Falsa fyrirmæli til að svíkja fé út úr fyrirtækjum

Tilraunum til að svíkja út fé úr fyrirtækjum með því að falsa tölvupósta og gefa fölsk fyrirmæli um greiðslur hefur fjölgað mikið undanfarin ár. Svikahrapparnir undirbúa sig vel til að þeir geti sent trúverðug skilaboð í nafni stjórnenda.

20. desember 2016 - Landsbankinn

Tilgangurinn er að láta starfsmenn millifæra fé á reikninga sem þeir stjórna. Þessi tegund svika er nefnd CEO-fraud á ensku en mætti þýða sem fyrirmælafölsun eða sem stjórnendasvik upp á íslensku.

Hér fyrir neðan eru samskipti í tölvupósti og sms-skilaboðum sem eru byggð á raunverulegum atburðum úr íslensku viðskiptalífi árið 2016 (nöfnum hefur verið breytt). Fyrsti pósturinn sýnir fölsuð fyrirmæli sem eru send í nafni Sigríðar fjármálastjóra til Jóns gjaldkera.

Kl. 12.08: Tölvupóstur berst frá Sigríði fjármálastjóra til Jóns gjaldkera:

Kl. 12.37: Annar tölvupóstur frá Sigríði til Jóns:

Kl. 13.19: Þriðji tölvupósturinn frá Sigríði til Jóns.

Kl. 14.49: Jón sendir Sigríði SMS.

Kl. 8.32 daginn eftir: Sigríður svarar Jóni.

Í ljós kemur að greiðslurnar fóru á bankareikning sem svikahrapparnir einir höfðu aðgang að. Í flestum tilfellum sem þessum eru reikningarnir tæmdir hratt. Til að mögulegt sé að endurheimta féð er mikilvægt að bregðast hratt við.

Hvernig virkar þetta?

Hermann Þór Snorrason, sérfræðingur á Fyrirtækjasviði Landsbankans, hefur kynnt sér fyrirmælafalsanir, sem og varnir gegn þeim. „Tölvuþrjótar leggja á sig ómælt erfiði við undirbúning. Þeir reyna að komast yfir nöfn og netföng starfsfólks. Þeir brjótast jafnvel inn í tölvupóstkerfi, rannsaka pósthegðun og hagnýta orðaval og setningaskipan sem einkenna þá starfsmenn sem þeir ætla að líkja eftir. Leitað er að tölvupóstum sem innihalda orð á borð við erlend millifærsla, swift, símgreiðsla, wire transfer, invoice, reikningur, deposit og þess háttar. Þrjótarnir reyna að mynsturgreina tímasetningu slíkra pósta, hvaða daga þeir eru gjarnan sendir, klukkan hvað, frá hverjum og til hverra,“ segir Hermann.

Markmiðið með þessu er að útbúa trúverðug greiðslufyrirmæli frá hátt settum aðila innan fyrirtækisins til einhvers lægra setts sem þó hefur heimild til að inna greiðslu af hendi. Svikahrapparnir setja þrýsting á undirmanninn þannig að hann láti undan pressunni og inni greiðsluna af hendi með hraði og helst út fyrir landsteina.

“Í póstsamskiptunum er jafnvel minnst á tilbúinn þriðja aðila sem hafa má samband við til að fá staðfest að greiðslufyrirmælin séu réttmæt. Þessi aðili er gjarnan sagður vera lögfræðingur eða lögfræðistofa og mun sá sem svarar staðfesta allt, enda einn af svikurunum.

Þrjóturinn sætir færis svo lengi sem þörf er. Hann bíður eftir réttu augnabliki til að láta til skarar skríða og leggur allt í sölurnar til að stuðla að mistökum hjá fyrirtækinu. Gangi svikamyllan upp fær þrjóturinn greiðsluna til sín á bankareikning sem hann stjórnar og hefur yfirráð yfir.

