Sådan forebygger I økonomisk it-kriminalitet

Aldrig før har truslen om it-kriminalitet mod danske virksomheder
været større

De it-kriminelle arbejder internationalt og bliver stadig smartere og mere professionelle – og lykkes oftere med deres svindel.

Vi har bedt vores eksperter i it-kriminalitet om at pege på de vigtigste trusler lige nu og samle en række konkrete råd til, hvordan I bedst sikrer jer mod at blive bedraget – fx mod faktura- og betalingsbedrageri.

De største trusler fra
it-kriminelle lige nu

Danske virksomheder oplever en kraftig stigning inden for økonomisk it-kriminalitet, hvor medarbejderne bliver snydt til at udbetale penge til kriminelle. Lige for tiden arbejder ekstra mange hjemmefra på grund af coronavirus. Det er med til at øge risikoen for at blive offer for svindel, da de normale kontrolfunktioner kan være svækkede, og samtidig er kriminelle ofte ekstra aktive i turbulente tider.

Denne form for svindel sker ofte i relation til fakturaer, betalinger og online overførsler og går også under betegnelser som fake president fraud, CFO fraud, CEO fraud og impersonation fraud.

Fiktive fakturaer

Fiktive fakturaer

Ved fakturasvindel udgiver it-kriminelle sig typisk for at være leverandører, der med en fiktiv faktura snyder en medarbejder til at overføre penge til deres egen konto. Dette kunne fx ske via en phishing mail. Vi har set eksempler på virksomheder, som i god tro har betalt fiktive fakturaer i månedsvis og er endt med et milliontab.

Falske beskeder om betaling

Falske beskeder om betaling

I de seneste år har vi set mange tilfælde af fake president fraud, hvor kriminelle udgiver sig fx for at være virksomhedens CEO eller CFO. Personen kontakter en ledende medarbejder i regnskabsafdelingen, der bliver bedt om at lave en presserende, men fortrolig betaling til det, der viser sig at være de kriminelles konto. Kommunikation fremstår typisk yderst professionel med telefonopkald og meget troværdige mails.

Svindel ved bankoverførsler

Svindel ved bankoverførsler

Impersonation fraud er en meget simpel form for bedrageri, hvor svindlerne målrettet kontakter jeres finans- eller regnskabsfunktion. Her udgiver de sig for at være en faktisk leverandør og beder om at få ændret deres bankoplysninger i jeres betalingssystemer. Beskeden om ændring af bankoplysninger understøttes ofte af en phishingmail eller et skriftligt brev, som bekræfter ændringen. 

af al bedrageri bliver begået af virksomhedens egne medarbejdere – enten alene (37 %) eller i samarbejde med en ekstern gerningsmand (20 %).

PwC’s Global Economic Crime and Fraud Survey 2020

af virksomhederne i en PwC-undersøgelse har været udsat for bedrageri og økonomisk kriminalitet inden for de seneste 2 år.

PwC’s Global Economic Crime and Fraud Survey 2020

Politiets nyoprettede Landsdækkende Center for It-relateret økonomisk Kriminalitet modtog 6.082 anmeldelser om it-relateret økonomisk kriminalitet i 2019 fra danske virksomheder, organisationer og myndigheder.

Politi.dk - it-relateret økonomisk kriminalitet i 2019

15 konkrete råd til at undgå at blive snydt af it-kriminelle

1. Informer alle relevante ansatte

Giv alle relevante ansatte på tværs af organisation besked om at være særlig opmærksomme på den stigende risiko for økonomisk it-kriminalitet og bedrageri. Medarbejdere i finans- og regnskabsfunktioner er selvfølgelig oplagte mål, men risikoen gælder alle ansatte, som har direkte kontakt med leverandører og samarbejdspartnere.

2. Ingen instrukser om betaling over telefon

Når interne medarbejdere, direktører, bestyrelsesmedlemmer og lignende beder om en overførsel på mail, bør I få overførslen verificeret enten personligt eller telefonisk af personen, der har bedt om den.

Hvis en betalingsinstruks er givet over telefonen, bør I foretage et kontrolopkald til et forudoplyst telefonnummer. De involverede parter skal efterfølgende bekræfte samtalen pr. mail. 

3. Lav logfiler over usædvanlige opkald

Vær opmærksomme på, hvem I taler med i telefonen, og lav logfiler over usædvanlige opkald. Så kan I henvise til tidligere samtaler, hvis noget virker mistænkeligt.

4. Rapporter om usædvanlige beskeder

Medarbejderne bør altid rapportere enhver mistanke om bedrageri – uanset graden af mistanke – i forbindelse med betaling, finansiel transaktion, ændring af bankoplysninger til en udpeget leder tilknyttet en finans- eller regnskabsfunktion. Det kan fx være en besked fra en ledende medarbejder, hvor tonen eller fremgangsmetoden er usædvanlig, eller hvor der er grammatiske eller grafiske fejl.

5. Ingen følsomme oplysninger over telefonen

Ansatte bør aldrig udlevere private eller virksomhedsfølsomme oplysninger over telefonen. Det kan fx være detaljer om leverandørkontakter, leverandørnumre eller andre informationer, som svindlere kan bruge i deres forsøg på bedrageri.

6. Dobbelt godkendelse af store online-betalinger

Dobbelt godkendelsesprocedure er særlig vigtig og bør gælde for store elektroniske pengeoverførsler fx over 50.000 kr. Ideelt er de, der må godkende betalinger opdelt i to grupper: Gruppe A, der har autoriteten til at forpligte selskabet, og gruppe B, der har funktionen og evnen til at validere betalingen. Kombinationen af A og B sikrer, at betalingen er behørigt godkendt (A) og berettiget (B), mens A+A eller B+B kan øge risikoen for bedrageri.

7. Tjek, om en person har ret til at ændre bankoplysninger

Modtager I en besked om at ændre bankoplysninger for fx en leverandør eller samarbejdspartner, bør I undersøge, om den kommer fra en kendt kontaktperson og mailadresse. Tjek altid, om afsenderen har beføjelse til at foretage ændringen, at mailen er ægte, og at vedhæftede dokumenter understøtter beskeden.

8. Kontroller leverandørens tidligere ændringer

Beder en leverandør om at få ændret fx bankoplysninger, bør I kontrollere, om de tidligere har bedt om at få ændret standarddata. Det er selvfølgelig især vigtigt i forhold til leverandører og samarbejdspartnere med transaktioner af store beløb.

9. Lav kontrolopkald, og tjek brevpapir

Hvis der ved en given pengeoverførsel er uoverensstemmelser i de opgivne betalingsoplysninger, sammenholdt med tidligere registrerede betalingsoplysninger, bør I foretage et kontrolopkald til jeres faste kontaktperson.

Kontroller også, om brevpapiret på en instruks om fx betalinger fra en leverandør eller samarbejdspartner er på samme brevpapir, som I tidligere har modtaget.

10. Kontroller betalinger og konti

Sørg for, at I periodisk og kontinuerligt afstemmer betalinger og konti.

11. Brug digital signatur på vigtige, interne mails

Brug altid digital signatur, når I bruger interne mails til at kommunikere vigtige instruktioner.

12. Whistleblowing om ansattes deltagelse i svindel

Er I en større virksomhed bør jeres procedurer for whistleblowing omfatte situationer, hvor medarbejdere trues, intimideres eller tvinges til at udføre kriminelle handlinger af eksterne svindlere, interne ledere, kolleger eller andre personer. 

13. Ingen personlige oplysninger fra reception

Alle medarbejdere i receptionen bør behandle usædvanlige spørgsmål med forsigtighed og fx ikke oplyse navne og kontaktoplysninger til ansatte i finans- eller regnskabsafdelingen.

14. Overvej, hvad I poster på sociale medier

Sociale medier kan være en central kilde for svindlere til at få relevante informationer til et svindelnummer. Alle ansatte bør gøres opmærksomme på risikoen og have klare sikkerhedsinstruktioner om fx ikke at udlevere fortrolige oplysninger og andre vigtige informationer om virksomheden på sociale medier og netværk.

15. Pas godt på jeres hjemmeside og brugere

Beskyttelsen af jeres hjemmeside skal holdes opdateret for at undgå at svindlere lykkedes med fx pharming. Her omdirigerer it-kriminelle besøgende på jeres hjemmeside til en falsk hjemmeside med samme domænenavn, form og udseende, hvor de indsamler relevante informationer, som de kan bruge i forbindelse med deres svindelnummer. 

Undgå, at medarbejderne begår bedrageri
og underslæb

Selv virksomheder med gode forhold og loyale medarbejdere oplever, at deres medarbejdere begår kriminalitet som fx bedrageri, underslæb og mandatsvig mod dem. Derfor er det også en god ide at have en række rutiner for kontrol af medarbejderne.

1. Kontroller nyansattes tidligere ansættelser, og om de har været straffet.

2. Tjek, om lønudbetalinger stemmer med personalearkivet for fx at fange usædvanlig store udbetalinger.

3. Sørg for at implementere interne forretningsgange for betalinger. Det kan fx være, at ingen medarbejder udfører store betalinger på over fx 50.000 kr. uden godkendelse fra en anden ansat.

4. Indfør krav om personligt brugernavn og adgangskode på alle it-systemer – helst med tofaktorgodkendelse.

5. Optæl lager, råvarer og igangværende projekter mindst én gang i kvartalet, og sammenlign resultatet med lagerlisten.

Bliv sikret mod tab ved økonomisk it-kriminalitet

Selvom mange danske virksomheder gør et stort arbejde for at undgå økonomisk it-kriminalitet, ser vi desværre, at det stadig oftere lykkes.

Læs mere om vores kriminalitetsforsikring, og hvordan vi kan hjælpe jeres virksomhed og dække jer bedst muligt mod økonomisk it-kriminalitet.

Læs om vores kriminalitetsforsikring

Erhverv / Forsikringer / Kriminalitetsforsikring / Forebyg skader