Ignorer kommandoer på båndet
Gå til hovedindhold
< BACK

Sådan angriber svindlerne din virksomhed med CEO fraud

Research, social engineering og automatiske scanninger er nogle af de våben, som svindlere benytter til at infiltrere virksomheder og udgive sig for at være chefen. Når først svindlerne er trængt ind, kan de skjult vente i månedsvis på den perfekte anledning til at udføre angrebet. 

Der ligger systematik og stor tålmodighed bag de tusindvis af CEO fraud-forsøg, der hvert år rammer toplederne i danske virksomheder. Typisk sender svindlerne en forfalsket hastemail fra en bortrejst chef til økonomiafdelingen. Den instruerer medarbejderne i at overføre et større pengebeløb hurtigt, fortroligt og uden spørgsmål.

Forud for selve svindelmailen ligger typisk et grundigt forarbejde, hvor svindlerne metodisk har undersøgt virksomheden, identificeret nøglepersoner og skaffet sig adgang til interne systemer som e-mailservere og kalendere. Forekomsten af CEO fraud er stigende, og de kriminelle bliver hele tiden dygtigere, viser undersøgelser og erfaringerne fra NNIT Cyber Defense Center.

– Bagmændene bag CEO fraud har i dag avancerede redskaber til rådighed, der automatisk kan scanne efter sårbarheder og udnytte opsnappede passwords og login-oplysninger. Samtidig er de gode til at aflure og efterligne den interne kommunikation, så sprogbrug og formuleringer matcher de mails, som ofrene selv sender. De bliver dygtigere og dygtigere, så vores overvågning stopper aldrig, fortæller Christian Dinesen, Security Architect & Etisk Hacker i NNIT Cyber Defense Center. 

 

Angrebets faser

Et CEO fraud-angreb kan strække sig over flere måneder og inkluderer typisk disse fem faser.


Fase 1: Identifikation af mulige mål

Her gennemtrawler svindlerne offentligt tilgængelig info for at finde egnede angrebsmål. Typisk er mellemstore virksomheder de foretrukne ofre, men alle typer virksomheder og organisationer kan være i farezonen.

Fase 2: Indsamling af oplysninger  

Når svindlerne har udset sig en virksomhed, går de systematisk til værks med at indsamle oplysninger som navn, titel, e-mail og anden info på nøglepersoner. Denne proces er ofte automatiseret, men i nogle tilfælde kontakter svindlerne virksomheden direkte via e-mail eller telefon og udgiver sig som potentielle ansøgere, leverandører eller kunder. På den måde får de adgang til mailsignaturer og viden om, hvordan virksomhedens ansatte udtrykker sig i skrift og tale.

Fase 3: De indledende angreb

Når de kriminelle har indsamlet den nødvendige information, vil de typisk forsøge at kompromittere virksomhedens interne systemer – enten gennem tekniske sårbarheder eller via målrettede phising-mails sendt til udvalgte ansatte. For eksempel en ansøgning sendt til HR med et link eller en vedhæftet fil, der installerer et snooper-program på offerets computer. Herfra sørger automatiserede scripts for straks at udnytte opsnappede oplysninger som adgangskoder til den interne mailserver eller intranet. De kriminelle er blandt andet på jagt efter kopier af fakturaer eller mailkorrespondance fra de medarbejdere, de ønsker at udgive sig for. Især kalendere er et eftertragtet mål, for de viser, hvornår chefen er på rejse eller på anden måde utilgængelig.   

Fase 4: Stilhed før stormen

Har svindlerne held til at infiltrere virksomheden, vil de typisk forblive skjult og intensivere jagten på oplysninger, der gør dem i stand til at opbygge en troværdig historie, der kan udløse en større udbetaling. De studerer nøje kommunikationen til og fra deres udvalgte ofre, så de får indblik i sprogbrug, afsenderinfo og vaner.

Fase 5: Det afgørende angreb

Svindlerne er nu velforberedte og klar til at slå til, når de helt rigtige betingelser opstår. Det er gerne, når direktøren eller en anden ledende medarbejder er utilgængelig, så de kan sende en troværdigt udseende anmodning om overførsel af et større pengebeløb til en økonomimedarbejder eller lignende. Der er set eksempler på, at de tilmed har SIM-klonet chefens mobil, så mailen kan følges op med en sms, der understreger behovet for hurtig handling. Svindlerne vil altid forsøge at skabe et tidspres og slår ofte til i perioder, hvor vikarer afløser de faste medarbejdere. Mange angreb finder sted fredag eftermiddag, netop som de ansatte er på vej på weekend.

 

Våbenkapløb med automatiserede værktøjer

Vil du forsvare dig mod CEO fraud, kan du anvende samme miks af automatiserede værktøjer og menneskelig indsigt som svindlerne. Når NNIT Cyber Defense Center hjælper virksomheder med at styrke sikkerheden, sker det blandt andet med tekniske sikkerhedsløsninger som Endpoint Detection Response (EDR), der kan opfange forsøg på indtrængen i it-systemet. Derudover er uddannelse og generel awareness i virksomheden om phishing og social engineering afgørende.

– Manglende opmærksomhed om it-trusler er et stort problem, hvilket vi tydeligt ser, når vi udfører threat intelligence og security health checks. Vores kunder bliver ofte overraskede over risikoen i de simulerede angreb, som vores etiske hackere udfører. Som regel går der flere måneder, før det overhovedet bliver opdaget, at nogen er trængt ind. Derfor kan automatiseret overvågning af systemerne være et effektivt værn, der fanger svindelforsøget tidligt, siger Christian Dinesen.

 

Forsvar i fem trin

NNIT Cyber Defense Center opdeler sikkerhedsindsatsen i fem trin:

 

 

Er der styr på sikkerheden i din virksomhed?

Vil du vide mere om NNIT Cyber Defense Center, og hvordan vi kan hjælpe dig med at sikre din virksomhed, kan du kontakte Christian Dinesen på mail cid@nnit.com.

 

 

Christian Dinesen+45 3079 4062cid@nnit.comSenior Security Architecthttps://www.linkedin.com/in/christiandinesen/Christian Dinesen

 

 

NNIT Security Insightshttp://www.nnit.dk/cybersecurity/Sider/nnit-security-insights.aspxNNIT Security Insights
Managed Securityhttp://www.nnit.dk/cybersecurity/Sider/Managed-Security.aspxManaged Security
Identitets- og adgangsstyringhttp://www.nnit.dk/cybersecurity/Sider/Identitets-og-adgangsstyring.aspxIdentitets- og adgangsstyring
VR Cybersecurity Traininghttp://www.nnit.dk/cybersecurity/Sider/VR-Cybersecurity-Training.aspxVR Cybersecurity Training
IDC IT Security Conferencehttp://www.nnit.dk/Sider/IDC-IT-Security-Conference.aspxIDC IT Security Conference
Hold øje med "Bad Rabbit"http://www.nnit.dk/ArtiklerOgOfferings/Sider/Artikel_Hold_øje_med_Bad_Rabbit.aspxHold øje med "Bad Rabbit"
Cybersikkerhed – tendenser og trusler i 2018http://www.nnit.dk/ArtiklerOgOfferings/Sider/Cybersikkerhed-–-tendenser-og-trusler-i-2018.aspxCybersikkerhed – tendenser og trusler i 2018
NNIT styrker compliance med ny identitets- og adgangsstyring til it-systemerhttp://www.nnit.dk/ArtiklerOgOfferings/Sider/NNIT-styrker-compliance-med-ny-identitets--og-adgangsstyring-til-it-systemer.aspxNNIT styrker compliance med ny identitets- og adgangsstyring til it-systemer