’Kanske har du hört talas om så kallade vd-mail? De går under kategorin social engineering och är en snabbt växande form av bedrägerier. Vi har träffat en person som löpande tar emot dem – hon vittnar om hur de blir svårare och svårare att upptäcka.
Ett vd-mail är ett förfalskat meddelande som skickas från någon som utger sig att vara en högt uppsatt person inom företaget. Mottagaren handplockas av bedragaren och är identifierad som någon som bör ha åtkomst till företagets kapital. I mailet ombeds individen att överföra en summa pengar till ett visst konto.
Vi har träffat en högt uppsatt kvinna på ett av Sveriges största företag, hon vill vara anonym. Hennes bild är att bedrägeriförsöken blir mer och mer raffinerade.
– Den här sortens mail är inget nytt för mig, jag får dem då och då. Jag arbetar nära ledningsgruppen och ansvarar för alla våra betalningsflöden, men jag syns inte mycket utåt. Att jag blir kontaktad tyder på en viss noggrannhet i bedragarnas förarbete. Nyligen fick jag ett förfalskat mail från vår koncern-vd som bad mig att överföra en summa till ett brittiskt konto. Hittills har försöken varit mer generiska, men nu hade avsändaren lagt ned en del tid på att likna vår vd’s tonalitet. Vederbörande prickade nästan helt rätt, dock skulle vår vd aldrig be mig att transferera hundra tusen pund till Storbritannien och inte berätta för någon, och vi jobbar inte så.
Hon understryker att det är problematiskt när mailen skickas till personer som mer sällan, eller kanske aldrig har tagit emot ett meddelande av samma dignitet.
– Som anställd vill man göra rätt, det är exakt de strängarna bedragarna spelar på. De allra mest plikttrogna och tjänstvilliga medarbetarna kan därför bli den svaga länken. De vill göra rätt och riktigt när en överordnad instruerar dem om att, brådskande, transferera en summa. Alla på företaget behöver därför utbildas inom ämnet, det är ett misstag att tro att vd-mail inte kan eller kommer att skickas till någon i ledet.
Interna utbildningar och bakgrundskontroller
På företaget hon arbetar har de tagit ett större grepp om social engineering än många andra. Löpande håller de dragningar för personalen, då banker, försäkringsbolag och säkerhetsexperter bjuds in för att sprida ljus i frågan. Digitalt påminns personalen genom mailutskick med skrämmande exempel.
– Allt handlar om tydlighet och strikta regler och processer. Trots det måste vi ha inställningen att det bara är en tidsfråga tills vi blir utsatta. Slappnar vi av och förlitar oss helt till reglerna blir vi sårbara. Alla kan bli lurade – inga system är perfekta.
Alla anställda som hanterar överföringar följer tydliga instruktioner och större transaktioner överses av totalt fyra personer. Oaktat policyn är en stor säkerhetsrisk när det går för fort.
– Vi hanterar många betalningar, det gör oss sårbara. Ett vanligt tillvägagångssätt för bedragare är att betalningsinstruktionen ändras med mycket kort varsel. Mottagaren säkerställs, kopplas till kontot ifråga, betalningen ses över och godkänns. Precis innan det sista steget hör bedragaren av sig, från en mailadress som ser ut att tillhöra mottagaren, och ber om att revidera mottagande konto. Risken är då att personalen vill hjälpa till snabbt och för, utan att förstå det, över pengarna direkt till bedragaren.
För att skapa goda förutsättningar för regelefterlevnad genomför företaget bakgrundskontroller vid samtliga rekryteringar.
– Det är givet för oss att granska alla som arbetar hos oss, det är en vital del av vårt arbete med risk assessment. Vi behöver veta om det finns en tidigare problematik hos individen, speciellt kopplat till ekonomiska utmaningar. Trots det är man givetvis aldrig helt skyddad – en anställd kan utpressas eller samverka med kriminella personer. Därför är det av högsta vikt att säkerställa varje anställds bakgrund, det får inte finnas några kriminella tendenser i deras förflutna samt ha processer där flera personer är nödvändiga.
En skeptisk grundinställning
Hennes råd till andra är att kontinuerligt påminna internt om att inte släppa på garden.
– Jag är övertygad om att det bästa skyddet är att vara skeptisk. Anställda ska uppmuntras att dra öronen åt sig, de ska eskalera frågan internt så fort något ser det minsta suspekt ut. Som ledare måste man premiera det beteendet. Omvänt vill givetvis ingen anställd vara den som ansvarar för att en affär går i stå eller att bolaget transfererar pengar till kriminella; det är upp till företagsledningen att skapa en kultur där alla medarbetare kan luta sig mot tydliga instruktioner. Isolera inte personalen utan sitt i öppna landskap, lyft frågan ofta och håll en öppen dialog. Granska inte bara de delar av verksamheten som går mindre bra, det är en vanlig fallgrop. Även de mest lönsamma avdelningarna och områdena kan utsättas.
Ledningsgruppen behöver inkluderas i reglerna, inga undantag får ske, understryker hon:
– Det är av högsta vikt att ledningen följer processen, annars fallerar själva syftet med policyn. Alla instruktioner ska inkomma skriftligt och granskas, exempelvis via motringningar. Med en tydlighet i kommunikationen internt skapas en miljö där anställda, oavsett position, vågar säga ifrån om någon i ledningen skulle frångå policyn. Era anställda ska veta att de är mandaterade att säga nej och hänvisa till processen. Ingen ska behöva känna osäkerhet kring hur en transferering ska gå till.
Så, hur ser framtiden ut för social engineering och vd-bedrägerier?
– Bedrägerierna blir mer och mer sofistikerade. Utvecklingen sker relativt snabbt, det var inte länge sedan mailen uteslutande skrevs med stavfel eller via Google translate. Jag ser även en trend i hur summorna som efterfrågas inte är uppseendeväckande höga, men av återkommande karaktär. Mindre summor byggs upp till ett flöde. Jag har hört om exempel där transfereringar skett löpande – under månader – innan de upptäcktes. Inom mest avancerade formerna av vd-mail lyckas individen bygga upp en relation med den anställda, som exempelvis kan tror att personen är en högt uppsatt chef på ett av de andra kontoren. För att förbereda oss inför detta måste vi alla bli tydligare i våra rutiner, även vi. Det måste finnas en formell process att luta sig mot för alla sorters betalningar, inte minst de udda. Finn en gyllene medelväg mellan säkerhetsprocesser och smidiga arbetssätt. Uppmana kritiskt tänkande och skepticism, men kom ihåg att alla kan bli lurade och tala öppet om det.