Falske e-mails (phishing) og falske sms’er (smishing)

Phishing og smishing er falske e-mails og sms’er, der er forsøg på at narre modtageren til at give adgang til konti, oplyse brugernavne eller passwords eller andre fortrolige oplysninger. De falske e-mails og sms’er ser ofte ud til at være sendt fra en legitim kilde eller virksomhed som f.eks. Danske Bank. Modtageren opfordres ofte til at klikke på et link eller åbne en vedhæftet fil.

• Danske Bank eller en offentlig myndighed eller organisation vil altid bede jer om at sende fortrolige oplysninger via en sikker kanal. I Danske Bank anbefaler vi altid, at kommunikationen sker via Netbank Erhverv eller District.
• Banker og offentlige myndigheder eller organisationer beder aldrig om pinkoder eller passwords eller om at få kontrol over computere eller mobile enheder.
• Hvis du modtager en uventet e-mail eller sms, må du aldrig klikke på links eller åbne filer uden først at have læst e-mailen eller sms’en grundigt for at bekræfte, at den er ægte.
• Sproget i falske e-mails og sms’er kan være direkte og upersonligt, og der kan være små afvigelser i afsenderens domænenavn (f.eks. danskkebank.dk i stedet for danskebank.dk).
• Nogle svindlere anvender spoofing, hvor de forfalsker de afsenderoplysninger, som du ser på computeren eller din mobiltelefon, for at skjule deres egen identitet. Det giver indtryk af, at e-mailen eller sms’en er ægte.
• Hvis du er i tvivl om, hvorvidt en e-mail eller sms er ægte, skal du kontakte afsenderen på et telefonnummer, du normalt ville bruge – ikke det nummer, der evt. oplyses i e-mailen eller sms’en.

Hvis du har mistanke om, at din virksomhed har modtaget en falsk e-mail eller sms, beder vi dig sende den til falskemails@danskebank.dk.

Et eksempel

Martin i marketingafdelingen i GreatCampaigns Ltd modtager en dag en sms, der ser ud til at være fra DHL. Martin forventer at modtage en pakke til en kommende kampagne, og i sms'en står der, at han skal klikke på et link og betale 1 kr. for at få pakken. Martin har ved at klikke på linket gjort det muligt for svindleren at foretage flere overførsler fra virksomhedens konto. GreatCampaigns Ltd er nu blevet offer for et smishing-angreb.

Vishing er, når en svindler ringer og udgiver sig for at være f.eks. finansiel rådgiver eller politibetjent. Svindlerens hensigt er at få fat i fortrolige oplysninger til at få kontrol over en computer eller mobil enhed og så overføre penge fra offerets bankkonto.

• Danske Bank eller en offentlig myndighed eller organisation vil kun bede jer om at sende fortrolige oplysninger via en sikker kanal som f.eks. Netbank Erhverv eller District.
• Vær opmærksom på uopfordrede telefonopkald, hvor du bliver bedt om at give fortrolige oplysninger eller træffe hurtige beslutninger.
• Stop op et øjeblik og spørg dig selv, hvor den, der ringer, har dit telefonnummer fra, er det normalt for personen at kontakte dig via telefon – og lyt efter formuleringer og sprog, der er tegn på, at noget ikke er, som det skal være.
• Nogle svindlere bruger spoofing til at skjule deres nummer og få opkaldet til at se ud som om, der ringes fra et troværdigt nummer.
• Gå aldrig ud fra, at et opkald er reelt, bare fordi personen har oplysninger om din virksomhed.

Et eksempel

Susan arbejder i økonomiafdelingen i NordicFlowers Ltd. Hun blev ringet op af en person, som hævdede at være fra en bank. Personenville informere hende om mistænkelige aktiviteter på en af selskabets konti. For at få hjælp skulle Susan downloade en app til fjernadgang til sin computer og logge på selskabets netbank. Efter Susan havde givet fjernadgang til sin computer, kunne svindleren aflure selskabets netbankoplysninger, og bruge dem til at overføre penge fra selskabets konto.

