29/03/2019 12:32:57

CEO svindel med Smishing twist

CEO- og BEC (Business Email Compromise) svindel er fortsat den største og mest kostbare svindel mod virksomheder i 2019. Det gælder også for Danmark og tendensen fortsætter.

CSIS har efterforsket en sag, som er klassisk CEO fraud og dog med en ny twist. Mere om det om lidt; En medarbejder i økonomiafdelingen, hos en større virksomhed, modtager en besked fra en direktør i samme selskab vedrørende en straksoverførsel af et større beløb i forbindelse med hastetransaktion.

Vi har set dette klassiske mønster før, og det er omtalt på vores blog her:
https://www.csis.dk/newsroom-blog-overview/2018/ceo-fraud/

Denne blogpost stamnmer fra sidste år, men vi finder det nødvendigt at ekko indholdet til advarsel for alle, idet CEO fraud typisk blomstrerer op i sommerperioden hvor virksomhederne oplever ferieafvikling.

CEO svindel med et Smishing twist
Denne advarsel er møntet på en ny udvikling/twist, som vi forventer vil tage fart i løbet af 2019. Her misbruges caller-id spoofing til at forfalske et mobilnummer til afsendelse af en SMS.

Svindlerne gør i praksis det, at de gennemsøger virksomhedens webside eller sociale medier eller andre resourcer, for mobilnumre der matcher direktører og andre beslutningstagere i en udvalgt virksomhed. De indsamlede mobilnumre spoofes derefter og misbruges til at sende en SMS til en medarbejder i samme virksomhed. Samme MO, som vi set i forbindelse med CEO svindel e-mails.

Idet SMS spoofing er uhyggeligt nemt at gennemføre og teknisk umulig at forhindre, vil medarbejderen opleve at SMS'en sendes fra direktørens mobiltelefon. I SMS'en anvises medarbejderen at lave en bankoverførsel i forbindelse med f.eks. en regning eller et virksomhedssalg og den pågældende SMS vil typisk blive ledsaget af en bekræftende e-mail.

Husk retningslinjer for straks- og hasteoverførsler
Vi anbefaler, at alle virksomheder implementerer klare retningslinjer og processer omkring banktransaktioner. Og det særligt med denne udvikling, som kan få anmodningen til at se mere troværdig ud og substantielt underbygge svindlen.

Ny banebrydende beskyttelse mod CEO- og BEC svindel på vej
CEO- og BEC fraud er et af nutidens største og mest kostbare sikkerhedsproblemer for danske og internationale virksomheder og myndigheder. Vi har derfor i en længere periode arbejdet på at udvikle en løsning der kan beskytte mod denne konstante og stigende trussel. Løsningen er den første af sin slags, og forventes at kunne lanceres indenfor de kommende måneder.

Konklusion
Kombinationen mellem caller-id spoofing/smishing og regulær BEC- og CEO svindel er en giftig cocktail og vil for langt de fleste ofre fremstå mere troværdigt og derved øge risikoen for at svindlen vil lykkedes. Vi fremhæver derfor igen at det er vigtigt at implementere en god praksis omkring bankoverførsler så det ikke kun er én medarbejder der kan gennemføre en sådanne, men også at anmodningen valideres forsvarligt igennem en direkte dialog.