Antallet af tilfælde af CEO Fraud mod virksomheder er hastigt stigende

I takt med den teknologiske udvikling er IT-kriminalitet et stigende problem for udenlandske og danske virksomheder. Hackere og svindlere er kreative som aldrig før og formår at snyde virksomheder for flere hundrede millioner kroner. Som virksomhed er det vigtigt at tage sine forholdsregler for at formindske risikoen for et angreb bedst muligt – i modsat fald kan der opstå problemer i relation til udbetaling af forsikringsdækning.
News
IT og Teknologi

Svig mod virksomheder er blevet et voksende problem, og svindlerne er meget ”dygtige”. Den såkaldte direktørsvindel eller CEO Fraud er en af de svindelmetoder, som er vidt udbredt blandt svindlerne i IT-øjemed. Politiets nye landsdækkende center for IT-relateret økonomisk kriminalitet, LCIK, modtager 1-2 anmeldelser om dagen om CEO Fraud. Ifølge et skøn fra bankernes brancheorganisation, Finans Danmark, har denne form for svindel påført danske virksomheder et samlet tab på 120 millioner kroner i det første halvår af 2019.

Hvordan foregår CEO Fraud?

CEO Fraud kan bestå i, at svindlere præsenterer sig som værende virksomhedens topchef eller dennes repræsentant – oftest topchefens advokat – som handler på vegne af topchefen ved hjælp af en fuldmagt. Svindlerne henvender sig til virksomheden ved at sende en e-mail til en medarbejder - typisk en regnskabsmedarbejder – og beder denne medarbejder om at overføre store millionbeløb til banker i udlandet. Det oplyses ofte i anmodningen, at overførelsen er særligt fortrolig, og at denne skal foretages hurtigst muligt, helst samme dag eller næste dag. Svindlerne følger ofte op på deres anmodning ved at sende flere e-mails, hvori de endnu en gang rykker for en hurtig overførsel.

Hele fupnummeret starter med, at svindlerne formår at hacke sig ind i virksomhedernes systemer, og på denne måde fremstår henvendelsen til regnskabsmedarbejderen ofte som besvarelser i eksisterende interne e-mailtråde. Svindlerne kan ligeledes tage svindelnummeret op på et højere niveau ved at aflure og gøre brug af interne koder og/eller koncernspecifikt sprog, som går det langt mere troværdigt, at overførselsanmodningen kommer direkte fra virksomhedens egen topchef.

Foruden at sende e-mails kan svindlerne derudover foretage telefonopkald for at fremstå endnu mere troværdige og ligge yderligere pres på medarbejderen.

E-mail Fraud

E-mail Fraud er en lignende svindelmetode, som ligeledes benyttes i stigende grad. Denne svindelmetode består i, at svindlere udgiver sig for at være virksomhedens leverandører og kræver betaling for allerede udstedte eller vedhæftede fakturaer. Svindlerne hacker sig i disse situationer ind i virksomhedens IT-system, hvorfra de kan administrere kundelister og tidligere betalte fakturaer. Herefter forfalsker svindlerne fakturaer og henvendelser på en måde, så de fremstår identiske med de oprindelige fakturaer, dog med ændrede kontonumre hvortil betalinger skal ske.

Problemet i en international kontekst

Den stigende IT-kriminalitet har ifølge FBI’s statistikker de sidste 3 år forårsaget et tab på mere end 3 milliarder dollars for virksomheder i 100 lande, som har indberettet deres tab efter at være blevet udsat for IT-svindel. Siden januar 2015 har FBI konstateret en stigning på 270 % i antal identificerede ofre for CEO Fraud og relateret tab. FBI konstaterer ligeledes, at CEO Fraud både rammer store og små virksomheder.

Sikkerhedsforanstaltninger og løsninger til problemet

I Danmark har SØIK (Statsadvokaten for Særlig Økonomisk og International Kriminalitet), på samme måde som FBI i USA, fremlagt en række gode råd til, hvordan danske virksomheder beskytter sig mod CEO Fraud og E-mail-svig:

  • Alle medarbejdere, ikke blot i regnskabsafdelingen, skal have kendskab til CEO Fraud, herunder svindlernes typiske metoder.
  • Virksomheden skal opdatere sine procedurer for store overførsler. Virksomheden kan gøre sig tanker omkring, hvorvidt den har de rette beløbsgrænser, om de rette personer har adgang til at overføre penge, og om én person alene må kunne overføre pengene. FBI anbefaler specifikt, at større overførsler altid kræver autorisation fra flere personer.
  • Alle skal være særligt opmærksomme ved anmodninger om elektroniske overførsler – især de, der angiver hastende karakter.
  • Virksomheden skal gøre det muligt at få bekræftet kontakt fra direktøren/chefen - eksempelvis ved et opfølgende telefonopkald. Svindlerne udnytter ofte tidspunkter, hvor direktøren/chefen er utilgængelig, som f.eks. i ferietider.
  • Virksomheden skal kontrollere anmodninger om transaktioner til udlandet for fejl og mangler, såsom stavefejl i virksomhedsnavne og adresser. Svindlerne gør typisk brug af forholdsvis nystartede eller fiktive virksomheder, hvorfor en simpel søgning på internettet kan vække mistanke om svindel.

Lund Elmer Sandagers yderligere kommentarer

SØIK’s råd bør følges, men virksomheder bør ligeledes foretage yderligere foranstaltninger. Det er derudover vigtigt at være opmærksom på, om I har indført effektive såkaldte ”to faktor” godkendelser ved pengeoverførsler. Det er vigtigt at have en aktiv handlepligt i de situationer, hvor der kommer henvendelser fra interne ledere angående udbetalinger. Virksomhederne bør derudover vise god reaktionsevne ved at tage kontakt til virksomhedens bank, for at få stoppet eventuelle mistænkelige betalinger. Virksomhederne bør ligeledes være effektive til at kontakte de relevante myndigheder i landet og i andre lande med henblik på en efterforskning af sagen, når svindlen er foretaget eller er ved at blive foretaget.

Kan virksomheden ikke dokumentere effektive procederer for at undgå CEO Fraud kan det få betydning for muligheden for at få forsikringsmæssig dækning af et eventuel tab. 

Hvis du vil vide mere om, hvordan du forebygger CEO Fraud og E-mail Fraud i din virksomhed, er du velkommen til at kontakte associeret partner Torsten Hylleberg på +45 33 300 252 eller thy@les.dk.