CEO fraud er, når en medarbejder narres af en person, der udgiver sig for at være leder i virksomheden (f.eks. direktøren), til at betale en falsk faktura eller overføre penge fra virksomhedens konto. Svindlerne har et godt kendskab til virksomheden, og de bruger ord og vendinger som f.eks. ”Fortrolighed”’, ”Virksomheden stoler på dig” og ”Jeg kan ikke træffes på nuværende tidspunkt”.

Henvendelserne drejer sig ofte om at overføre penge til banker uden for Europa, og medarbejderen bliver bedt om at fravige normale procedurer.

• Undgå CEO fraud ved at indføre procedurer for pengeoverførsler, som skal følges, når direktøren eller andre ledende medarbejdere er bortrejst.
• Vær opmærksom, hvis du bliver kontaktet af en person i den øverste ledelse, som du normalt ikke er i berøring med – det er ofte et tegn på CEO fraud.
• Vær opmærksom på hastende og strengt fortrolige anmodninger fra enhver i virksomheden.
• Vær opmærksom på anmodninger, der afviger fra virksomhedens interne standardprocedurer, f.eks. udenlandske overførsler, der skal gennemføres på en usædvanlig måde.
• Er du i tvivl om en betaling eller overførsel, så rådfør dig med en kollega.
• Vær især på vagt i ferieperioder og perioder, hvor direktørerne er bortrejst.
• Vær på vagt over for ord og vendinger som f.eks. ”Fortrolig” og ”Virksomheden stoler på dig”.
  
  

Et eksempel

Patrick arbejder for sundhedsmyndighederne. Han fik en dag en sms fra direktøren, som bad ham om straks at overføre penge til en ny konto. Patrick overførte pengene, men da han efterfølgende talte med direktøren, fik han at vide, at direktøren aldrig havde bedt om sådan en overførsel. Patrick kontaktede IT-afdelingen og fandt ud af, at sundhedsmyndighedernes interne systemer var blevet hacket.

Ændringer i bankoplysninger er når svindlere ringer eller sender en e-mail, der ser ud til at være fra en kendt afsender. Det kunne være en besked om at tilføje nye kontooplysninger eller ændre bankoplysningerne for en leverandør, som virksomheden handler med.

• Kontroller altid nye eller ændrede bankoplysninger ved at ringe til din kontaktperson i virksomheden (Single Point of Contact – SPOC) eller tjek oplysningerne via dens officielle hjemmeside.
• Kontroller den e-mailadresse, som henvendelsen er sendt fra.
• Se efter små afvigelser som f.eks. stavefejl eller nye domænenavne i e-mailadressen.
• Sørg for at have klare kontrolprocedurer ved henvendelser om ændring af bankoplysninger.

Et eksempel

Emily i regnskabsafdelingen i ComputerEquipments Ltd fik en e-mail fra en af selskabets kendte leverandører, hvor hun blev bedt om at foretage en betaling til en ny konto. Da e-mailen kom fra leverandørens e-mailadresse, gik Emily i gang med betalingen uden at stille spørgsmål. Efterfølgende oplyste leverandøren, at de ikke havde modtaget pengene, og at de havde fundet ud af, at deres e-mailadresse var blevet hacket. Den betaling, som Emily havde sendt, var end på svindlernes konto.

Fakturasvindel er, når en virksomhed bliver kontaktet af en person, der giver sig ud for at være en leverandør, tjenesteudbyder eller kreditor. Denne form for svindel er udbredt, og der sendes et stort antal fakturaer til forskellige virksomheder på små beløb for varer, som virksomhederne aldrig har købt. Da beløbene er små, og varerne ofte er noget, som mange virksomheder køber – f.eks. kontorartikler – virker fakturaerne ægte. De bliver derfor godkendt og betalt uden at være kontrolleret.

• Sørg for at have klare procedurer for håndtering af manuelle processer som f.eks. fakturabetaling.
• Sørg for at have en oversigt over kreditorer og leverandører, hvis fakturaer ikke er betalt. Så kan alle medarbejdere kontrollere fakturaerne og fastslå, om de modtagne fakturaer er ægte og ser ud som forventet.
• Vær på vagt over for fakturaer på små beløb, især fakturaer for almindelige varer.
• Tjek, at det, som I har modtaget, rent faktisk er en faktura og ikke et tilbud på et produkt. Svindlerne kan være smarte og forsøge at narre jer.
• Ring til leverandøren på dennes officielle telefonnummer, f.eks. det der står på hjemmesiden, og få bekræftet beløb og kontooplysninger før du betaler en faktura.
• Vær opmærksom på fakturasvindel og undervis medarbejderne i din virksomhed, som er ansvarlige for faktureringer.

