job Kontroll og sikkerhet

Råd for å redusere bedragerrisiko

DNB kan ikke alene redusere risikoen for at kunder blir utsatt for målrettet angrep eller svindel, men håper at denne artikkelen og tre podcast-episoder kan bidra til å forebygge kriminalitet.

Alle relevante trusselvurderinger påpeker at bedragerier er en av de kriminalitetsformene det er mest sannsynlig at vi vil bli offer for. Likevel erfarer vi en manglende digital trygghet og bevissthet rundt sikkerhet hos mange. Fraværet av bevissthet kan ses i sammenheng med manglende forståelse av problematikken og alvorligheten av dette samfunnsproblemet. Bedragerier og annen internettkriminalitet har endret seg over tid, fra å være mer eller mindre avanserte kriminelle “gjenger” som ønsket en rask gevinst til også å inkludere avanserte, organiserte kriminelle grupper og terrorceller som utnytter de store summene som finnes i økosystemene av økonomisk kriminalitet. Enten de gjør dette direkte, eller som et resultat av deres handel med våpen, narkotika eller mennesker.

Som et resultat av digitalisering og globalisering har det blitt lettere å begå massebedragerier mot våre kunder. Videre utvikling av Internet of Things og økningen i antall datapunkter tilgjengelig vil gjøre oss enda mer sårbare i fremtiden, noe som vil føre til flere muligheter for bedragerier. Mange av våre bedriftskunder har etterspurt informasjon om råd for hvordan de kan redusere risikoen for å bli utsatt for målrettede angrep. Vi som bank kan ikke forhindre dette alene. Vi håper rådene i denne artikkelen kan bidra til å forebygge kriminalitet.

Et viktig moment for å redusere faren for å bli utsatt for bedragerier er en sikkerhetskultur som er forankret hos toppledelsen, der god e-postsikkerhet, aktive kontroller og sikkerhetstrening er verdsatt. Det er vesentlig at alle er kjent med faren for å bli utsatt for falsk informasjon – bruk sunn fornuft og vær skeptisk.

En god kontroll er ikke et resultat av mistillit, men et uttrykk for god service.

Bedrageritrender mot bedriftskunder

I 2019 forhindret DNB bedragerier for 993 millioner kroner (725 millioner kroner i 2018) av totale forsøk på 1.223 millioner kroner (992 millioner kroner i 2018) for DNB-konsernet og våre kunder.

Direktørbedragerier
I 2019 opplevde vi en økning i antall saker knyttet til direktørbedragerier, særlig som et resultat av at e-postkontoer ble utsatt for datainnbrudd. Generelt hadde angrepene et mer profesjonelt preg, og de var ofte målrettet mot enkelte bedrifter. Flere kunder opplevde tap på flere millioner kroner. Det største gjennomførte bedrageriet ved bruk av kompromittert e-post i 2019 resulterte i et tap for et energiselskap på 150 millioner kroner. Så langt i 2020 er det største tapet en bedrift har opplevd, nær 100 millioner kroner. Trenden er fortsatt økende, både i antall saker og i beløpene som blir forsøkt stjålet.

Kompromittering av e-post er et vanlig verktøy de kriminelle bruker. Det vil si at de kriminelle tar over e-posten din for å se om de finner noen de kan bruke for å kommunisere med for å be om penger. Enten med å manipulere eventuelle fakturaer du sender eller mottar, eller bare med å bruke tilliten andre har til deg til å be noen om å utføre en betaling. For å unngå kompromittering av e-post er det viktig med flere lag med kontroller:

På brukersiden:
• Ha et godt passord du ikke bruker andre steder
• Er du usikker på om det du fikk på e-post som omhandler betaling av penger ser riktig ut,
ring og spør
• God digital hygiene
-For eksempel: Redusér eksponeringen av din jobb e-postadresse ved ikke å bruke den til private formål
– Ikke ha kontaktinformasjonen til hele ledergruppen på firmaets nettside
• To-trinns autentisering av e-post innlogging

Tekniske tiltak som IT-avdelingen må vurdere:
• Sender Policy Framework (SPF)
• Domain Keys Identified Mail (DKIM)
• Domain-based Message Authentication, Reporting and Conformance (DMARC)

For å redusere konsekvensen ved en eventuell kompromittering:
Vurder hva slags informasjon dere sender på e-post (kontonummer, kontraktdetaljer, mm.). Er det mulig å sende dette i en kryptert meldingskanal?

Phishing er måte for de kriminelle å skaffe seg tilgang til informasjon. Denne mettoden er mye brukt for å skaffe seg tilgang til kredittkort-opplysninger eller innloggingsinformasjon, for eksempel BankID engangskode og passord for å få tilgang til ofrenes nettbank. Phishing blir også brukt som middel for å skaffe seg tilgang til bedrifters e-postsystemer. Det er vanlig at kriminelle sender ut e-post som tilsynelatende stammer fra Microsoft under merkevaren Office 365 hvor de ber ofrene logge inn. Resultatet av denne innloggingen er at brukernavn og passord sendes til de kriminelle, som på den måten har lyktes i kompromittering av en av firmaets e-postkontoer som de kan bruke til ulovlige formål. For eksempel å forsøke å bedra bedriften eller skaffe seg kunnskap om driften.

Totrinns-autentifikasjon på e-postinnlogging vil redusere risikoen for å bli utsatt for vellykkede phishing-angrep.

Bevisstgjøring og trening av alle ansatte fra ansettelse og videre regelmessig, inkludert samarbeidspartnere (hvis det anses nødvendig) er viktig. Testing av ansatte hvor man sender phishinge-poster kan være en mulighet for å se hvor mange som potensielt vil la seg lure for en falsk e-post.

Hvordan sikre betalinger

Totrinns-autentisering ved godkjenning av betalinger. Det er viktig at andre ledd innebærer en reell kontroll av informasjonen, og den bør helst utføres av en overordnet. Plassér et tydelig ansvar for endelig godkjenning for å unngå at kriminelle setter ansatte opp mot hverandre.

Ulike betalinger har ulik risiko. Hvis dere skal utføre større betalinger kan det være klokt å behandle disse som et forsøk på bedrageri ved å utføre nøye kontroller. Sjekk også med mottaker om betalingsdetaljer er riktige.

  • Bruk alltid en separat kanal for disse kontrollene, ikke bruk e-post.
  • Hvis e-posten er kompromittert vil du kun få godkjenning fra de kriminelle.
  • Det kan være fornuftig å bli enige med samarbeidspartnere om alternative kommunikasjonskanaler, for eksempel en kryptert chattjeneste e.l. som skal benyttes ved for eksempel endringer i betalingsdetaljer eller ved større betalinger.

Sjekk ut hvilke rutiner organisasjonen har for håndtering av saker (avdekking, utredning og løsning) hvis de skulle inntreffe. Om du blir lurt, kontakt din bank og politiet (Politiet telefonnr: 02800)

Ytterligere informasjon
DNBs årlige trusselvurdering og årlig bedragerirapport
Næringslivets sikkerhetsråd
Europol
Økokrim
Nettvett.no
NORSIS

Er du interessert i å høre mer dette temaet kan vi anbefale DNBs podcaster: Hvordan unngå bedrageri

  • Episode 1: Introduksjon til tema
  • Episode 2: Hvordan går de kriminelle frem?
  • Episode 3: Hvordan sikre din bedrift?