VD-bedrägerier för DUMMIES

Det här inlägget är avsett för att bringa klarhet i det som kanske lite vilseledande kommit att kallas VD-bedrägerier i Sverige.
Anledningen till att det kanske är att se som vilseledande är för att det inte alls behöver vara VD:n som används för bedrägeriet.
Därför är det engelska uttrycket BEC, ”Business Email Compromise” mer beskrivande, då ”alla” olika roller på ett företag kan användas för ”VD-bedrägerier”

Fenomenet är inte något nytt utan snarlika bedrägerier har skett i Sverige sedan åtminstone början av 2014, men över tid har sätten blivit både fler och i vissa avseenden betydligt mer komplicerade. Jag kommer att redogöra för flera olika längre ner.

Så det är viktigt att se ”VD-bedrägerier” som ett samlingsbegrepp för olika sätt att använda kapade eller felstavade e-postadresser för att utföra bedrägerier.

OMFATTNING

Då börjar med det som nu drar som en löpeld över världen och där amerikanska FBI så sent som i 14 juni 2016 meddelade har lett till att 3,1 miljarder amerikanska dollar hamnat i bedragarnas fickor.

3,1 miljarder dollar ($3 086 250 090) delat med antalet drabbade företag som de känner till, vilket var 22 143 så får vi ca $140 000 i förlust i genomsnitt per drabbat företag, vilket i svenska kronor blir ca 1,2 miljoner kronor. Och med en takt på ca 100 miljoner kronor om dagen.

Det ska dock sägas att detta är en genomsnitt. De vanliga beloppen ligger på mellan 70 000 – 600 000, men eftersom det inte är en enda gruppering som står bakom dessa bedrägerier, utan flera, så skiljer sig också belopp och på vilket sätt man försöker förleda och det har förekommit fall där svenska brottsoffer drabbats av 1XX miljoner kronor precis som det finns exempel på amerikanska företag som drabbats på knappt 100 miljoner amerikanska dollar.
Dessa belopp är tack och lov (vad man känner till) betydligt mer sällsynta, men det är inte mer än några veckor sedan som svenska Billerud Korsnäs drabbades av VD-bedrägeri på över 50 miljoner kronor (se nedan)

Och i det sammanhanget kan ju 556 000:- som KTH drabbats av, ses som småpotatis.
http://www.expressen.se/dinapengar/kth-betalade-ut-halv-miljon-till-bedragare/

Men vi vet även att företag som Webbhallen drabbats precis som konsultföretaget Ahlsells
http://sverigesradio.se/sida/artikel.aspx?programid=1637&artikel=6449915

Bilden eller budskapet blir istället att vilket företag som helst kan drabbas av det.

 

bec1

Vad är det som skickas då?
Jo, meddelanden med uppmaning om att göra transaktioner eller betala bifogade fakturor – allt på uppmaning av VD (eller annan anställd)

HUR SKILJER SIG AVSÄNDARADRESSERNA ÅT?

 

bec5SPOOFAD E-POSTADRESS
Tar vi först som skickas ut i stora mängder så handlar det om spoofade adresser – alltså bedragare anger en ÄKTA och helt korrekt adress som sin avsändaradres till sit bedrägliga meddelande.
Vi kallar det som exempel för [VD-namn@bolag.se]. Det är den riktige VDns e-postadress som skickas till mottagaren. Men här kan bedragaren INTE ta emot några frågor om mottagaren skulle skicka sådana, eftersom alla svar istället då skickas till den riktige VD:n – vilket gör att bedrägeriförsöket uppdagas.

vd2

FELSTAVAD DOMÄN ELLER MED SUFFIX
För exemplet tar vi [VD-namn@bolagab.se] där alltså ”ab” är en extra ändelse på bolagets vanliga domännamn. I det fall någon anar oråd och kontrollerar domännamnet, så styr bedragaren om webbesökare från [bolagab.se] till [bolag.se]

Skillnaden är här att bedragaren både kan skicka ett inledande bedrägligt meddelande, men även kan ta emot och svara på eventuella invändningar eller frågor. Vilket kan vara en trovärdighetsfaktor som är avgörande om bedragaren spelar sina kort rätt. Detta är ett sätt som kommer i vågor, men genom samarbete och direktvarningar till presumptiva brottsoffer har åtminstone ca 100 svenska företag varnats under våren 2016.

vd3RÄTTSTAVAT DOMÄNNAMN UNDER FEL TOPPDOMÄN
Detta har fått till följd att (av allt att döma) samma bedragare filat en aning på budskapen i bedrägerimailen, men även ändrat domännamn till bolagets rättstavade domän, men under an annan toppdomän (exempelvis har .net och .co använts den senaste månaden).
Även i dessa fall så kontrollerar bedragaren e-postadressen och kan både skicka och besvara frågor.

LÖSNING PÅ OVAN?

Någon ”universalnyckel” finns inte, men i det fall jag eller annan i tidigt skede lyckas hitta domännamn som kan komma att användas för detta av typ [bolagab.se] eller [bolag.co] så har jag och andra sökt kontakt för att varna och förhindra bedrägeriförsöken. Rådet har då förutom att meddela anställda om försiktighet även addera e-postmeddelanden från [*@bolagab.se] och  [*@bolag.co] i spamfilter och brandvägg eller motsvarande. Men detta är ingen framtidslösning på detta växande problem, utan bygger helt på enskilda individer.

