Antallet af tilfælde af CEO Fraud mod virksomheder er hastigt stigende

I takt med den teknologiske udvikling er IT-kriminalitet et stigende problem for udenlandske og danske virksomheder. Hackere og svindlere er kreative som aldrig før og formår at snyde virksomheder for flere hundrede millioner kroner. Som virksomhed er det vigtigt at tage sine forholdsregler for at formindske risikoen for et angreb bedst muligt – i modsat fald kan der opstå problemer i relation til udbetaling af forsikringsdækning.
Nyhed
IT og Teknologi

Svig mod virksomheder er blevet et voksende problem, og svindlerne er meget ”dygtige”. Den såkaldte direktørsvindel eller CEO Fraud er en af de svindelmetoder, som er vidt udbredt blandt svindlerne i IT-øjemed. Politiets nye landsdækkende center for IT-relateret økonomisk kriminalitet, LCIK, modtager 1-2 anmeldelser om dagen om CEO Fraud. Ifølge et skøn fra bankernes brancheorganisation, Finans Danmark, har denne form for svindel påført danske virksomheder et samlet tab på 120 millioner kroner i det første halvår af 2019.

Hvordan foregår CEO Fraud?

CEO Fraud kan bestå i, at svindlere præsenterer sig som værende virksomhedens topchef eller dennes repræsentant – oftest topchefens advokat – som handler på vegne af topchefen ved hjælp af en fuldmagt. Svindlerne henvender sig til virksomheden ved at sende en e-mail til en medarbejder - typisk en regnskabsmedarbejder – og beder denne medarbejder om at overføre store millionbeløb til banker i udlandet. Det oplyses ofte i anmodningen, at overførelsen er særligt fortrolig, og at denne skal foretages hurtigst muligt, helst samme dag eller næste dag. Svindlerne følger ofte op på deres anmodning ved at sende flere e-mails, hvori de endnu en gang rykker for en hurtig overførsel.

Hele fupnummeret starter med, at svindlerne formår at hacke sig ind i virksomhedernes systemer, og på denne måde fremstår henvendelsen til regnskabsmedarbejderen ofte som besvarelser i eksisterende interne e-mailtråde. Svindlerne kan ligeledes tage svindelnummeret op på et højere niveau ved at aflure og gøre brug af interne koder og/eller koncernspecifikt sprog, som går det langt mere troværdigt, at overførselsanmodningen kommer direkte fra virksomhedens egen topchef.

Foruden at sende e-mails kan svindlerne derudover foretage telefonopkald for at fremstå endnu mere troværdige og ligge yderligere pres på medarbejderen.

E-mail Fraud

E-mail Fraud er en lignende svindelmetode, som ligeledes benyttes i stigende grad. Denne svindelmetode består i, at svindlere udgiver sig for at være virksomhedens leverandører og kræver betaling for allerede udstedte eller vedhæftede fakturaer. Svindlerne hacker sig i disse situationer ind i virksomhedens IT-system, hvorfra de kan administrere kundelister og tidligere betalte fakturaer. Herefter forfalsker svindlerne fakturaer og henvendelser på en måde, så de fremstår identiske med de oprindelige fakturaer, dog med ændrede kontonumre hvortil betalinger skal ske.

Problemet i en international kontekst

Den stigende IT-kriminalitet har ifølge FBI’s statistikker de sidste 3 år forårsaget et tab på mere end 3 milliarder dollars for virksomheder i 100 lande, som har indberettet deres tab efter at være blevet udsat for IT-svindel. Siden januar 2015 har FBI konstateret en stigning på 270 % i antal identificerede ofre for CEO Fraud og relateret tab. FBI konstaterer ligeledes, at CEO Fraud både rammer store og små virksomheder.

Sikkerhedsforanstaltninger og løsninger til problemet

I Danmark har SØIK (Statsadvokaten for Særlig Økonomisk og International Kriminalitet), på samme måde som FBI i USA, fremlagt en række gode råd til, hvordan danske virksomheder beskytter sig mod CEO Fraud og E-mail-svig:

  • Alle medarbejdere, ikke blot i regnskabsafdelingen, skal have kendskab til CEO Fraud, herunder svindlernes typiske metoder.
  • Virksomheden skal opdatere sine procedurer for store overførsler. Virksomheden kan gøre sig tanker omkring, hvorvidt den har de rette beløbsgrænser, om de rette personer har adgang til at overføre penge, og om én person alene må kunne overføre pengene. FBI anbefaler specifikt, at større overførsler altid kræver autorisation fra flere personer.
  • Alle skal være særligt opmærksomme ved anmodninger om elektroniske overførsler – især de, der angiver hastende karakter.
  • Virksomheden skal gøre det muligt at få bekræftet kontakt fra direktøren/chefen - eksempelvis ved et opfølgende telefonopkald. Svindlerne udnytter ofte tidspunkter, hvor direktøren/chefen er utilgængelig, som f.eks. i ferietider.
  • Virksomheden skal kontrollere anmodninger om transaktioner til udlandet for fejl og mangler, såsom stavefejl i virksomhedsnavne og adresser. Svindlerne gør typisk brug af forholdsvis nystartede eller fiktive virksomheder, hvorfor en simpel søgning på internettet kan vække mistanke om svindel.