Þrjótarnir beita gjarnan óvissu og ala á ótta til að fá sitt í gegn. Greiðslan er sögð vera algjört trúnaðarmál, og gjarnan tengd við stórar fjárfestingar eða kaup á öðru félagi, mikilvægan viðskiptasamning eða vöruþróun sem afar fáir megi vita um. Skýringarnar kunna að hljóma líklega og byggja á raunverulegum viðfangsefnum fyrirtækja, þótt þær séu rammfalskar“, segir Hermann.

“Í svo til öllum tilvikum gengur svikamyllan út á að fá þann sem innir greiðsluna af hendi til að bregða út af vana og að þröngva honum í aðstæður sem krefjast fráviks frá hefðbundnu verklagi.“

En póstkerfið mitt er öruggt. Eða það held ég …

Blessunarlega komast þrjótarnir ekki alltaf inn í póstkerfi fyrirtækja, enda berast fölsku póstarnir ekki alltaf frá réttu netfangi. Eins og vatnið finna svikararnir sér alltaf farveg. Tölvuþrjótar útbúa lén og netföng sem stafsett eru svipað og fyrirmyndirnar. Við fyrstu sýn er ekki mikill sjáanlegur munur á netföngunum jon.jonsson@landsbankinn.is og jon.jonsson@1andsbankinnn.is. Hið síðarnefnda inniheldur þrjú “n” í greini. Enn útsmognara er að rita til dæmis bókstafinn “l” með tölustafnum einum (1). Allra skarpskyggnustu lesendur veittu því athygli að síðara netfangið í dæminu inniheldur einmitt tölustaf fremst í (1)andsbankinn.is.

Þá er heldur ekki flókið að breyta birtingarmynd sendanda á þann veg að “From” svæðið sýni nákvæmlega rétt stafsett netfang. Erlendis finnast sömuleiðis dæmi um óprúttnar eftirhermur sem geta hermt eftir rödd yfirmannsins í síma en ekki er vitað um slík tilfelli á Íslandi, enn sem komið er.

Undirbúningur getur staðið mánuðum saman

Aðferðirnar sem beitt er við fyrirmælafalsanir verða sífellt fágaðri. Nú leggja svikahrappar meiri áherslu á undirbúning og gagnaöflun. Þeir skoða skipurit félagsins, starfsmannalista, hvernig dagleg viðskipti ganga fyrir sig, greina tengsl við önnur félög innan samstæðu þegar við á, kynna sér pósthegðun starfsfólks, semja handrit með sannfærandi ávarpi, orðalagi, tón og undirritun. Undirbúningurinn getur staðið mánuðum saman. Kaupa má þessar upplýsingar á svörtum markaði eða með því að skoða vefsíður fyrirtækja, lesa LinkedIn-síður starfsfólks eða einfaldlega með því að hringja og senda tölvupósta. Fyrirmælafalsanir eru þannig töluvert frábrugðnar margri annarri óværunni sem á fyrirtæki herjar.

Þykjast senda úr snjallsíma

Til að hafa vaðið fyrir neðan sig bæta tölvuþrjótar gjarnan orðunum Sent from my iPhone eða álíka texta í smáu letri neðan við meginmálið til þess að viðtakandi hafi frekar skilning á stafsetningarvillum, skorti á íslenskum sértáknum, undarlegri orðaröð og jafnvel röngum orðum.

Rétt viðbrögð að hafa samband við lögregluna

Ef grunur leikur á að fyrirtæki hafi orðið fyrir svona árás er mikilvægt að fyrirtæki hafi samband við lögregluna (cybercrime@lrh.is) og sinn viðskiptabanka. Bankinn setur af stað ferli í samstarfi við yfirvöld og aðra banka til að endurheimta féð. Því fyrr sem tilkynning berst, þeim mun líklegri eru endurheimtur. Ennfremur er mikilvægt að kæra öll mál til lögreglunnar. Sjaldnast er ráðist á eitt fyrirtæki í einu og það gerir tilkynningar til lögreglu enn brýnni.

