Hackere bag CEO fraud er ikke ude efter information

En udbredt type af internetsvindel er BEC-angreb (Business E-mail Compromise) også kendt som CEO fraud.

Hackere bag CEO fraud er ikke ude efter information 1Her udgiver en hacker sig fx for at være virksomhedens CEO for at lokke ansatte til at overføre penge eller personfølsomme oplysninger. Ny undersøgelse viser, at målet i over 46 pct. af tilfældene er penge, og kun 0,8 pct. af tilfældene handler om at stjæle information.

Barracuda Networks, en førende leverandør af cloud-baserede sikkerheds- og databeskyttelsesløsninger, har foretaget en ny undersøgelse af 3.000 BEC-angreb – også kendt som CEO fraud. Heraf havde knap 50 pct. af angrebene til formål at få en ansat til at overføre penge. Undersøgelsen viser også, at hackerne i stigende grad går væk fra at bruge de klassiske snydelinks. I stedet sender de nu det, der ligner en helt almindelig e-mail fra en kollega. Og det gør det svært for medarbejderne at opdage. Derfor er det nødvendigt, at medarbejderne trænes i at genkende BEC-angreb.

”Hackerne bliver bedre og bedre til at virke troværdige, når de udfører BEC-angreb. Vi ser nu, at de langt oftere snyder folk med virkelighedstro e-mails uden falske links og på den måde får uskyldige ansatte til at overføre penge. Fx er 12 pct. af angrebene indledt med e-mails, der handler om en ”uskyldig” arbejdsopgave. Hackernes nye metoder stiller større krav til både virksomhedens it-sikkerhedsniveau og ikke mindst de ansattes træning,” siger Peter Gustafsson, nordisk ansvarlig hos Barracuda Networks.

Alle afdelinger kan rammes

Der er en grund til, at BEC-angreb også bliver kaldt CEO fraud. I over 40 pct. af tilfældene udgiver hackeren sig for at være enten CEO eller grundlægger af virksomheden.
Men uanset om man sidder med HR, i økonomiafdelingen eller arbejder med marketing, kan man blive ramt – for hvis først svindleren har overbevist én ansat, bliver det kun nemmere at få snebolden til at rulle frem imod en potentiel overførsel. Det er derfor vigtigt, at ansatte i alle afdelinger bliver informeret om farerne ved BEC-angreb, og hvordan disse angreb kan virke uskyldige ved første øjekast.

Sådan undgår du BEC-angreb

Herunder er fire råd til, hvordan man bedst sikrer sin virksomhed og ansatte mod BEC-angreb:
Pengeoverførsler bør aldrig blive gennemført uden en samtale ansigt til ansigt eller på telefon med den person, der har bedt dig overføre pengene. Vær også ekstra opmærksom på, at telefonnummeret stemmer overens med nummeret i dine kontakter.
Da CEO-rollen er den mest brugte ved BEC-angreb, bør man være ekstra forsigtig med e-mails fra topledelsen. Hvis man er tvivl, bør man altid tage direkte kontakt til personen, der kommer med forespørgslen på e-mail.

Få opsat træningsprogrammer, der løbende oplærer ansatte i, hvordan de spotter et BEC-angreb. Installér et sikkerhedsprogram som Barracuda Sentinel, der automatisk identificerer og scanner for potentielle BEC-angreb.

Læs mere om undersøgelsen her.