvil om en SMS faktisk er sendt av den det står, ta direkte kontakt med vedkommende og spør. Gjør det f.eks. ved å ringe, eller ansikt til ansikt. Ikke svar direkte på SMS-en.
- Bruk fire-øyne-prinsippet: Dersom du er i tvil om innholdet i en melding på SMS eller e-post, eller en slik melding prøver å skape en sterk følelse av hastverk, så be noen andre om å også ta en kikk på den for å vurdere om det er ekte.
Du finner også veiledere om dette på nettsiden Nettvett.no. Her finnes både stoff om direktørsvindel og sms-svindel.