Har du nyligen mottagit ett e-postmeddelande som påstås komma från din ”VD” där du ombeds överföra pengar till en ”leverantör”? Agera inte på det! Det är ett VD-bedrägeri, och jag ska ge en detaljerad förklaring.
Låt oss börja med en kort bakgrundshistoria.
Jag var själv nära att drabbas av ett VD-bedrägeri ungefär två månader efter att jag började arbeta heltid som skribent på adminvista.com.
Första intrycket var inte alarmerande, eftersom bedragaren använde ett etablerat domännamn från Virgin Media ([email protected]). Jag antog att min VD hade någon sorts koppling till detta telekommunikationsföretag, eftersom båda är baserade i Storbritannien.
Jag svarade därför jakande på den inledande frågan ”Jag vill tilldela dig en uppgift, är du tillgänglig?”. Avsändaren beskrev sedan en uppgift som innebar en överföring på 24 610 INR (cirka 300 dollar) till en leverantör. Leverantörens uppgifter skulle delas om jag hade gått med på uppgiften.
Det här gjorde mig dock lite skeptisk, så jag bad avsändaren att bevisa sin identitet innan jag överförde några pengar. Efter några e-postmeddelanden ringde bedragaren upp, och jag vidarebefordrade konversationen till min faktiska VD och IT-avdelningen hos Virgin Media.
Trots att jag inte hade någon tidigare utbildning för att hantera den här typen av bedrägerier hade jag turen att inte gå i fällan.
Vi bör inte förlita oss på ren tur. Det är bättre att vara förberedd och informera andra.
VD-bedrägeri, även kallat Executive Phishing
Detta faller under kategorin nätfiske, en attack som riktas mot en specifik organisation eller vissa av dess medarbetare. Om målet är en högt uppsatt person (som en person i ledningsgruppen) kallas det för valfångstfiske.
Federal Bureau of Investigation i USA klassificerar dessa bedrägerier som Business Email Compromise (BEC) eller Email Account Compromise (EAC). Enligt deras Internet Crime Report ledde dessa till förluster på nästan 2,4 miljarder dollar år 2021.
Geografiskt sett är Nigeria det land som står för störst andel, 46 %, av VD-bedrägerierna, följt av USA (27 %) och Storbritannien (15 %).
Hur går det till?
Det är värt att notera att VD-bedrägerier inte kräver några tekniska färdigheter eller kriminell expertis. Det handlar oftast om att skicka slumpmässiga e-postmeddelanden och använda social manipulation för att få dig att skicka pengar eller avslöja känslig information som kan användas för ytterligare brottsliga handlingar.
Låt oss titta närmare på några metoder som bedragare använder ”just nu”.
Typ 1
Den enklaste formen av bedrägeri är när en VD påstås be om en mindre summa pengar från en slumpmässig e-postadress. Denna typ är relativt enkel att upptäcka. Du behöver bara undersöka e-postadressen noggrant (inte bara namnet).
Ofta avslöjar domännamnet ([email protected]) bedrägeriet. E-postadressen kan ibland ge intryck av att komma från en känd organisation (vilket var fallet för mig).
Dessa detaljer kan ge bluffen legitimitet och lura en oförberedd medarbetare. Dessutom kan e-postadressen se äkta ut, men ha små, knappt märkbara ändringar, som till exempel @gmial.com istället för @gmail.com.
Slutligen kan meddelandet komma från en legitim, men hackad, e-postadress, vilket gör det extremt svårt att upptäcka bedrägeriet.
Typ 2
En annan mer sofistikerad taktik involverar videosamtal. Det handlar om att en ”hanterad” e-postadress som tillhör en högt uppsatt chef skickar ”brådskande” inbjudningar till onlinemöten till sina anställda, oftast på ekonomiavdelningen.
Deltagarna ser sedan en bild utan ljud (eller med en deepfake-röst) och får besked om att anslutningen inte fungerar korrekt.
Därefter ber ”chefen” om att en banköverföring initieras till okända bankkonton, varifrån pengarna slussas via andra kanaler (till exempel kryptovalutor) efter ett lyckat bedrägeri.
Typ 3
Den här varianten är en version av typ 1, men riktar sig till affärspartners istället för anställda. Den kallas för fakturabedrägeri, vilket speglar hur den fungerar.
I det här fallet får en organisations kund ett e-postmeddelande med instruktioner om att betala en faktura snabbt till specifika bankkonton.
Källa: CBC News
Denna metod har hög framgångsfrekvens, eftersom den ofta genomförs med hjälp av en hackad företags-e-postadress. Eftersom e-post är det primära sättet som yrkesverksamma kommunicerar, kan det resultera i stora ekonomiska förluster och skada organisationens rykte.
Hur identifierar man VD-bedrägeri?
Som anställd kan det vara svårt att avvisa en begäran från sin egen chef. Denna psykologiska faktor är en stor anledning till att bedragare lyckas så lätt med endast ett enkelt e-postmeddelande.
Förutom att ifrågasätta ekonomiska begäranden, är det klokt att begära ett videomöte innan man ”samarbetar”.
I de flesta fall behöver du även kontrollera e-postadressen noggrant. Den kanske inte tillhör din organisation, eller så kan den innehålla felstavningar av företagsnamnet.
Dessutom kan en institution inte registrera alla domänändelser. Så var vaksam om du får ett e-postmeddelande från [email protected] när den officiella adressen borde vara [email protected]
Slutligen kan du även få e-postmeddelanden från en företagsadress som drivs externt eller från en falsk intern medlem. Nyckeln i en sådan situation är att verifiera begäran muntligt eller att hålla flera chefer informerade innan några betalningar genomförs.
Det mest effektiva sättet att skydda din organisation, om du är ledare, är att införa nätfiske-simulering som en del av den regelbundna utbildningen av medarbetare. Eftersom dessa bedrägerier hela tiden utvecklas är en engångsvarning inte tillräckligt för att skydda dina medarbetare.
Sammanfattning
Tyvärr är vi starkt beroende av e-post i affärssammanhang, vilket skapar kryphål som brottslingar ofta utnyttjar.
Även om det ännu inte finns något alternativ till e-postkommunikation, kan vi lägga till affärspartners i applikationer som Slack eller till och med WhatsApp. Det hjälper dig att snabbt verifiera om något verkar misstänkt och därmed undvika sådana incidenter.
PS: Om jag vore du skulle jag inte missa den här artikeln som beskriver olika typer av cyberbrott för ökad digital kompetens.