Pressemelding

Direktørsvindel brer om seg

April 2016

  • Share

Svindlere forsøker å stjele store pengebeløp gjennom å utgi seg for å være virksomhetens toppleder, også kalt «direktørsvindel» eller «whaling». Norske myndigheter er meget bekymret for utviklingen og oppgir at slike angrep øker betydelig i Norge.

Hva er direktørsvindel?
Svindelen skjer ved at en ansatt i virksomheten mottar en epost og blir bedt om å overføre et stort beløp fra bedriften. Svindleren har forberedt seg godt og meldingen eller eposten ser ut til å komme fra daglig leder eller finanssjefen, transaksjonen haster og den er svært viktig og konfidensiell. Eposten er troverdig og godt formulert, og avsender er forfalsket og ser ut til å være administrerende direktør eller andre med fullmakter. Svindlerne kan også bruke Skype, og avsender er også i disse tilfellene forfalsket slik at du ser bildet og navnet til sjefen. Alternativt settes offeret i kontakt med en fiktiv advokat som skal gjennomføre eksempelvis et oppkjøp av et selskap. Svindlerne («advokaten») legger gjerne ekstra press på ofrene sine ved å purre pr telefon og poengtere at det haster med overføringen. Det er svært vanskelig for mange medarbeidere å avdekke denne formen for svindel. Når svindelen blir avdekket i virksomheten er beløpet allerede overført og tatt ut fra en utenlandsk bankkonto. I slike tilfeller vil «offeret» i tillegg være den første mistanken faller på, og vil kunne bli mistenkt for utroskap mot sin egen arbeidsgiver.

Uklart omfang
FBI har rapportert om at det på verdensbasis (79 land er omfattet) svindles for totalt 10 milliarder NOK på denne måten. Det foregår også i Norge, uten at omfanget er kjent. Den første norske saken ble meldt til politiet sommeren 2015, og i 2016 mottar både Nasjonal sikkerhetsmyndighet (NSM) og politiet daglige henvendelser om denne type svindel. Trolig er mørketallene store.

Vær oppmerksom
Tenk spesielt over og ta en ekstra kontroll internt om:

  • Beløpet som skal utbetales ligger innenfor din fullmaktsgrense
  • Normale godkjenningsprosedyrer før utbetaling er fulgt
  • Utbetalingene faktisk haster så mye som det gis inntrykk av
  • Det benyttes en språkbruk som avviker fra det normale
  • Avsenderadressen til eposten er korrekt. Sjekkes ved å holde musepilen over avsenders epostadresse. Dukker det da opp en ukjent adresse?
  • Ha gode rutiner slik at alle større utbetalinger må bekreftes på andre måter enn ved bruk av epost.

Forebygg svindel
Alle virksomheter bør ha systematisk opplæring for de ansatte innen informasjonssikkerhet. Det er viktig at alle kjenner til generelle og spesifikke trusler samt er kjent med hvordan de best kan beskytte egen og virksomhetens informasjon og verdier. Ansatte innen finans med fullmakter til å utbetale store pengebeløp må være spesielt kjent med risikoen for denne formen for svindel.

Virksomheten bør etablere rapporteringsrutiner for svindelforsøk og gjøre alle medarbeidere kjent med hvordan slike uønskede hendelser rapporteres og håndteres. Det bør være et fast kontaktpunkt i bedriften for rapportering eller spørsmål knyttet til slike hendelser. Straffbare handlinger som slik svindel bør alltid anmeldes til politiet.

Trusselbildet er i stadig endring og alle virksomheter må regne med å bli utsatt for svindelforsøk digitalt. Det er viktig å foreta realistiske øvelser slik at det tidlig kan avdekkes om virksomheten er robust nok til å takle ulike former for trusler ved å trene de ansatte i å avdekke og håndtere at nettopp deres virksomhet blir utsatt for svindelforsøk.

 

Les mer om dette hos:

Aftenposten
Aftenposten
VG
Nasjonal sikkerhetsmyndighet
FBI

Kontaktpunkter i EY:

Tone Bakås, Senior Manager, EY Advisory
Cyber security in the Nordics