Öryggiskerfi leysa ekki allan vanda

Bankar eru í óvenju erfiðri stöðu þegar fyrirmælafalsanir eru annars vegar. Ímyndum okkur að svikarinn þykist vera erlendur birgir. Hann sendir tölvupóst til heildsala á Íslandi og tilkynnir að hann hafi skipt um bankareikning. Erindinu er jafnvel fylgt eftir með símtali og sá sem hringir hljómar afar traustur og trúverðugur.

Í tilfellum sem þessum verður að leita eftir staðfestingu frá birgjanum. Þá dugar ekki að svara tölvupóstinum (enda er hann falskur) heldur verður að hringja í viðkomandi og fá upplýsingarnar staðfestar símleiðis. Tölvupóstur er ekki öruggur samskiptamáti í tilfellum sem þessum.

Ef svikaranum tekst ætlunarverk sitt, þ.e. að láta heildsalann breyta greiðsluupplýsingum, er erfitt fyrir bankann að sjá að svik séu í uppsiglingu. Ef viðtökureikningurinn er hvergi á válista og viðtakandi hefur sloppið í gegnum nálarauga síns banka er erfitt fyrir greiðslukerfi bankans sem heildsalinn skiptir við að fetta fingur út í greiðsluna. Mynsturgreiningar bankanna koma t.d. ekki að gagni því að málsaðilar eru í raun réttir og greiðandinn getur auðkennt sig og staðfest greiðsluna, enda er greiðandinn grunlaus um svikin.

Verum ávallt viðbúin

Hér hefur verið farið lauslega yfir meginþætti fyrirmælafalsana. Þetta er engan veginn tæmandi umfjöllun, enda svífast tölvuþrjótar einskis og finna sífellt nýjar leiðir til að hafa fé af fyrirtækjum. Fyrirmælafalsanir eru aðeins ein gerð netsvika.

Ef tölvupóstar líta undarlega út, berist þeir til dæmis frá óvenjulegu landi eða vekja grunsemdir af einhverju tagi er fyllsta ástæða til að staldra við.

Til að hægt sé að forðast svik þarf vitundarvakningu innan fyrirtækja. Fræðsla um varnir gegn svikum er því lykilatriði.

Níu ráð til að verjast fyrirmælafölsunum

Fræða starfsfólk um einkenni og hættur af netsvikum. Tölvuþrjótar reyna að velja tímasetningar þegar yfirmaður er fjarri eða erfitt að ná í hann, t.d. þegar hann er í fríi. Þá er erfiðara að sannreyna réttmæti greiðslufyrirmæla.
Læra að þekkja hætturnar og hvað það er sem stingur í stúf. Er yfirmaðurinn eða viðtakandinn að setja gríðarlega tímapressu á starfsmann? Er viðtökulandið nýtt? Er viðtökubankinn nýr? Er eigandi reikningsins nýstofnað félag?
Horfa á sjálft netfangið, auk birtingarnafns og kanna hvort aðrir í fyrirtækinu hafa fengið svipaðan póst.
Ekki láta undan pressu því henni er ætlað að fá fólk til að gera mistök.
Treysta bankanum ef hann leggst gegn viðkomandi greiðslu.
Staðfesta greiðslubeiðnir með símtali eða fá staðfestingu frá öðrum tengdum aðila. Staðfesta einnig breyttar greiðsluupplýsingar birgja með símtali. Tölvupóstur er ekki öruggur samskiptamáti.
Tryggja að verklagsreglur séu uppfærðar. Í því felst t.d. að setja reglur um hver eða hverjir megi inna greiðslur af hendi þegar uppáskrift vantar eða ábyrgðaraðilar eru fjarverandi. Munum að þrjótarnir reyna oft að falsa fyrirmæli þegar lykilfólk er fjarverandi. Það er alltaf ráðlegt að leita álits samstarfsfólks eða yfirmanna þegar grunur leikur á óeðlilegu athæfi.
Tryggja að greiðslusamþykktarferli sé til staðar og því fylgt, helst bæði í útgreiðslukerfinu og í netbankanum líka.
Sjá til þess að netöryggismál séu á sama stalli og önnur öryggismál. Fræðsla, forvarnarstarf og æfingar gegn netsvikum þurfa að vera jafn sjálfsagður hlutur og eldvarnarfræðsla og brunaæfingar.