Et eksempel

Victor arbejder i Entrepreneurs Ltd, hvor han modtager en faktura på 50 kr. fra en tjenesteudbyder. Victor ved, at tjenesteudbyderen for nylig har skiftet hjemmesideadresse, og han synes, at fakturaen ser god nok ud. Victor gennemfører betalingen og giver nogle yderligere anmodede oplysninger. Svindleren har nu narret penge fra Entrepreneurs Ltd, og selskabet er blevet offer for fakturasvindel.

Malware er software, der bliver installeret på computere eller mobile enheder, uden at man er klar over det. Du kan uforvarende komme til at inficere en computer eller mobil enhed med malware, hvis du åbner en inficeret fil eller klikker på et link, der downloader denne software. Nogle former for malware kan udspionere adfærd og opsnappe personlige oplysninger. Andre former lægger en ”usynlig” side hen over log på-siden til netbanken og kopierer dine log in-oplysninger.

Ransomware er en form for malware, der truer med at offentliggøre data eller spærre adgangen til virksomhedens data eller en computer. Svindlerne krypterer normalt virksomhedens data og kræver en løsesum. I mange tilfælde skal løsesummen betales inden for en vis frist. Hvis man ikke betaler til tiden, mister man dataene for altid, eller man bliver afkrævet en højere løsesum.

Sådan sikrer du din virksomhed mod malware og ransomware

• Klik aldrig på et mistænkeligt link og gem aldrig en mistænkelig vedhæftet fil. Phishing og spam er de mest almindelige metoder til ransomware-angreb.
• Her på siden kan du læse mere om phishing og smishing, så du ved, hvad du skal være opmærksom på.
• Vær ekstra forsigtig, når du downloader filer fra nettet, og sørg for, at kilden er pålidelig.
• Tag regelmæssigt backup og sørg for at gemme virksomhedens backup offline i et sikkert miljø.

Et eksempel

En af dine medarbejdere, Michael, modtog en e-mail, hvor han blev bedt om at downloade et nyt program for at færdiggøre en arbejdsopgave. E-mailen var falsk, og Michaels computer blev spærret af hackere, der krævede betaling af en løsesum. Michael var blevet hacket. Kun én person skal hackes for, at hele virksomheden kan hackes.

Intern svindel er en uautoriseret eller ulovlig handling, der udføres af en medarbejder i en virksomhed for direkte eller indirekte at opnå en økonomisk gevinst til skade for virksomheden eller dens kunder.

Selv om virksomheder stoler på deres medarbejdere, kan nogle medarbejdere svindle.

• Overvej, om opgaver i teams har den nødvendige funktionsadskillelse. Er det f.eks. den samme medarbejder, der er ansvarlig for at udføre en opgave og for at kontrollere den?
• Sørg for, at adgangsrettigheder er tildelt medarbejderne på grundlag af deres individuelle ansvar og ikke det samlede teams opgave. Sørg for, at du kender de autorisationer, som du godkender til medarbejderne – hvad de indebærer, og hvorfor de er nødvendige.
• Gennemgå firmakorttransaktioner regelmæssigt og se efter, om der er mistænkelige transaktioner.
• Undervis medarbejderne i interne politikker og procedurer.
• Fastlæg en nultolerancepolitik for intern svindel.
• Sørg for at have en whistleblower-politik eller for at skabe en kultur, som tillader alle medarbejdere at indberette alvorlige forhold anonymt.

Et eksempel

Lucas arbejder i Insurances Ltd, og han var ansvarlig for at købe nye tastaturer til alle medarbejderne, da de skulle arbejde hjemmefra under coronanedlukningen. Da Lucas’ private computerskærm for nylig var gået i stykker, købte han også en ny skærm til sig selv. Svindlen blev opdaget af en kollega, der modtog pakken, da den blev leveret til kontoret. Kollegaen indberettede dette anonymt til ledelsen, som i overensstemmelse med selskabets nultolerancepolitik tog hændelsen med intern svindel meget alvorligt.