Kreditthåndtering

Svindlerne tar aldri ferie

23. juni 2021 Lesetid: 14 min
Følg ekspertenes tips og unngå at bedriften din blir svindlet i sommer.

Det har vært et uvanlig år for mange av oss, både som bedriftseiere, ansatte og privatpersoner. Det er derfor helt normalt at pulsen senker seg nå som vi er på vei inn i den rolige sommerperioden.

Dessverre vet vi at svindlerne ikke tar ferie. De står i stedet klare til å utnytte at mange bedrifter kjører med redusert bemanning og sommervikarer.

Før du senker skuldrene og tar en velfortjent sommerferie bør du derfor dobbeltsjekke at bedriftens rutiner er på plass.

Alle kan bli rammet

Det er lett å tenke at ens egen bedrift ikke er et attraktivt mål for nettkriminalitet. Det er imidlertid et utgangspunkt NorSIS (Norsk senter for informasjonssikring) advarer sterkt mot i sin nye rapport om Trusler og Trender 2021:

"Det er feil. Vi har alle verdier som kan videreselges, brukes til utpressing eller omsettes på en eller annen måte. Og kanskje er ikke din virksomhet hovedmålet for angrepet, men en vei inn til en kunde, leverandør eller en annen kontakt dere har. Informasjonssikkerhet er derfor like viktig enten du driver frisørsalong, nettbutikk eller leverer teknologi til oljeindustrien eller kritisk infrastruktur."

Hvorfor er det viktig med gode rutiner?

Mens tidligere svindelforsøk ofte var dårlig oversatt og derfor enkle å avsløre, er dagens svindlere langt proffere. Selv om det er den enkelte ansattes ansvar å passe på sitt eget brukernavn og passord, er det derfor viktig å ha rutiner som sørger for at varselklokkene ringer dersom de:

  • mottar en SMS/e-post fra en kollega som ber om passord til det interne nettverket
  • får en e-post med beskjed om endre eller oppdatere sitt brukernavn og passord
  • får en e-post som ber dem om å klikke på en URL som ser litt annerledes ut enn vanlig

LES MER: Er din bedrift i rute med det digitale skiftet?

Phishing av de ansattes jobb-ID

Med Phishing menes digital snoking etter sensitiv informasjon, det kan være passord og brukernavn på jobb-kontoen din, eller din kredittkortinformasjon.

Den vanligste svindelmetoden er å sende en falske SMS eller e-post, eller opprette en falsk nettside som ligner mistenkelig på nettsider de ansatte vanligvis bruker. Siden de fleste bedrifter bruker verktøy fra Microsoft bruker derfor svindlerne ofte falske innloggingssider for Outlook og Office 365 når de prøver å lure dine ansatte.

Anbefalt lesning: NorSIS årlige rapport om Trusler og Trender 2021 og PDF-guiden fra finske Cyber ​​Security Center (engelsk).

Dersom svindlere lykkes med å få tak i en ansatts jobb-ID kan de gjøre stor skade. En ting er at de kan drive med fakturasvindel og få tilgang til forretningshemmeligheter, men når uvedkommende har tilgang til de ansattes brukernavn og passord øker også sjansen for at bedriften kan bli utsatt for løsepengevirus. Ifølge NorSIS vil dette typisk skje ved at man lurer de ansatte til å trykke på en URL som installerer skadelig programvare, programvare som så låser bedriftens data.

Thor-Martin-Abell-Bjerke_VIRKE– Vi ser en tydelig trend på at stadig flere svindelforsøk rettes direkte mot bedriftenes beslutningstagere, ledelse eller andre med ansvar for bedriftens økonomiske forhold.

Dette åpner også opp for det vi i dag kaller for CEO-svindel eller direktør-svindel, sier Thor Martin Abell Bjerke, sikkerhetsrådgiver hos VIRKE - hovedorganisasjonen for handels- og tjenestenæringen.

Dette bør dere ha instrukser på:

  • Selskapet bør be sine ansatte om å dobbeltsjekke at de kun bruker sin jobb-ID og passord på passordbeskyttede og trygge nettverk.
  • Dere bør innføre totrinns-pålogging som standard på virksomhetens systemer
  • De ansatte må dobbeltsjekke at de er på den riktige nettsiden og ikke en svindelside. Dette gjøres ved å skrive nettadressen til nettjenesten direkte i nettleserens adressevindu. Man bør altså ikke klikke på lenker som kommer i e-poster.
  • Den beste sikringen mot løsepengevirus er at bedriften automatisk tar sikkerhetskopier med jevne mellomrom, og at alle programvare som brukes på bedriftens maskiner oppdateres kontinuerlig

Laskutuspetos_1

Unngå phishing ved å dobbeltsjekke nettsidens URL.