Företagens anställda behöver också bli mer medvetna, och då avser jag inte speciella CSO/CTO/CFO/CEO – utan samtliga anställda kan utnyttjas och behöver därmed ta del av hur de kan ”hålla upp garden”. En viss nivå av skyddsregistreringar av närliggande domännamn är också en ”billig försäkring” för att minska risken att bli drabbad.

En bra preventiv åtgärd är även att generera en felstavningslista av det egna domännamnet och (oavsett om det IDAG är registrerat eller inte), så lägger man till listan av felstavningar i företagets spamfilter, så att meddelanden från dessa domäner inte tar sig igenom till de anställda.

Men ovan lösningar förbättrar i bästa fall skyddet för det egna företaget, men som jag skrev inledningsvis så finns ett flertal varianter av ”VD-bedrägerier” som jag ska försöka exemplifiera med tre varianter.

bec3Bankbedrägeri

Bankbedrägerier eller om vi kallar det ”finansieringspartners”, huvudsaken är att ni utifrån exempeltexten brevid förstår att det är en helt annan sektor som attackeras. Inom denna kategori kan man även  i kontakt med ”finansieringspartnern” utge sig för att vara från företaget och vilja byta konto för det egna företaget.
Jag har inte för avsikt att namnge någon drabbad, men detta har drabbat XX inom denna sektor i Sverige, under 2016.

bec4Bilbedrägeri

Detta kan naturligtvis lika gärna handla om båthandlare,  husvagnar, husbilar, MC osv. men då det finns publikt exempel att referera till för bilar, så får det verkar som EXEMPEL. Man utger sig alltså för att vara VD för ett bolag och säljaren blir kanske lite starstrucked och känner sig priviligerad att kunna sälja till denne att normala kontroller inte känns så viktiga och när den påhittade VD:n seda skickar ett meddelande med en skärmdump på en banktransaktion på beloppet, så är säljaren helt förblindad och räknar istället vad det kommer att göra på den egna provisionen..
Förfalskade (photoshoppade) transkationsbilder har använts av ”Nigeriabrevsbedragare” sedan 15-20 år..

bec2Domänbedrägeri

Det som kommit att kallas för ”domänbedrägerier” handlar egentligen om ”beställningsbedrägerier” eller ”kreditbedrägerier” – lite felaktigt kan man tycka, men det handlar alltså om exakt samma struktur med prefix, suffix, bindestreck eller en mindre felstavning som skiljer den ”falska” domänen från företagets ”riktiga”. Även rättstavade domäner under andra toppdomäner används för detta. Det handlar om att bedragare utger sig för att vara någon på det ”kapade” företaget och lägger 10-15 olika beställningar hos lika många leverantörer, men ändrar leveransadress till en adress de förfogar över. Exempel1, Exempel2.  Skillnaden mot vanliga ”VD-bedrägerier” blir att SAMMA e-postadress används, men istället för att det egna företaget drabbas, så vänder man sig mot leverantörerna istället.

För att bli mer lyckosamma i samtliga dessa bedrägerier så sker vanligtvis olika nivåer av sk Social Engineering men det förekommer hela tiden olika typer av av falska meddelanden som skickas från spoofade eller felstavade e-postadresser – ibland handlar det om påstådda offertförfrågningar och ibland till och med varningar, som polisen varnat för.

ALLA KAN DRABBAS OM DE INTE FÖRSTÅTT HUR LÄTT DET ÄR ATT LURAS MED FALSKA E-POSTADRESSER!

Det är viktigt att förstå att felstavade domänadresser kan – och i stor utsträckning också används för e-postadresser som används för snarlika, men ändå helt olika bedrägerier. Och nej, ett företag kan ju inte lastas för att en leverantör, en ”finansieringspartner” eller båthandlare inte genomför tillräckliga kontroller, men rutiner för det egna företagets rutiner kan man påverka. Det finns saker som går att göra preventivt och det finns domänlistor som kan skapas, registreras eller bara spärras.

Men när det gäller de spoofade e-postadresserna, så känner jag inte till något mer än sunt förnuft och att man skapar och håller sig till interna rutiner.

Jag avslutar detta inlägg med ett autentiskt mail och bifogad faktura.
(Det enda misstaget bedragarna gjort var att de i HTML-mailet hade teckentabell inställd på Latin-1, istället för UTF-8)
Men läs och se hur väl budskapen lyder numera (klicka för större bild):

becx1

 

becx2

För den som önskar, så är textinnehåll och egna bilder licensierat under CC 3.0

Related Articles

2 Comments

Avarage Rating:
  • 0 / 10
  • Rikard Zetterberg , måndag 29 augusti 2016 @ 9:07

    Bra och pedagogisk artikel!

  • Största IT-härvan i svensk historia? | Svensson , söndag 19 februari 2017 @ 10:42

    […] med virus, främst i Sverige men även i Polen. Det mesta tyder väl på att bedragarna också använt sig av det som i Sverige kallas VD-bedrägerier. Bland de drabbade finns företag, myndigheter och en […]

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *