Stadig flere ansatte blir sosialt manipulert

Slik avslører du de fem vanligste svindelforsøkene

<p>Norske virksomheter blir daglig utsatt for forsøk på sosial manipulering. Foto: Erik Johansen / NTB scanpix</p>
Norske virksomheter blir daglig utsatt for forsøk på sosial manipulering. Foto: Erik Johansen / NTB scanpix

Mange norske virksomheter taper store summer i stillhet. Ekspert tror at svindelen bare vil fortsette å øke.

Nesten hver tiende norske virksomhet opplevde at ansatte ble sosialt manipulert eller utsatt for såkalt phishing på nett i 2015. Det viser tall fra Mørketallsundersøkelsen til Næringslivets sikkerhetsråd.

Trenden med såkalt direktørsvindel, falske fakturaer, ID-tyveri, falske telefonnumre og annen manipulasjon har økt. Det vil den fortsette med, ifølge Norsk senter for informasjonssikring (NorSIS).

NorSIS mener at opplæring av ansatte kan spare virksomheten for store summer og mye bry.

– Det kommer daglig meldinger til NorSIS om norske virksomheter som har blitt forsøkt svindlet, enten via e-post med infiserte linker eller falsk avsender eller ved telefonoppringninger. Per i dag er det vårt klare inntrykk at verken politiet eller andre instanser gjør mer med denne typen svindel enn i beste fall å registrere det. Det er derfor det er så viktig at de ansatte har opplæring på det siste innen svindel. Bare slik kan de unngå kriminalitet, sier cyberekspert og rådgiver i NorSIS, Ole Anders Ulsrud til ABC Nyheter.

Les også: ID-tyveri øker i omfang

Store mørketall

Ifølge en undersøkelse Pricewaterhouse Coopers (PwC) nylig gjorde i samarbeid med Finans Norge og NorSIS, har hele 68 prosent av norske ledere blitt utsatt for cyberkriminalitet. En fjerdedel av disse sier at dette har kostet bedriften deres mer enn en million kroner.

Ifølge Ulsrud er det store mørketall på området. Tallene skyldes trolig skamfølelse, og liten tro på politiet.

Rådgiver i NorSIS, Ole Anders Ulsrud. Foto: NorSIS.
Rådgiver i NorSIS, Ole Anders Ulsrud. Foto: NorSIS.

– Bedrifter vil sjelden fortelle at de har blitt svindlet, og holder det ofte for seg selv. Det er rett og slett flaut å bli lurt for hundretusener av kroner. Ofte vurderer de også at det kan skade virksomheten og kundeforhold dersom det kommer ut at de har latt seg lure for penger. Samtidig skaper dette en ond sirkel. Den lave oppmerksomheten kan få andre bedriftseiere til å tro at dette ikke er noe problem. Svært få velger også å anmelde det fordi de forventer en rask henleggelse fra politiets side, påpeker NorSIS-rådgiveren.

Ifølge Finanstilsynets ferske risikoanalyse ble 214 kunder svindlet for nesten 300 millioner kroner gjennom såkalt direktørsvindel i fjor. Det gjennomsnittlige beløp per svindel lå på 1,37 millioner kroner.

Mens tilfellene av den såkalte Microsoft-svindelen per enkelttilfelle før lå på rundt 3000 kroner har kostnadene i år og i fjor ifølge NorSIS vært på rundt 50 000 kroner.

Les også: Stor svindel på Facebook avslørt

– Kriminelle har kjennskap til virksomhetene

Et delvis offentlig finansiert opplæringsprogram som er utarbeidet i samarbeid med blant annet norske sikkerhetsmyndigheter og Datatilsynet er nå gratis tilgjengelig for mer enn en halv million bedrifter i Norge med under 20 ansatte.

Her får de råd som skal gjøre bedriften mindre sårbar for alt fra økonomisk svindel og sosial manipulering av ansatte til regelrette datainnbrudd og sikker bruk av bedriftens sosiale medier.

Slik avslører du de fem vanligste bedriftssvindlene:

1. Microsoft-svindelen

Du ringes opp av en person, angivelig fra Microsoft. Hen forteller deg at du har virusproblemer, og tilbyr deg hjelp mot betaling.