Kataloghaiene: Fortsatt et problem

Ifølge VIRKE er en kataloghai et useriøst firma som lever av å villede bedrifter til å inngå verdiløse kontrakter eller selge unødvendige tjenester.

Det starter som regel ved at man blir oppringt av en tilsynelatende seriøs person, gjerne med et firmanavn som minner om opplysningen 1881 eller gulesider.no. Den som ringer sier at de bare skal sjekke om informasjonen om virksomheten din er riktig, eller om det har kommet noen endringer.

Den ulykksalige ansatte som svarer på spørsmålene tror dermed at de snakker med en seriøs aktør og svarer derfor på spørsmålene etter beste evne. I utgangspunktet er det altså ingen indikasjoner på at dette er en betalt tjeneste. Regningen nevnes kanskje i en bisetning på slutten av samtalen, men innen kort tid kommer det en faktura for katalogtjenesten.

– Vi har gjort to undersøkelser på dette, og begge viser at hele 7 av 10 norske bedrifter har blitt utsatt for forsøk på katalogsvindel, sier Thor Martin Abell Bjerke , sikkerhetsrådgiver hos VIRKE.

– Dette betyr heldigvis ikke at alle disse har blitt svindlet. Økt oppmerksomhet rundt problemet har gjort at færre blir lurt, samtidig som det også har blitt færre kataloghaier på det norske markedet. Det siste kan vi i stor grad takke Skatteetaten for. De har vært flinke til å følge pengene, og siden de fleste kataloghai-firmaene ikke har vært så glade i å betale MVA har de dermed blitt satt ut av spill, sier han.

– Selv om det har blitt færre kataloghaier som lykkes, er det verdt å minne om at de fortsatt kan svindle til seg store summer. En ting er at enkeltbedrifter kan bli lurt for høye beløp, men selv små beløp fra mange bedrifter vil raskt gi et totalbeløp på flere millioner i løpet av et år. Dette er derfor fortsatt et problem vi må ta på alvor, sier Bjerke.

Direktør- og fakturasvindel

– De siste årene har dessverre vist en klar oppgang i forfalskede fakturaer og direktørsvindel, sier Bjerke.

Forfalskede fakturaer er tilsynelatende en helt legitim faktura, men hvor svindlerne for eksempel har endret kontonummeret på fakturaen slik at det er de og ikke bedriften som mottar betalingen. Ifølge NorSIS knyttes fakturasvindel opp mot større hendelser. For eksempel kan svindlerne sende en faktura på kontorrekvisita, rekvisita som bedriften aldri har bestilt.

– Når det gjelder fakturasvindel er det verdt å merke seg at stadig flere svindlerne har begynt å bruke EHF-fakturaer, sier Bjerke. Dette er jo digitale fakturaer som går rett inn i regnskapssystemet, og dermed slår svindlerne to fluer i en smekk: Fakturaen ser tilsynelatende ekte ut fordi den allerede ligger i systemet, og i tillegg slipper svindlerne å bruke penger på porto.

Direktør-svindel handler derimot om identitetstyveri. Via SMS eller e-post vil for eksempel svindlerne gi seg ut for å være en direktør eller annen sjef i virksomheten, og ber så en i økonomiavdelingen om å betale en falsk faktura eller foreta en bankoverføring til et gitt kontonummer.

– Også vi i VIRKE har blitt utsatt for et forsøk på direktør-svindel, men klarte heldigvis å avsløre forsøket på grunn av gode rutiner. Her er det likevel mange som blir lurt, så moralen er enkel: Er du i tvil om henvendelsen er riktig, så må du spørre en kollega eller ta direkte kontakt med avsenderen, sier Bjerke.

– Når det gjelder direktør-svindel er forøvrig min erfaring at bedrifter som har engelsk som arbeidsspråk har en større risiko for å bli svindlet. Vi ser jo at mange svindelforsøk avsløres på grunn av dårlig norsk, så en mulig forklaring kan være at de utenlandske svindlerne unngår språkbarrieren når de kontakter bedrifter hvor engelsk er arbeidsspråket, avslutter Bjerke.

