VD-bedrägeri
VD-bedrägeri, även känt som whaling, är ett hett ämne vid sidan av ransomware. Detta beror delvis på att många organisationer måste ha sina anställda att arbeta hemifrån till följd av Corona-pandemin. De primära övervägandena för många organisationer är kontinuitet i driften och användarvänlighet för anställda att upprätthålla åtkomst till systemen. Som ett resultat av detta gäller inte vissa kontroller (oavsiktligt) längre eller så blir systemen sårbara, vilket gör det lättare för cyberbrottslingar att infiltrera vissa affärsprocesser.
Kort sagt är VD-bedrägeri en typ av bedrägeri där en företagsanställd tror sig ha fått ett e-postmeddelande från en chef eller direktör som ber dem att göra eller överföra en betalning. Detta involverar givetvis inte den egentliga chefen eller direktören och betalningen sker till en så kallad pengamula (money mule) eller ett konto under ledning av cyberbrottslingarna, varefter beloppet omdirigeras till andra konton.
Trots den uppmärksamhet denna form av cyberbrottslighet har fått under de senaste åren är den fortfarande ett stort problem, delvis för att den fortsätter att utvecklas. När allt kommer omkring har stavfel i e-postmeddelanden minskat eller till och med saknats, och layouten på en e-post/faktura är mer trovärdig eftersom folk använder mallar från e-postmeddelanden eller fakturor som hittas på nätet. Social ingenjörskonst är också mer använd på grund av mängden data som kan hittas om företag eller anställda online.
Eftersom Corona-pandemin ännu inte är helt bakom oss och att arbeta hemifrån har blivit den nya normen, förväntas denna lukrativa form av Business E-mail Compromise år 2022 att ofta utnyttjas av cyberbrottslingar för att uppnå sina mål.
Förutom att identifiera ett bedrägligt e-postmeddelande genom vissa egenskaper är det också mycket viktigt att diskutera företagskulturen och att kontinuerligt förbättra de etablerade affärsprocesserna.
Företagskultur
En av de främsta anledningarna till att VD-bedrägerier är framgångsrika för cyberkriminella är för att det använder den mänskliga faktorn. En begäran skickas på uppdrag av en högt uppsatt person, men offret som begäran skickas till väljs också medvetet ut av cyberbrottslingar. Dessa tar hänsyn till betalningsbefogenhet och till exempel den tid någon har arbetat för organisationen. I en hierarkisk organisation anses det ofta vara för skrämmande att prata med någon i en högre position, vilket ökar sannolikheten för framgång.
Under Corona-pandemin började många människor ett nytt jobb utan att ha träffat några av sina kollegor personligen (på grund av att de jobbade hemifrån). Detta gör att rapporter/varningar misslyckas för att de inte känner till den korrekta proceduren, de är mindre benägna att be om hjälp eller att de inte vill störa en kollega i deras frånvaro.
Det är viktigt att skapa en företagskultur där anställda känner sig trygga nog att rapportera potentiellt bedrägliga e-postmeddelanden. Gör detta genom att förklara proceduren för betalningar, vad man ska göra om man är tveksam och vem man ska kontakta (intern kommunikation). Ett alternativ här är att belöna anställda för att de upptäcker och rapporterar sådana e-postmeddelanden. Det kostar trots allt mycket mindre pengar att ge en anställd ett knippe blommor än att föra över pengar till nätbrottslingars konto. Givetvis är det då också viktigt att medarbetarna får 'verktygen' att identifiera detta problem, till exempel genom medvetandeutbildning.
Affärsprocesser
Utöver att skapa medvetenhet kan tydliga affärsprocesser också hjälpa till att ta bort osäkerheten eller rädslan för att be om hjälp. På så sätt kan det fastställas att:
- Begäran om betalningar eller ändringar av kontonummer bör verifieras inte bara via post utan även på annat sätt.
- det finns tydliga riktlinjer kring fakturering. Vem är behörig att godkänna fakturan, vilka kontonummer som används mm.
- principen om fyra ögon används. Därvid bör förfrågningar om överföring av medel alltid verifieras av två olika personer inom organisationen.
- det finns en avdelning som kan kontaktas för att kolla ett mail.
Dessutom kan tekniska åtgärder förhindra att anställda kommer i kontakt med bedrägliga e-postmeddelanden. Detta inkluderar att korrekt konfigurera en e-postserver eller e-posttjänst, men också att tillämpa VPN och/eller MFA om man behöver komma åt e-post och/eller betalningssystem hemifrån.
Alla de nämnda affärsprocesserna bör också ses över regelbundet (Planera, Göra, Kontrollera, Agera). Särskilt i den fortfarande pågående övergången från lokalt till distansarbete är det viktigt att etablerade affärsprocesser är och förblir realistiska och genomförbara.
DataExpert hjälper till
Som nämnts tidigare i artikeln är ett viktigt steg i att bekämpa vd-bedrägerier att skapa medvetenhet bland anställda. DataExpert erbjuder en workshop om cyberbrottslighet och medvetenhet om cybersäkerhet där olika grupper av anställda görs medvetna om cyberbrottslighet och hur de ska agera. Vill du ha mer information om detta? Klicka här.