Passer I godt på pengene i ferien?

Falske fakturaer, snydemails, svindel i direktørens navn. It-kriminelle arbejder på mange forskellige måder, og ferieperioden er en af deres højsæsoner. Se nogle af de mest almindelige metoder, og få gode råd om, hvordan både virksomhed og medarbejdere undgår at ryge i fælden.

Falske fakturaer

Mange virksomheder oplever at få tilsendt fakturaer på ydelser, som aldrig er modtaget. Det kan være konkrete vareleverancer, abonnementer eller kontingenter, typisk fra udenlandske leverandører.

En mere raffineret form for fakturasvindel er at ændre betalingsoplysningerne på en faktura fra en kendt leverandør. Når du så betaler fakturaen, går pengene ind på en anden konto, der tilhører en kriminel person eller organisation. Man skal altså være opmærksom på, om der er ændret i betalingsoplysningerne.

Tips til at spotte falske fakturaer

• Er der tale om en virksomhed, I plejer at handle med?
• Er der et ordrenummer, I kan følge op på?
• Kan I komme i kontakt med virksomheden? Det kan man typisk ikke med svindelvirksomheder.
• Få evt. verificeret bank- og betalingsoplysninger hos leverandøren, før I betaler fakturaen.

Svindel i direktørens navn

Blandt de mere udspekulerede former for it-kriminalitet er såkaldt CEO-fraud eller direktør-svindel. Her udgiver en it-kriminel sig for at være virksomhedens direktør eller en ledelsesrepræsentant og udnytter det til at snyde ansatte i fx økonomiafdelingen til at udbetale store beløb.

Det har bl.a. Statens Museum for Kunst været udsat for. Her modtog de ansatte e-mails, som så ud til at være sendt fra direktøren. I virkeligheden kom mailsene fra en svindler. Han bad de ansatte om hurtigt at overføre penge, og mailsene var så virkelighedstro, at de ansatte blev narret til at overføre i alt 805.000 kroner til udenlandske bankkonti.

Museet er langt fra de eneste, som har været ramt, og ifølge nyhedsbrevet Version2 tegner Danmark sig for 0,8 procent af alle registrerede forsøg på CEO-fraud i 2018. Det svarer til en 9. plads i verden. Læs mere her:

Råd mod CEO-fraud

• Lav meget præcise aftaler om, hvornår man som medarbejder må udbetale eller overføre beløb til andre konti. Det kan være kodeord, mundtlige aftaler og godkendelser i flere led.

Hacking pr. e-mail

Mails er en populær måde for hackere at få adgang til din computer på. Det fungerer typisk sådan, at du modtager en mail med et link til en hjemmeside eller en vedhæftet fil, som f.eks. kan være Word, Excel eller PDF. Når du klikker på linket eller åbner filen, aktiverer du – uden at det kan ses – et program, der giver hackeren adgang til dine filer og mails. Måske kan dine adgangskoder også aflæses.

Hvis du er heldig, opdager dit antivirusprogrammet hacker-angrebet og forhindrer, at der sker yderligere.

Ofte udgiver hackerne sig for at være en kendt virksomhed, som f.eks. Nets, Skat eller Apple. De beder fx om, at du hurtigst muligt klikker på linket i mailen for at nulstille en kode, men i virkeligheden videresendes oplysningerne til hackeren.

Tips til at undgå hacking pr. mail

• Vær skeptisk, når du modtager en mail med en ukendt afsender eller en mærkelig tekst i emnefeltet
• Læs mailen igennem. Ofte er disse mails fyldt med sproglige og grammatiske fejl.
• Er der et link i mailen, kan du holde musen hen over teksten for at se internetadressen og vurdere, om den virker troværdig.
• Sørg altid for at have et godt antivirusprogram installeret.

Ransomware er afpresning

Stadig flere virksomheder oplever, at it-kriminelle låser alle filer og kræver en løsesum for at frigive dem igen. De kriminelle skaffer sig typisk adgang ved at sende en mail med en vedhæftet fil, som en medarbejder åbner i god tro, og dermed er virussen løs. Den aktiverer et program (CryptoLocker), der låser filerne på jeres fællesdrev ved at kryptere dem. Andre computere og netværksdrev risikerer også at blive låst.

For at få adgang til filerne igen, skal de enten genskabes via virksomhedens egen backup, eller også skal I betale løsesum til hackeren for at få en kode, der kan låse filerne op igen – dog uden garanti for, at det rent faktisk virker.

Det sidste nye er, at de kriminelle sender en PowerPoint, som man kan åbne uden problemer – men så snart du flytter musen hen over et objekt i filen, downloades virussen.

Tips til at bekæmpe ransomware

• Lad være med at åbne filer fra ukendte afsendere
• Vurdér mailens troværdighed: Ligner det en normal mail?
• Gå på Google og søg på filnavnet. Ofte kan du finde advarsler fra andre, hvis filen indeholder virus.
• Tag jævnligt backup
• Sørg for at opdatere virksomhedens software

Fup via phishing

Phishing er et trick, som it-kriminelle bruger til at narre nøgleinformationer, fx adgangskoder, kreditkortoplysninger eller CPR-numre, ud af godtroende internetbrugere.

De it-kriminelle sender enorme mængder af spam – dvs. uopfordrede e-mails – ud på én gang. De fleste mails er lette at gennemskue, men nogle er mere uigennemskuelige. Det kan fx være mails, der umiddelbart ser ud til at være fra kendte afsendere som mobilselskaber og offentlige myndigheder. I mailen kan man blive bedt om at opdatere sin kode eller kontooplysninger, eller måske er der et link til en falsk faktura.

Tips til at undgå phisingfælden

• Kig efter stavefejl og dårlige oversættelser (mange gange sjusker de kriminelle)
• Klik ikke på links eller vedhæftninger, med mindre du er 100% sikker på, at afsenderen er troværdig
• Hvis det lyder for godt/slemt til at være sandt, så er det formentlig også for godt/slemt til at være sandt.
• Skriv kun dine fortrolige oplysninger på hjemmesider, der er sikret med et såkaldt SSL-certifikat. I så fald vises der en grøn lås ved siden af hjemmesideadressen i browseren, og der står “https://” i stedet for “http://”

Vil du vide mere?

Har du spørgsmål til it-sikkerhed, eller ønsker du råd og vejledning om, hvordan du undgår at blive ramt? Kontakt inforevisions it-afdeling.

infoit
T 3953 5000
info@info-revision.dk