Dette bør dere ha instrukser på:

  • Så langt det er mulig bør de som godkjenner fakturaer vite hvilke fakturaer som forventes i sommerperioden
  • Henvendelser om pengeoverføringer og endring av kontonummer bør alltid dobbeltsjekkes med den det gjelder. Husk at slike sjekker alltid må skje via en annen kanal enn den som ble brukt da du ble varslet om endringen. Har du fått beskjed via e-post hjelper det altså ikke å svare på denne, eller ringe telefonnummeret oppgitt i e-posten
  • Sørge for at prosedyrene for hvordan fakturaer i bedriften skal godkjennes er tydelige og at de følges

Identitetstyveri av selskap

Selv om det stort sett er privatpersoner som utsettes for ID-tyveri, kan også bedrifter utsettes for ID-tyveri. Det kan for eksempel skje ved at svindlere sender inn endringsmelding der der ber om at navnene til selskapets ledelse, styre eller adresse skal forandres.

En mer utbredt variant er imidlertid å utnytte selskaper som er avhengig av å fornye varemerket sitt.

I Norge gjelder for eksempel varemerkebeskyttelsen for 10 år om gangen. Et registrert varemerke må derfor fornyes hvert 10 år for at registreringen skal opprettholdes, og for dette må man betale et gebyr som for tiden er på 2600 kroner.

Dette har naturligvis kreative svindlere fått med seg.

Dermed sender de ut falske brev merket "Varemerkefornyelse", der de antyder at bruken av tjenesten er obligatorisk. Prisen på en slik "varemerkefornyelsetjeneste" settes da gjerne til 10.000 kroner, mens selskapet altså kunne gjort jobben selv for 2.600 kroner.

10 rutiner som hindrer svindel og phishing

  1. Innfør totrinnspålogging som standard på bedriftens systemer
  2. Innfør en fast rutine for gjenoppretting av passord, slik at de ansatte vet hvem de skal kontakte, og hvordan de vil motta nytt passord
  3. Pass på at de ansatte jobber på et sikkert nettverk, og på maskiner med godkjent programvare. Det sikreste er å ikke la de ansatte installere programvare selv.
  4. Sjekk alltid avsenders e-postadresse eller URL hvis du blir sendt til en påloggingsside. Husk: Ikke trykk på oppgitte lenker. Skriv heller inn korrekt nettadresse direkte i nettleseren
  5. Kontroller alltid faktureringsgrunnlaget. Dobbeltsjekk dersom beløp eller årsak virker tvilsomt
  6. Dersom du mottar faktura for en tjeneste du ikke har abonnert på: Send en skriftlig klage og oppgi at fakturaen er upassende og blir bestridt. Ikke avbryt eller si opp noe, fordi det har aldri blitt inngått noen opprinnelig kontrakt. En bestridt faktura skal ikke gå til inkasso før det som er bestridt er avklart.
  7. Dersom du mener deg utsatt for svindel, phishing, ID-tyveri, eller en annen kriminell handling: Anmeld alltid. Be eventuelt om hjelp fra eventuell interesseorganisasjon.
  8. Gi dine ansatte veiledning og innføring i rutiner og prosedyrer, og om hvem i selskapet som er ansvarlig for behandling og betaling av fakturaer. Dette inkluderer vikarer og traineer.
  9. Hvis du mistenker at du har blitt utsatt for en phishing-svindel, kan det være lurt å undersøke dette ved å kontakte organisasjonens/IT-avdeling.
  10. Alle kan bli lurt. Sørg derfor for at dere har en kultur der de ansatte tør å si ifra hvis tror de har gjort noe galt

LES MER: Smarte roboter gir mer tid til menneskelige møter 

Tekst av Anne Penttilä
Oppdatert norsk versjon av Storycraft. 
Lowell

Lowell

Lowell er Europas nest største aktør innen kreditthåndtering. Vi tilbyr helhetsløsninger og tjenester innen kreditthåndtering til store så vel som mindre bedrifter. Våre tjenester omfatter alt fra fakturering, betalingstjenester, inkassotjenester, kjøp av fordringer og omfattende analysetjenester.

phishing CEO-svindel fakturasvindel svindel direktør-svindel Tjenesteopplevelse Økonomistyring

Lowell logo

Lowell Norge as

Brynsveien 14
(inng. Østensjøveien 16)

PB. 6354 Etterstad
0604 Oslo
Norge

Telefon: +47 23 17 10 00

Har du mottatt en regning fra oss

Se hvordan vi kan hjelpe deg

Svar på vanlige spørsmål

Logg inn på "Min Lowell"

Vi kan håndtere dine kundefordringer

Våre tjenester

Hvorfor bør jeg velge Lowell?

Bli kunde

Logg inn - ny portal

Lowell

Dette er Lowell

Kurs og seminarer

Karriere

Presse og nyheter

Kontakt oss

Personvernerklæring

Cookiepolicy