Af Lars Bennetzen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
For danske virksomheder bliver cyber-kriminalitet et stadig større problem. I de seneste 12 måneder er to ud af tre danske virksomheder blevet angrebet. Det viser PwC’s Cybercrime Survey 2020.
Men hvor det tidligere var virksomhedernes firewall og spamfilter, der var fokus for hackerne, så er det nu medarbejderne, de har rettet blikket mod. De er ofte en virksomheds svageste led i forsvaret mod cyber-kriminelle, og som alle andre går hackerne som regel efter de lavthængende frugter.
”CxO-fraud er bestemt ikke noget nyt. Men ligesom vand altid tager den nemmeste vej, så gør de kriminelle det samme, og efterhånden er der lukket så mange andre oplagte døre, de kriminelle kan tjene penge på,” fortæller Klaus Kongsted, CRO hos den danske sikkerhedsspecialist Dubex, til AOD PRO.
Han fortsætter med at fortælle, at hvor vi malware, typisk ransomware, spredes gennem phishing, der sendes bredt ud, så er CxO-fraud – på dansk: direktørsvindel – et meget præcist skud.
”Min vurdering er, at det er den form for målrettet cyberkriminalitet, der er ”nemmest” at gå til, idet lidt research på Facebook og tilsvarende sociale medier, ofte er nok,” siger Klaus Kongsted.
79 procent ramt af phishing
Det understøttes af rapporten fra PwC, som blandt andet viser, at 79 procent af de angrebne virksomheder har oplevet phishingangreb i 2020 – mod 68 procent i 2019. Med denne type angreb forsøger de kriminelle at lokke passwords og personlige oplysninger ud af medarbejderne.
42 procent har oplevet forsøg på CEO-fraud (også kaldet CxO-fraud, red.) i 2020 – mod 30 procent i 2019. Her udgiver de cyberkriminelle sig for at være direktør i virksomheden og forsøger at overtale medarbejdere til at overføre penge til en udenlandsk konto.
”Det er et klart stigende problem. Formentlig af de grunde jeg nævnte før. Forøget opmærksomhed, bedre beskyttelsessystemer og mere ledelsesopmærksomhed – og deraf flere ressourcer til mitigeringer – giver trange kår for den tidligere former for angreb.
Det ses også i rapporten fra PwC, hvor netop uautoriseret adgang har de største relative stigninger. Et område der dækker over den del af forskellige angrebsvektorer,” forklarer Klaus Kongsted.
Alle kan rammes
Denne form for cyberkriminalitet er noget, der kan ramme alle typer af virksomheder. Men Klaus Kongsted fortæller, at private smv’er dog er overrepræsenterede i statistikken.
”Det er ikke så overraskende. Her er de organisatoriske kontroller med udbetalinger mindst. Større offentlige organisationer, børsnoterede virksomheder og den finansielle sektor ser vi sjældent her. De har nogle meget fastlagte procedurer til udbetaling, og er vant til at arbejde med governance,” pointerer Klaus Kongsted.
Klaus Kongsted giver afslutningsvis tre råd til, hvordan virksomhederne kan mindske risikoen for at blive ramt af CEO-fraud:
1. Ring til chefen – også i weekenden. Hvis du modtager en mærkelig mail eller sms, hvor din chef beder dig overføre penge, købe gavekort eller lignende, så er det altid en god idé lige at ringe til vedkommende for at høre, om det nu også kan være rigtigt.
2. NO! Don’t click on the link. Lad være med at klikke på links i tvivlsomme eller mærkelige e-mails (phishing) eller sms’er (smishing), hvor man beder om personlige oplysninger. Tjek for eksempel, om afsendernavnet og mailadressen stemmer overens. Gør de ikke det, er der muligvis noget galt.
3. Vær på vagt over for vedhæftede filer. Kør altid en virusscanner, inden du åbner for eksempel jobansøgninger, klager fra kunder eller fakturaer fra leverandører. Mange dokumenter, videoer og billeder kan have virus og malware tilknyttet, så der bliver installeret hackersoftware og ”bagdøre”, hvis du bare åbner disse filer.