Sikkerhet

Slik ble Frode forsøkt lurt av en kjapp mail fra «sjefen»

Heldigvis blinket alle alarmene i en travel hverdag. – Spesielt opp mot jul vil de kriminelle utnytte et økt stressnivå med direktørsvindel, advarer sikkerhetsekspert.

Forsøket på direktørsvindel ble heldigvis stoppet

«Hallo Frode, er du tilgjengelig?»

Da dette spørsmålet tikket inn i innboksen til salgsdirektør Frode Alvad i Telenor Linx en fredag morgen i august, kom det ikke fra hvem som helst.

Den korte og kontante e-posten, tydelig merket «HASTER», var signert Stig Waagbø – administrerende direktør i Telenor Linx – daværende Telenor Digital.

– Jeg var opptatt med å følge gutta mine til skolen, og husker jeg sa til dem at «jeg må fikse noe for sjefen min» da jeg så e-posten på mobilen, forteller Frode.

Han svarte like kjapt tilbake at joda, han var tilgjengelig – og at det bare var å ringe. Like etter kom svaret, signert Waagbø:

«Jeg er i et viktig møte akkurat nå, og jeg kan ikke anrop. Jeg trenger at du håndterer en presserende oppgave for meg forsiktig.»

– Det er ikke uvanlig med en casual tone i slike e-poster, med enkelte skrivefeil. Folk er gjerne travle, og han skrev jo selv at han var i et møte, sier Frode – som svarte at han kunne rydde kalenderen til frem til 14.30.

Alle alarmene blinket

Igjen kom svaret kontant:

«Ok bra. Jeg vil at du skal kjøpe gavekort til bestemte kunder. Klarer du det på 25 minutter? Gi meg beskjed slik at jeg kan sende deg navnene på gavekortene og den nøyaktige verdien av hvert. Jeg vil refundere pengene dine umiddelbart etter møtet.»

Først da barna var levert på skolen, fikk han sett nærmere på e-postene han hadde mottatt.

– Og da blinket alle alarmene, sier Frode.

– Jeg gikk inn på Slack, og prøvde å skrive direkte til PA-en hans. Det er jo hun som ellers pleier å ordne alt når jeg har gjort denne type småoppdrag for sjefen før.

Svaret han fikk tilbake gjennom appen de bruker for internkommunikasjon var tydelig: Nei, det hadde ikke kommet noe slik forespørsel fra Waagbø.

Svindeltype med stort skadepotensial

– Problemet med slike e-poster som kommer i farta, er at de gjerne leses på mobilen. Der er det ikke alltid like enkelt å se den faktiske avsenderadressen. Ofte ser du bare navnet, og i dette tilfellet var det faktisk sjefen min, sier Frode.

Ved nærmere øyesyn, etter å ha trykket seg inn «bak» navnet, kom avsenderadressen til syne. Og den tilhørte definitivt ikke sjefen.

Det Frode opplevde her er ifølge Thorbjørn Busch, senior sikkerhetsrådgiver i Telenor, et klassisk eksempel på direktørsvindel.

– Dette er en svindelmetode med et stort tapspotensial, der ansatte gjerne blir lurt til å gjennomføre transaksjoner eller andre handlinger i den tro at de gjør det på vegne av en overordnet, sier Busch.

Her benytter de kriminelle seg av den etablerte tilliten, respekten og noen ganger frykten mange ansatte har for autoriteter i virksomheten:

– Tror den ansatte på at det faktisk er sjefen som ber dem om å gjøre noe, skal det gjerne ikke mye til før de for eksempel har overført penger ut av virksomheten. Her kan det ofte også være snakk om store beløp, sier Busch.

For som Frode selv sier:

– Alle vil vel være litt «serviceminded» overfor ledelsen i selskapet, alt annet ville jo vært rart.

Hva de kriminelle faktisk var ute etter i hans tilfelle, er ikke sikkert – men ifølge Busch er digitale gavekort, som det her ble bedt om, kjent for å være et lett omsettelig verdiobjekt på nettet.

– Det kunne også hende at de bare ville fiske info om kredittkortet mitt, for eksempel ved at de laget en falsk nettside hvor de kunne plukke opp detaljene mine, spekulerer Frode selv.

 Frode Alvad, Salgsdirektør i Telenor Linx.
Frode Alvad, Salgsdirektør i Telenor Linx.

Ofte målrettede angrep

«Hallo Frode, er du fortsatt der? Gi meg beskjed hvis du kan håndtere denne oppgaven, det haster.»

Da Frode ikke ga mer lyd fra seg, tok det heller ikke lang tid før det ble stille fra de kriminelle som skjulte seg bak sjefens navn.

– Jeg sa fra til IT-avdelingen med en gang, ettersom jeg vet at de som står bak dette gjerne forsøker seg på flere samtidig. Selv om ikke jeg responderer, kan det være andre som gjør det, forteller Frode – som selv har bakgrunn fra IT-avdelingen.

– Jeg har derfor under huden at man ikke skal trykke på lenker du blir tilsendt, og holde musmarkøren over lenkene for å se hvor de egentlig leder. Er jeg usikker, sender jeg heller en e-post tilbake, eller tar kontakt på annet vis, forteller han.

