Hem » Internetsweden | Investigator » Bedragare » VD-bedrägerier för DUMMIES

Missa inte tidigare inlägg

Bedragare
september 29, 2016

Blir det Sveriges största bedrägeri genom tiderna?

Övrigt
augusti 31, 2016

Lägenhetsbluffar

Bluffakturor
augusti 29, 2016

När snillen spekulerar..

Phishing, intrång och ID-kapning
juli 23, 2016

Nytt SMS-spam

Bedragare
juli 9, 2016

VD-bedrägerier för DUMMIES

Bedragare
juni 19, 2016

VD-bedrägerier – bedragarnas nya svarta

Domäner
maj 12, 2016

Nu släpps zonfilerna för .se och .nu fria!

Bluffakturor
maj 8, 2016

Sydsvenskan har skrivit om Bolagsbasen idag

Bedragare
februari 12, 2016

50 anledningar till besvikelse

Övrigt
november 14, 2015

Vi är alla Parisare idag och Européer imorgon!

Bedragare
september 12, 2015

PRV varnar, eller vad sysslar de med egentligen?

Bluffakturor
september 6, 2015

När ska fakturabedrägerier börja tas på ordentligt allvar?

Bedragare
maj 18, 2015

Varumärkesbedrägerier

Bedragare
maj 6, 2015

ID-kapningar – extended version

Övrigt
april 23, 2015

Solskenshistoria!

Falska shoppar (ej lev.)
april 18, 2015

To good to be true

Internetsweden | Investigator
mars 13, 2015

Svensk brottsbekämpning – nu jäklar!

Internetsweden | Investigator
januari 15, 2015

Sagan om den svenska brottsbekämpningen och den onda spiralen

Bedragare
januari 7, 2015

JUSAB-härvan är märkligare än vad man kan ana!

Bluffakturor
december 29, 2014

En FULLSTÄNDIGT intetsägande och desinformerande artikel i skanskan.se

Internetsweden | Investigator
december 20, 2014

Brottstrender och utveckling på nätet – nu uppdelad med bokmärken

Internetsweden | Investigator
december 20, 2014

Tio saker som företag bör se upp för på nätet – nu uppdelad med bokmärken

Internetsweden | Investigator
december 20, 2014

Tio saker som privatpersoner bör se upp för på nätet – nu uppdelad med bokmärken

Övrigt
december 14, 2014

En personlig reflektion kring politikers syn på människors olika värde

Bedragare
december 14, 2014

Brottstrender och utveckling på nätet

Bedragare
december 14, 2014

Tio saker som företag bör se upp för på nätet

419-bedrägerier även kallade nigeriabrev
december 10, 2014

Tio saker som privatpersoner bör se upp för på nätet

Internetsweden | Investigator
november 28, 2014

Tre frukostseminarier 10-12/12

Myndigheter informerar och varnar
november 28, 2014

Polisen: Tips och råd om trygg julhandel

Internetsweden | Investigator
november 23, 2014

En skopa av sleven eller en nutida budkavel

VD-bedrägerier för DUMMIES

Det här inlägget är avsett för att bringa klarhet i det som kanske lite vilseledande kommit att kallas VD-bedrägerier i Sverige.
Anledningen till att det kanske är att se som vilseledande är för att det inte alls behöver vara VD:n som används för bedrägeriet.
Därför är det engelska uttrycket BEC, ”Business Email Compromise” mer beskrivande, då ”alla” olika roller på ett företag kan användas för ”VD-bedrägerier”

Fenomenet är inte något nytt utan snarlika bedrägerier har skett i Sverige sedan åtminstone början av 2014, men över tid har sätten blivit både fler och i vissa avseenden betydligt mer komplicerade. Jag kommer att redogöra för flera olika längre ner.

Så det är viktigt att se ”VD-bedrägerier” som ett samlingsbegrepp för olika sätt att använda kapade eller felstavade e-postadresser för att utföra bedrägerier.

OMFATTNING

Då börjar med det som nu drar som en löpeld över världen och där amerikanska FBI så sent som i 14 juni 2016 meddelade har lett till att 3,1 miljarder amerikanska dollar hamnat i bedragarnas fickor.

3,1 miljarder dollar ($3 086 250 090) delat med antalet drabbade företag som de känner till, vilket var 22 143 så får vi ca $140 000 i förlust i genomsnitt per drabbat företag, vilket i svenska kronor blir ca 1,2 miljoner kronor. Och med en takt på ca 100 miljoner kronor om dagen.

Det ska dock sägas att detta är en genomsnitt. De vanliga beloppen ligger på mellan 70 000 – 600 000, men eftersom det inte är en enda gruppering som står bakom dessa bedrägerier, utan flera, så skiljer sig också belopp och på vilket sätt man försöker förleda och det har förekommit fall där svenska brottsoffer drabbats av 1XX miljoner kronor precis som det finns exempel på amerikanska företag som drabbats på knappt 100 miljoner amerikanska dollar.
Dessa belopp är tack och lov (vad man känner till) betydligt mer sällsynta, men det är inte mer än några veckor sedan som svenska Billerud Korsnäs drabbades av VD-bedrägeri på över 50 miljoner kronor (se nedan)

Och i det sammanhanget kan ju 556 000:- som KTH drabbats av, ses som småpotatis.
http://www.expressen.se/dinapengar/kth-betalade-ut-halv-miljon-till-bedragare/

Men vi vet även att företag som Webbhallen drabbats precis som konsultföretaget Ahlsells
http://sverigesradio.se/sida/artikel.aspx?programid=1637&artikel=6449915

Bilden eller budskapet blir istället att vilket företag som helst kan drabbas av det.

 

bec1

Vad är det som skickas då?
Jo, meddelanden med uppmaning om att göra transaktioner eller betala bifogade fakturor – allt på uppmaning av VD (eller annan anställd)

HUR SKILJER SIG AVSÄNDARADRESSERNA ÅT?

 

bec5SPOOFAD E-POSTADRESS
Tar vi först som skickas ut i stora mängder så handlar det om spoofade adresser – alltså bedragare anger en ÄKTA och helt korrekt adress som sin avsändaradres till sit bedrägliga meddelande.
Vi kallar det som exempel för [VD-namn@bolag.se]. Det är den riktige VDns e-postadress som skickas till mottagaren. Men här kan bedragaren INTE ta emot några frågor om mottagaren skulle skicka sådana, eftersom alla svar istället då skickas till den riktige VD:n – vilket gör att bedrägeriförsöket uppdagas.

vd2

FELSTAVAD DOMÄN ELLER MED SUFFIX
För exemplet tar vi [VD-namn@bolagab.se] där alltså ”ab” är en extra ändelse på bolagets vanliga domännamn. I det fall någon anar oråd och kontrollerar domännamnet, så styr bedragaren om webbesökare från [bolagab.se] till [bolag.se]

Skillnaden är här att bedragaren både kan skicka ett inledande bedrägligt meddelande, men även kan ta emot och svara på eventuella invändningar eller frågor. Vilket kan vara en trovärdighetsfaktor som är avgörande om bedragaren spelar sina kort rätt. Detta är ett sätt som kommer i vågor, men genom samarbete och direktvarningar till presumptiva brottsoffer har åtminstone ca 100 svenska företag varnats under våren 2016.

vd3RÄTTSTAVAT DOMÄNNAMN UNDER FEL TOPPDOMÄN
Detta har fått till följd att (av allt att döma) samma bedragare filat en aning på budskapen i bedrägerimailen, men även ändrat domännamn till bolagets rättstavade domän, men under an annan toppdomän (exempelvis har .net och .co använts den senaste månaden).
Även i dessa fall så kontrollerar bedragaren e-postadressen och kan både skicka och besvara frågor.

LÖSNING PÅ OVAN?

Någon ”universalnyckel” finns inte, men i det fall jag eller annan i tidigt skede lyckas hitta domännamn som kan komma att användas för detta av typ [bolagab.se] eller [bolag.co] så har jag och andra sökt kontakt för att varna och förhindra bedrägeriförsöken. Rådet har då förutom att meddela anställda om försiktighet även addera e-postmeddelanden från [*@bolagab.se] och  [*@bolag.co] i spamfilter och brandvägg eller motsvarande. Men detta är ingen framtidslösning på detta växande problem, utan bygger helt på enskilda individer.

Företagens anställda behöver också bli mer medvetna, och då avser jag inte speciella CSO/CTO/CFO/CEO – utan samtliga anställda kan utnyttjas och behöver därmed ta del av hur de kan ”hålla upp garden”. En viss nivå av skyddsregistreringar av närliggande domännamn är också en ”billig försäkring” för att minska risken att bli drabbad.

En bra preventiv åtgärd är även att generera en felstavningslista av det egna domännamnet och (oavsett om det IDAG är registrerat eller inte), så lägger man till listan av felstavningar i företagets spamfilter, så att meddelanden från dessa domäner inte tar sig igenom till de anställda.

Men ovan lösningar förbättrar i bästa fall skyddet för det egna företaget, men som jag skrev inledningsvis så finns ett flertal varianter av ”VD-bedrägerier” som jag ska försöka exemplifiera med tre varianter.

bec3Bankbedrägeri

Bankbedrägerier eller om vi kallar det ”finansieringspartners”, huvudsaken är att ni utifrån exempeltexten brevid förstår att det är en helt annan sektor som attackeras. Inom denna kategori kan man även  i kontakt med ”finansieringspartnern” utge sig för att vara från företaget och vilja byta konto för det egna företaget.
Jag har inte för avsikt att namnge någon drabbad, men detta har drabbat XX inom denna sektor i Sverige, under 2016.

bec4Bilbedrägeri

Detta kan naturligtvis lika gärna handla om båthandlare,  husvagnar, husbilar, MC osv. men då det finns publikt exempel att referera till för bilar, så får det verkar som EXEMPEL. Man utger sig alltså för att vara VD för ett bolag och säljaren blir kanske lite starstrucked och känner sig priviligerad att kunna sälja till denne att normala kontroller inte känns så viktiga och när den påhittade VD:n seda skickar ett meddelande med en skärmdump på en banktransaktion på beloppet, så är säljaren helt förblindad och räknar istället vad det kommer att göra på den egna provisionen..
Förfalskade (photoshoppade) transkationsbilder har använts av ”Nigeriabrevsbedragare” sedan 15-20 år..

bec2Domänbedrägeri

Det som kommit att kallas för ”domänbedrägerier” handlar egentligen om ”beställningsbedrägerier” eller ”kreditbedrägerier” – lite felaktigt kan man tycka, men det handlar alltså om exakt samma struktur med prefix, suffix, bindestreck eller en mindre felstavning som skiljer den ”falska” domänen från företagets ”riktiga”. Även rättstavade domäner under andra toppdomäner används för detta. Det handlar om att bedragare utger sig för att vara någon på det ”kapade” företaget och lägger 10-15 olika beställningar hos lika många leverantörer, men ändrar leveransadress till en adress de förfogar över. Exempel1, Exempel2.  Skillnaden mot vanliga ”VD-bedrägerier” blir att SAMMA e-postadress används, men istället för att det egna företaget drabbas, så vänder man sig mot leverantörerna istället.

För att bli mer lyckosamma i samtliga dessa bedrägerier så sker vanligtvis olika nivåer av sk Social Engineering men det förekommer hela tiden olika typer av av falska meddelanden som skickas från spoofade eller felstavade e-postadresser – ibland handlar det om påstådda offertförfrågningar och ibland till och med varningar, som polisen varnat för.

ALLA KAN DRABBAS OM DE INTE FÖRSTÅTT HUR LÄTT DET ÄR ATT LURAS MED FALSKA E-POSTADRESSER!

Det är viktigt att förstå att felstavade domänadresser kan – och i stor utsträckning också används för e-postadresser som används för snarlika, men ändå helt olika bedrägerier. Och nej, ett företag kan ju inte lastas för att en leverantör, en ”finansieringspartner” eller båthandlare inte genomför tillräckliga kontroller, men rutiner för det egna företagets rutiner kan man påverka. Det finns saker som går att göra preventivt och det finns domänlistor som kan skapas, registreras eller bara spärras.

Men när det gäller de spoofade e-postadresserna, så känner jag inte till något mer än sunt förnuft och att man skapar och håller sig till interna rutiner.

Jag avslutar detta inlägg med ett autentiskt mail och bifogad faktura.
(Det enda misstaget bedragarna gjort var att de i HTML-mailet hade teckentabell inställd på Latin-1, istället för UTF-8)
Men läs och se hur väl budskapen lyder numera (klicka för större bild):

becx1

 

becx2

För den som önskar, så är textinnehåll och egna bilder licensierat under CC 3.0

Internet Sweden | Peter Forsman

Jag som skriver, gör det ideellt och för att upplysa dig om verksamheter som JAG anser att det finns skäl att ifrågasätta och/eller varna för. Jag skriver även generellt om olika tillvägagångssätt som bedragare använder och tipsar om utbildning/kunskap som finns att få. Läs mer om: Peter Forsman

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *