Denne uken fikk Jan M. Moberg en mystisk epost. Moberg er administrerende direktør og ansvarlig redaktør i mediehuset vårt, Teknisk Ukeblad Media.
«Hei. Er du tilgjengelig? Jeg trenger deg til å foreta en betaling umiddelbart. Skriv meg så jeg kan videresende deg betalingsinformasjon».
Det ser ut som om meldingen kommer fra en nær og betrodd kollega, men den er falsk.
– Jeg visste at min kollega var på reise. I tillegg hadde vi tidligere en del trøbbel med kredittkortselskapet vi bruker. Jeg var derfor ikke overrasket over at selve temaet kunne komme opp. Likevel ble jeg heldigvis umiddelbart mistenksom. Han ville aldri formulert seg slik. Så jeg sjekket naturligvis med ham – og sendte ham eposten, forklarer Moberg.
CEO-svindel
Dette er et klassisk eksempel på CEO-svindel eller direktørsvindel, som Nasjonal sikkerhetsmyndighet (NSM) og Norsk senter for informasjonssikring (NorSIS) begge har advart mot tidligere.
Det går an å holde dialogen med svindlerne og sende epost frem og tilbake.
Men er det et faktisk menneske som sitter og formulerer svarene eller er det et dataprogram – kanskje en chatbot?
– Bør tas på alvor
Vi ba Moberg om å spille dum, for å se hva som skjer. I en hyggelig tone indikerer han derfor at han er klar til å bistå sin kollega.
– Deretter var det jo bare å forsøke se hvor langt vi kunne trekke det – uten å gå på limpinnen og betale. Det blir mer og mer uprofesjonelt for hver runde med kommunikasjon. Ikke minst blir formuleringene og språket veldig hanglete etter hvert. Men dette vil bedre seg når systemene blir bedre. Det er absolutt nødvendig å ta dette på alvor. Jeg tror både at vi må sikre våre egne systemer bedre – og at vi må ta på skeptikerbrillene litt oftere og kanskje med litt sterkere glass enn tidligere, sier han.
En regning på 500 000
Etter to timer får Moberg en ny melding hvor han blir bedt om å foreta en internasjonal bankoverføring på 490 560 kroner til en kypriotisk bankkonto.
Det haster visst å betale for noen materialer, lyder forklaringen. For å sette svindlerne på en prøve svarer vi at det var jaggu mye penger – og spør hva vedkommende har kjøpt.
Litt over en time senere lyder svaret «Ja vi trenger å betale for noen utstyr og materialer». I en mer skeptisk tone gir Moberg nå uttrykk for at dette var en høy regning. Han ber kollegaen prute på summen. Noe annet er uaktuelt og vil sprenge budsjettene våre.
Her stanser korrespondansen. Enten har svindlerne nå forstått at vi driver gjøn med dem, eller de har gitt opp av andre grunner. Mer sannsynlig er det vel at det var lagt opp til maksimalt tre epostmeldinger, og at dette var utført av et program.
Bedriftene blir nøye kartlagt
Peggy S. Heie er direktør i NorSIS. Hun forklarer at det ikke er tilfeldig hvem som mottar slike svindelforsøk, og heller ikke hvem avsenderen blir fremstilt som.
– Bedriftene blir nøye kartlagt på forhånd for å avdekke hvem som har betalingsfullmakter. Vi har hørt om tilfeller hvor de går på nyansatte i bedriften, og de finner ut når sjefen er på ferie eller kurs. Det er også eksempler på falsk mailutveksling med bedriftens norske bank, sier Heie.
Forretningsforbindelser, oversikt over ansatte og deres funksjoner i bedriften, helt ned til hvordan de signerer epost, er noe av det svindlerne kan finne på å kartlegge.
Dette bruker de mye tid på, og akkurat denne kartleggingsfasen kan det ikke være et program som utffører, mener NorSIS-direktøren.
– Hvor avanserte er disse svindelforsøkene?
– Bortsett fra at norsken kan være knotete har vi sett forsøk hvor man ordlegger seg akkurat slik personen de utgir seg for å være, ville ha gjort. Noen forsøk er lett gjennomskuelige, men det er også mer avanserte forsøk, egentlig på alle nivåer, sier Heie.
– Norske bedrifter har tapt penger
NorSIS merket særlig i opptakten til sommerferien i fjor en oppblomstring av CEO-svindel. Også utenfor slike sesongtopper er det en strøm av henvendelser.
– Det var en periode også på høsten, men vi får jevnlig henvendelser fra bedrifter som har vært utsatt for slike forsøk. Vi vet også at det er norske bedrifter som har tapt penger på dette, sier Peggy Heie.
Hvem som har latt seg lure er uklart. Det gir ikke NorSIS oss svar på.
– Vi kan ikke si noe om spesielle bransjer eller næring. Det ser tilsynelatende ut til å være tilfeldig hvem som blir ofre, mener Heie.
Dette bør du gjøre av tekniske tiltak
NSM har pekt på tekniske tiltak som kan blokkere epostsvindel av typen vi omtaler i denne artikkelen.
Det er særlig implementering av SPF (Sender Policy Framework), DKIM (Domain Key Identified Mail) og DMARC (Domain-based Message Authentication, Reporting and Conformance) som egner seg.
Merk at alle de tre nevnte mekanismene må implementeres både ved mottak og utsendelse av epost, skriver NSM i et blogginnlegg.