Men selv om han er godt vant til forskjellige svindelfremstøt via forskjellige kanaler, synes Frode det i dette tilfellet var interessant å bli så målrettet angrepet av noen, forteller han:

– Her visste de åpenbart hvem jeg er, hva jeg jobber med – og hvem som er sjefen min.

Direktørsvindel

Metoden går ut på at svindlerne utgir seg for å være for eksempel en daglig leder i en bedrift, for så å lure en ansatt (gjerne med økonomiansvar) til å gjennomføre en transaksjon som «haster».

Som hovedregel vil de kriminelle lure ansatte via e-post. De vil da skaffe seg informasjon og bruke denne informasjonen til å manipulere ansatte i organisasjonen til å gjennomføre en betaling i form av en falsk faktura, eller endre et kontonummer på en eksisterende faktura.

Sanker info om de ansatte

Mest sannsynlig har de som sto bak dette svindelforsøket funnet informasjonen de trengte på LinkedIn, tror Frode selv.

– Der er jo de fleste, med åpne profiler. Samtidig er det også lett å finne ut hva folk jobber med, og hva slags forhold de har til andre i organisasjonen – samt hvem som er sjefene.

I tillegg er det ofte mulig å få oversikt over både ansatte og sjefer via bedriftenes hjemmesider.

– Det tar ikke nødvendigvis veldig lang tid å søke opp slik informasjon og bygge opp et organisasjonskart, komplett med kontaktinformasjon til og ansvarsforhold hos de ansatte, sier Frode.

Har man tilgang på denne informasjonen, gjerne supplert med annen personlig informasjon som ligger åpent tilgjengelig hos mange på andre sosiale medier, er det ikke vanskelig å finne en troverdig vei inn, sier han.

– Og når økonomien er blitt dårligere i veldig mange land, er det også trolig at dette vil øke i omfang inn mot Norge. Så bra som Google Translate er blitt i det siste, kan det det i tiden fremover bli stadig vanskeligere å oppdage det som tidligere kanskje var mer åpenbare svindelforsøk, sier Frode.

Thorbjørn Busch, senior sikkerhetsrådgiver i Telenor.
Thorbjørn Busch, senior sikkerhetsrådgiver i Telenor.

Økende trend via LinkedIn

– Vi mistenker at organiserte kriminelle de senere årene i større grad benytter åpne kilder som LinkedIn og Facebook til å kartlegge ansatte og bedrifter i forbindelse med direktørsvindel, sier Thorbjørn Busch.

– Denne informasjon kan deretter flettes sammen med annen informasjon. Når brikkene i puslespillet er lagt, kan de kriminelle effektivt gjennomføre målrettede direktørsvindelangrep med høy presisjon.

Telenors sikkerhetsavdeling har de siste ukene registrert flere henvendelser fra ansatte i Telenor Norge, der de har mottatt suspekte henvendelser og kontaktforespørsler via LinkedIn:

– De kriminelle utnytter det at LinkedIn ikke krever verifikasjon for å knytte en brukerkonto til en bedrift. De kan dermed oppgi at de selv jobber i for eksempel Telenor – og utnytte dette i direktemeldinger til andre Telenor-ansatte på plattformen, sier Busch.

Dette er også noe som er blitt benyttet i forsøk på rekruttering av Telenor-ansatte som innsideaktører for kriminell virksomhet, poengterer han.

Pass på i desember

Desember er for de fleste en travel måned både på jobb og privat. Ifølge Thorbjørn Busch kan de kriminelle utnytte dette desember-stresset til sin fordel når de angriper.

– At det skjer mye på en gang, og arbeidsfokuset til de ansatte flyter over på andre ting, skaper et mulighetsrom. I perioder med lavere bemanning på jobb, gjelder det også ha gode rutiner og et bevisst forhold til hvordan man skal forholde seg til uventede henvendelser, sier Busch.

Sikkerhetseksperten anbefaler alle å lese den digitale brosjyren om hvordan unngå bedrageri mot din virksomhet.

– Utover rådene i brosjyren oppfordrer vi til å utvise varsomhet i forbindelse med henvendelser via LinkedIn og sosiale medier – spesielt fra ukjente personer. Vær også bevisst på hva du legger ut av arbeidsrelatert informasjon på sosiale medier.

Etter hendelsen med e-posten fra «sjefen», har Frode også gått litt i seg selv:

– Jeg har prøvd å se hvor godt – eller dårlig – jeg egentlig reagerte. Og jeg tror faktisk at jeg kunne endt opp på samme sted, med noen e-poster frem og tilbake, før jeg luktet lunta.

I hvert fall med en e-post som er noenlunde godt skrevet påpeker han – og minner igjen om hvor travle mange er i hverdagen, og derfor gjerne skriver gjerne kjappe mailer på mobilen. 

– Sånn sett hadde det også vært rart om e-posten var mer formell. Her gjelder det vel bare å hele tiden ha i bakhodet hvordan man skal forholde seg til henvendelser som ber om noe litt utenom det vanlige.