En stribe danske virksomheder er blevet lokket til at betale store pengebeløb til cyber-svindlere.
Svindelen er foregået ved, at de kriminelle kontakter menige medarbejdere og udgiver sig for at være højt placerede chefer i virksomhederne.
De menige medarbejdere bliver så lokket eller presset til at overføre penge til svindlernes bankkonti.
Det fortæller Kim Schlyter, der er partner og sikkerhedsspecialist i revisionsfirmaet Deloittes danske afdeling.
"Over det seneste års tid har vi blandt vores kunder set 14-15 eksempler på denne type af svindel, hvor det er lykkedes for kriminelle at få penge udbetalt," siger Kim Schlyter.
Han ønsker dog ikke at oplyse navne på de virksomheder, der er blevet udsat for svindel.
I de danske eksempler på såkaldt "direktør-svindel" er det ifølge Kim Schlyter lykkedes de kriminelle at lokke beløb på mellem 50-100.000 kroner ud af ofrene.
Og problemet med den særlige form for svindel er stigende.
"Efterhånden er det jævnligt, at det sker, og angrebene bliver stadig mere intelligente," siger Kim Schlyter.
Han beskriver, hvordan de kriminelle ved hjælp af "social engineering" lægger en detaljeret strategi for deres forsøg på svindel.
Hacking som research-værktøj
En metode er at hacke sig ind på menige medarbejderes computere eller mailkonti.
På den måde opbygger man et billede af virksomhedens interne arbejdsgange, og hvem der kommunikerer med hinanden.
"Der er tale om strategier lagt mod specifikke virksomheder, som har et svagt punkt. Hvis man hacker sig ind i en mailboks og kalender, kan man få en ret god fornemmelse for virksomhedens aktiviteter, samarbejdspartnere, projekter og indkøb. Med den information, skal der ikke meget til at opbygge en troværdig historie," siger Kim Schlyter.
Læs også: Politiet: Sådan kan du beskytte dig mod ny bølge af direktørsvindel
De kriminelle laver også en organisatorisk og psykologisk profil af svagheder hos virksomhederne og de ansatte, som de skal tale med.
Svage punkter kan for eksempel være korte beslutningsveje internt i virksomheden eller en virksomhedskultur, hvor de ansatte er vant til at parere ordre og ikke stille spørgsmål, når en overordnet giver en instruks.
Hos sikkerhedsfirmaet CSIS fortæller sikkerhedsekspert Peter Kruse, at overførslen af penge til svindlerne typisk sker til mail-adresser, der til forveksling ligner en ægte adresse. En klassisk metode er, at man udskifter et enkelt bogstav i et domænenavn.
På Computerworld.dk kan man for eksempel erstatte et enkelt bogstav, så det bliver til computerwor1d.dk (med et 1-tal i stedet for et lille "l").
Ifølge Peter Kruse researcher svindlerne også via de sociale medier, så de har bedre mulighed for at svare på kontrolspørgsmål om afsenderens identitet.
Blev svindlet for tocifret millionbeløb
Så sent som i sidste måned blev den amerikanske it-distributør Arrow udsat for et vellykket forsøg på "direktør-svindel", hvor det lykkedes kriminelle at få udbetalt 13 millioner dollar - eller cirka 88 millioner kroner.
Ifølge Arrows danske direktør Henrik Resting-Jeppesen har de kriminelle også - uden held - forsøgt sig med svindel mod den danske afdeling.
Læs også: Politiet: Sådan kan du beskytte dig mod ny bølge af direktørsvindel
Hos Deloitte understreger Kim Schlyter, at han ikke kender sagen fra Arrow. Men mønsteret tyder på, at det er et nøje planlagt angreb.
"Når der er nogen, der forsøger at angribe, og de gør det gentagne gange, så er det ikke tilfældigt," siger Kim Schlyter.
Problemet med "direktør-svindel" er også kendt i udlandet, og her er det store beløb, der svindles for.
USA's forbundspoliti FBI har kendskab til flere tusinde sager. FBI anslår, at der siden januar i fjor på globalt plan er svindlet for 1,2 milliarder dollar. Det er en stigning på 270 procent.
Læs også:
Politiet: Sådan kan du beskytte dig mod ny bølge af direktørsvindel
Falsk direktør franarrer it-firma 88 millioner kroner
Snapchat grovfusket: Fupmager udgav sig for at være direktøren for det hele