CEO-fraud er it-kriminalitet i rivende udvikling, og det koster danske virksomheder millioner af kroner, når hackere sender falske mails fra direktører til ansatte og får dem til at overføre store beløb til udenlandske konti.
Senest er det kommet frem, at hackere har lokket ansatte ved Statens Museum for Kunst til at overføre 805.000 kroner ved på email at udgive sig for at være direktør Mikkel Bogh.
Hackerne udnytter de ansattes ønske om at gøre det godt på arbejdet, og det er svært at købe et it-sikkerhedsprodukt, der beskytter mod velvilje.
Men ifølge sikkerhedsekspert Rasmus Theede kan man ved hjælp af helt enkle procedurer beskytte sin virksomhed eller organisation mod det meste CEO-fraud.
Etabler et system for finansielle transaktioner
Rasmus Theede er nordisk sikkerhedschef i CSC og har gennem årene arbejdet med it-sikkerhed i både Maersk, KMD og NNIT.
Og ifølge ham handler forsvar mod CEO-fraud først og fremmest om at få etableret de rigtige arbejdsgange.
"Det undrer mig meget, at enkelte ansatte mange steder kan føre penge ud af virksomheden. Så et godt råd er at få de helt basale procedurer for finansielle transaktioner på plads, så der altid er en anden person, der skal godkende overførsler. Hvis du har det på plads, så kræver det i hvert fald, at svindlerne snyder minimum to personer," siger han til Computerworld.
Rasmus Theede tilføjer, at man som fast praksis bør tale med den chef, der efterspørger en stor pengeoverførsel:
"Det er let at indføre, at hvis en transaktion overstiger et givent beløb, så skal man tale med personen i telefon eller ansigt til ansigt. Det er noget sværere at forfalske. Alternativt kan man få sat tofaktor-godkendelse op, så man er sikker på, at det rent faktisk er chefen, der har godkendt det."
Email er usikkert
CEO-fraud forekommer næsten altid i form af falske email-henvendelser fra direktør til ansat, og hvis hackeren bare kender direktørens navn, er det relativt let at skabe en falsk email-adresse, der tilsyneladende tilhører chefen.
Derfor anbefaler Rasmus Theede, at man sætter sit system op til kun at kunne modtage sikre emails.
"Det er vigtigt at forstå, at email som udgangspunkt ikke er sikkert. Enhver email kan forfalskes, og derfor er det en god ide for eksempel at gøre TLS til standarden for mails i virksomheden," siger han.
Han peger på, at TLS er simpel at bruge, da det i de fleste tilfælde kan slås til og fra i en mail-kontos indstillinger:
"Det koster ikke mange konsulenttimer at tjekke det flueben af."
Fortæl intet om din virksomhed
For at CEO-fraud skal fungere, skal hackerne i første omgang vide, hvem den pågældende leder er.
Det er svært at lave identitets-fusk, hvis man ikke kender identiteten.
Derfor er en stor del af de cyber-kriminelles arbejde at skabe overblik over virksomheders organisation, så de kan finde ud af, hvem de skal imitere.
Rasmus Theede har hos tidligere arbejdsgivere oplevet daglige telefonopkald fra kriminelle, der under påskud af forretningsanliggender ville have navne på ledere på forskellige niveauer.
Til sidst havde de totalt overblik over virksomheden, og så begyndte der at tikke phishing-mails ind hos alle chefer.
Derfor anbefaler han, at man gør de falske direktørers arbejde meget sværere ved simpelthen ikke at fortælle nogen, hvem der arbejder hvor i virksomheden.
"Vi har en politik om, at man aldrig udleverer nogen former for information om organisationen, medmindre man kender personen i den anden ende. Det kan være lidt grænseoverskridende, men det gør det noget sværere at kortlægge virksomheden," siger han.
Rasmus Theede understreger, at man aldrig kan helgardere sig mod svindel, hvis man samtidig skal have en dagligdag til at køre:
"Man kan aldrig være 100 procent sikker, men hvis man har de rigtige procedurer, så tager man nok 85 procent af det. Og jeg tror, at der sidder nogen inde på Statens Museum for Kunst og river sig i håret over, at de ikke havde dette her på plads."