Tips:

Ikke la deg lure til å tro at PC-en din er infisert med virus. Microsoft ringer deg aldri, og de overvåker heller ikke PC-en din.

2. Direktørsvindelen

Svindleren sender en e-post eller SMS som tilsynelatende kommer fra en direktør i selskapet. Mottakeren er som oftest en ansatt i økonomiavdelingen. «Direktøren» ber om en større overføring til et gitt kontonummer, eller varsler om at en slik overføring er nødvendig i påvente av videre kommunikasjon.

Tips:

Les e-posten hvor det anmodes om overføring av penger to ganger.

Iverksett rutiner som gjør at betalinger må kontrolleres på en slik måte at man unngår denne typen svindel. Ledelsen må også ta sitt ansvar for å varsle i forkant på alternative medier dersom hasteoverføringer må gjennomføres.

3. Fakturasvindel

Dersom du mottar en faktura hvor du blir bedt om å betale for en tjeneste som ikke eksisterer eller som du ikke kan huske å ha bestilt, er det sannsynligvis svindel. Dette kan være salg av internettdomener, annonsering, registrering på internettkataloger, salg av hjemmesider eller andre falske fakturaer.

Tips:

Les gjennom e-posten to ganger. Dersom det er falske e-poster, må ikke disse besvares eller utbetalinger gjøres i sammenheng med falske fakturaer.

Meld fra skriftlig ved å sende en reklamasjon til avsender. Skulle du allikevel motta purringer, kan du overse disse så lenge du har levert en skriftlig reklamasjon. Dersom avsender bringer saken inn for forliksrådet, må du gjøre rede for saken ved å besvare forliksklagen og eventuelt møte frem i rettsmøte.

4. Løsepengevirus

Løsepengevirus spres primært via vedlegg i e-poster eller via infiserte nettsider. Dette er en type skadevare som låser eller krypterer hele eller deler av innholdet på datamaskinen din. For at brukeren skal få tilgang til innholdet, krever angriperen at man betaler løsepenger, ofte i form av bitcoins.

Tips:

Hold datamaskinens operativsystem og programvare oppdatert.

Ta sikkerhetskopi jevnlig av de filene som er viktig å ta vare på.

5. Phishing

Ved phishing-angrep kontaktes du som regel via en e-post. Avsenderen fremstår som en reell virksomhet, for eksempel en bank. Du lures videre til å åpne et vedlegg eller klikke deg inn på en falsk nettside for å «logge inn» eller oppgi annen sensitiv informasjon, som konto- eller kredittkortnummer. Dette blir så misbrukt av bakmennene.

Tips:

Sjekk hvor lenken tar deg. Ved å holde musepekeren over lenken, kommer webadressen opp.

Klikk ikke i e-posten. Kopier heller inn adressen manuelt. Dersom linken viser til en nettside, skriv heller adressen direkte inn i nettleseren.

Hold operativsystemet og programmer oppdatert.

En av de viktigste grunnene til at såkalt menneskelig svindel bare vil fortsette å øke, er ifølge Ulsrud at det nå er langt færre svakheter for de kriminelle å utnytte på de fleste av bedriftens PC-er.

– De kriminelle spiller som oftest på fristelser, frykt og tillit når de prøver å svindle en ansatt. Dessuten er det ofte et element av hastverk i de fleste svindlene. Vi ser også at de kriminelle har inngående kjennskap til virksomhetene. Ved hjelp av åpne kilder kartlegger de virksomheten og de ansatte. Slik kan for eksempel finne ut om sjefen er eneveldig, om de ansatte i økonomiavdelingen er overarbeidet eller om de rett og slett mangler gode rutiner for fakturering. Samtidig ser de også på virksomhetens omgivelser for å finne partnere de kan benytte seg av i svindelen. Dette er metoder som gjør det enklere å få ut penger enn ved tradisjonell datahacking, forklarer Ulsrud.

Les også:

Slik gikk det da «Microsoft» forsøkte å svindle ABC Nyheter

Vi «lever videre» på nett etter at vi dør

Passord-lekkasje: hva kan du gjøre?

Mer fra ABC Nyheter
Siste fra forsiden