Sikkerhet nr. 3 / 2016
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
nsr<br />
Direktørsvindel på frammarsj<br />
Ferie er høysesong for<br />
«CEO-svindel»: Svindlere<br />
utgir seg for å være direktør<br />
og ber ansatte overføre<br />
penger.<br />
tekst: NSM NorCERT<br />
Norges nasjonale cybersenter i Nasjonal<br />
sikkerhetsmyndighet (NSM Nor<br />
CERT) ser en økende mengde «CEOsvindel»<br />
mot organisasjoner i Norge.<br />
Svindelen starter med at virksomhetens<br />
finansmedarbeidere mottar en<br />
falsk epost fra en i toppledelsen der de<br />
blir bedt om å gjennomføre en transaksjon<br />
som haster. Trusselaktøren utgir<br />
seg ofte for å være administrer ende<br />
direktør, finanssjef eller liknende.<br />
Denne formen for svindel er i senere<br />
tid blitt observert i langt større<br />
grad mot organisasjoner i Norge enn<br />
tidligere. Epostene som sendes er på<br />
relativt grei norsk, selv om de ikke alltid<br />
er helt grammatisk korrekte.<br />
Ulike varianter<br />
CEO-svindel er blitt observert i flere<br />
engelskspråklige land over leng re<br />
tid. FBI rapporterte tidligere i år at<br />
det på verdensbasis blir tapt 10 milliarder<br />
kroner gjennom denne typen<br />
svindel.<br />
CEO-svindel blir ofte omtalt som<br />
«CEO scam», «Whaling» eller «Business<br />
Email Compromise (BEC)». Det<br />
finnes ulike varianter av disse:<br />
• En forfalsket melding fra administrerende<br />
direktør til<br />
finans direktør: «Jeg trenger å få<br />
gjennomf ørt en utenlandstransaksjon<br />
raskt».<br />
• En forfalsket melding fra finansdirektør<br />
til finansmedarbeider:<br />
«Jeg trenger å få gjennomført en<br />
utenlandstransaksjon raskt».<br />
• En forfalsket melding fra finansdirektør<br />
til finansmedarbeider<br />
der vedkommende tilsynelatende<br />
videresender en melding fra administrerende<br />
direktør. Teksten kan<br />
ofte være: «Hei, se epost under fra<br />
administrerende direktør. Dette<br />
er viktig. Kan du få gjennomført<br />
transaksjonen han/hun beskriver,<br />
snarest og uten opphold».<br />
Man ser i mange tilfeller at adressene<br />
er forfalsket slik at den er lik adressen<br />
til administrerende direktør eller<br />
finansdirektør. For de som benytter<br />
Lync eller Skype, vil man også få opp<br />
statusikon for brukeren, samt bilde<br />
fra tilhørende Active Directory dersom<br />
man har satt dette opp.<br />
Tiltak som kan hjelpe<br />
Informer organisasjonen om denne<br />
svindel-metoden, særlig topp ledelse<br />
og finansmedarbeidere. De ansatte<br />
bør spesielt være oppmerksomme på:<br />
• Plutselige utenlandsbetalinger som<br />
haster<br />
• Rar og uvanlig setningsoppbygging<br />
og språk<br />
• Om adressen stemmer når man<br />
trykker «svar til»<br />
Sørg for at svindelforsøk rappor teres<br />
internt. De ansatte bør ha en klar<br />
prose dyre på hvor informasjon skal<br />
sendes slik at det når relevant sikkerhetspersonell.<br />
Sørg for å ha rutiner der slike utbetalinger<br />
må bekreftes på andre måter<br />
enn ved epost. Dette kan gjøres<br />
ved at betalingen bekreftes muntlig.<br />
Svindel forsøket vil da mislykkes.<br />
Tekniske tiltak<br />
Det er ulike tekniske tiltak som kan<br />
blokkere epostene, deriblant mekanismene<br />
Sender Policy Framework<br />
(SPF), Domain Keys Identified Mail<br />
(DKIM) og Domain-based Message<br />
Authentication, Reporting and<br />
Conformance (DMARC) (se egen<br />
faktaboks). Merk at alle disse mekanismene<br />
må implementeres både ved<br />
mottak og utsendelse av epost.<br />
Trender<br />
NSM NorCERT forventer at svindlere<br />
vil endre domenene som benyttes<br />
etter hvert som de ulike organisasjonene<br />
får på plass beskyttelse. De kan for<br />
54<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2016</strong>