Þú gætir einnig haft áhuga á

30. okt. 2023

Góð ráð um varnir gegn netsvikum

Netsvik hafa aukist verulega. Við höfum tekið saman aðgengilegar upplýsingar um hvernig hægt er að þekkja netsvik og verjast þeim.

31. ágúst 2023

Ef þú lest ekki skilaboðin getur þú tapað miklum peningum!

Ertu örugglega að nota rafrænu skilríkin til að staðfesta eitthvað sem þú vilt í raun og veru gera? Eða eru svikarar kannski að plata þig til að nota rafrænu skilríkin til að hleypa sér inn í bankaappið þitt?

3. ágúst 2023

Yngri hópur fellur fyrir netsvikum – erum við nógu varkár?

Netsvikum og tilraunum til netsvika hefur fjölgað mikið í sumar. Ekki aðeins eru málin fleiri heldur eru fórnarlömbin líka yngri en áður. Möguleg skýring á aukningunni er sú að nú er meira um að svikin séu reynd utan opnunartíma fyrirtækja, þ.e. um kvöld og um helgar og þegar líklegt er að fólk sé í sumarfríi og því síður á varðbergi.

28. júlí 2023

Hvernig á að bregðast við svikum?

Ef þig grunar að þú hafir lent í klóm svikara, sérð óeðlilegar færslur á reikningum eða greiðslukortum eða óviðkomandi hefur komist inn í netbankann þinn, er mikilvægt að hafa samband við bankann eins fljótt og hægt er.

13. jan. 2023

Varist svik í gegnum samfélagsmiðla – aldrei framsenda SMS-kóða

Við viljum vara viðskiptavini okkar við netsvikum, sérstaklega svikum sem fara fram í gegnum samfélagsmiðla og skilaboðaforrit, en mikið hefur borið á þeim undanfarið.

4. nóv. 2022

14 góð ráð til að auka öryggi í netverslun

Verslun á netinu er ekki hættulaus, tölvuþrjótar leggja mikið á sig til að stela greiðsluupplýsingum eða svíkja fé út úr fólki með öðrum hætti. Hér fyrir neðan eru nokkur einföld ráð til að minnka hættuna á netsvikum.

8. júlí 2022

Mundu eftir netörygginu - líka þegar þú ert í fríi

Tilraunum til hvers kyns netsvika hefur fjölgað mikið og reynslan sýnir að þeim fjölgar á sumrin. Ástæðan er talin vera sú að netsvikarar vonast eftir því að þá sé fólk sé kærulausara og sé líklegra til að taka þátt í fölskum Facebook-leik, smella á hlekk í hugsunarleysi eða skoða ný „fjárfestingartækifæri“.

12. maí 2022

Ekki smella á hlekkinn – og ekki falla í gildruna

Notkun á tölvum og símum er stór hluti af okkar daglega lífi og því nauðsynlegt að vera meðvituð og upplýst um hætturnar sem leynast á netinu.

8. mars 2022

Upptökur af fróðlegum fundi um netöryggismál

Landsbankinn stóð fyrir vel heppnuðum fundi um netöryggismál fimmtudaginn 3. mars 2022. Á fundinum var m.a. fjallað um hvernig skipulagðir glæpahópar beina spjótum sínum að einstaklingum og fyrirtækjum og hvernig verjast má atlögum þeirra.

2. mars 2022

Tinder-svindlarinn og hætturnar á netinu

Tilraunir til fjársvika á netinu aukast stöðugt og dæmi eru um að Íslendingar hafi tapað milljónum til svindlara á netinu. Oft er verið að spila með tilfinningar og góðmennsku fólks og mikilvægt að fólk þekki einkenni svikatilrauna, hvort sem þau beinast gegn þér eða þínum nánustu.