Lund Elmer Sandagers yderligere kommentarer

SØIK’s råd bør følges, men virksomheder bør ligeledes foretage yderligere foranstaltninger. Det er derudover vigtigt at være opmærksom på, om I har indført effektive såkaldte ”to faktor” godkendelser ved pengeoverførsler. Det er vigtigt at have en aktiv handlepligt i de situationer, hvor der kommer henvendelser fra interne ledere angående udbetalinger. Virksomhederne bør derudover vise god reaktionsevne ved at tage kontakt til virksomhedens bank, for at få stoppet eventuelle mistænkelige betalinger. Virksomhederne bør ligeledes være effektive til at kontakte de relevante myndigheder i landet og i andre lande med henblik på en efterforskning af sagen, når svindlen er foretaget eller er ved at blive foretaget.

Kan virksomheden ikke dokumentere effektive procederer for at undgå CEO Fraud kan det få betydning for muligheden for at få forsikringsmæssig dækning af et eventuel tab. 

Hvis du vil vide mere om, hvordan du forebygger CEO Fraud og E-mail Fraud i din virksomhed, er du velkommen til at kontakte associeret partner Torsten Hylleberg på +45 33 300 252 eller thy@les.dk.

Kontakt
Torsten Hylleberg
partner
advokat

Relaterede medarbejdere

Daniel er advokatfuldmægtig i vores afdeling for Corporate Commercial.

Daniel Benjamin Pedersen

advokatfuldmægtig
Torsten er certificeret IT-advokat og højt specialiseret inden for persondataret, markedsføringsret og IT-ret.

Torsten Hylleberg

partner
advokat

Relaterede nyheder

Se alle nyheder
Nyhed

AI-ekspert: “AI er en trussel for dem, der sidder på deres hænder.”

Hvordan kan du som leder bruge AI til at skabe vækst og innovation i din virksomhed? Det har vi spurgt AI-ekspert Thomas Terney om. Han mener, at generativ AI er en teknologi, der kommer til at ændre den måde, vi kommunikerer og arbejder på. Han kommer også med gode råd til, hvordan du som ledelse skal sikre succesfuld implementering af AI-værktøjer, som er en vital forudsætning for at forblive konkurrencedygtig i en verden, hvor udbredelse af AI sker i et hidtil uset tempo.
IT og Teknologi
Nyhed

Kan lovgivningen følge med AI?

Udbredelsen af AI-baserede tjenester som ChatGPT buldrer af sted, og det er nemt at se fordele ved den nye teknologi. Men kunstig intelligens rejser også mange nye juridiske udfordringer, som lovgivningen nu skal forholde sig til. Få et indblik i nogle af de aktuelle problematikker, og bliv klogere på EU's digitale strategi på området.
IT og Teknologi
Nyhed

Ny vejledning fra Da­ta­til­sy­net om direkte mar­keds­fø­ring

Datatilsynet har udgivet en ny vejledning om direkte markedsføring, som trådte i kraft den 30. juni 2023. Vejledningen er særligt for private virksomheder, der optræder som dataansvarlige. Nedenfor finder du en kort opsummering af den nye vejledning.
IT og Teknologi
Nyhed

Lund Elmer Sandager bidrager til International Comprative Legal Guide – Data Protection 2023

Lund Elmer Sandager har bidraget med et oplysende kapitel om GDPR (General Data Protection Regulation), der giver opdaterede indsigter i de danske juridiske regler om GDPR i denne prestigefyldte internationale vejledning.
IT og Teknologi
Nyhed

Europæiske virk­som­he­der kan igen overføre persondata sikkert til USA

EU-Kommissionen har den 10. juli 2023 besluttet, at EU-U.S. Data Protection Framework nu kan bruges til sikkert at overføre personoplysninger fra EU til USA. Sådanne overførsler kan derfor ske uden ekstra sikkerheds- eller beskyttelsesforanstaltninger ved brug af EU-U.S. Data Protection Framework.
IT og Teknologi
Nyhed

Hvordan indgår og frigør virksomheder sig af overenskomster?

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.
IT og Teknologi