Hvordan unngå svindel mot bedriften din?

Åsmund er sikkerhetsansvarlig i Sparebanken Sør og deler sin innsikt i dette webinaret. Her forteller han om hvordan svindlere prøver å lure deg og bedriften din for store summer.

Opptak fra første webinar finner du her:

Last ned presentasjon av webinar

Last ned

Spørsmål fra webinar om nettsvindel mot bedrifter

Kjenner dere til den relativt nye svindelmetoden deepfake? Hvis ja, kan du snakke litt om det?

Vi kjenner til deepfake, en svindelmetode hvor lyd og/eller video forfalskes (ofte basert på lyd/video fra den «ekte» personen) for å fremstå som en person sier noe annet enn det man faktisk gjør. Det kan for eksempel benyttes til å gjennomføre telefonsamtaler hvor man tror man snakker med noen andre enn man faktisk gjør. Det er ikke en svindelmetode som vi har sett i bruk, og som vi vil komme tilbake til dersom det blir aktuelt.

Ser dere en økt grad av svindelforsøk som følge av krigen i Ukraina?

Akkurat nå ser vi at de Russiske aktørene, både statlige og organiserte kriminelle er veldig fokusert på sitt nærområde. Vi vet imidlertid fra tidligere erfaring at det alltid er noen svindlere som vil utnytte enhver krise – her kan man tenke seg falske innsamlingsaksjoner og fiskeforsøk under påskudd av å være humanitær bistand.

Videre er vi bekymret for at når krigen går over i en ny fase så vil angrepsaktiviteten igjen økes og rettes mot de landene som har vært på Ukrainas side. Norge og norske virksomheter er nok ikke øverst på listen – men vi er nok på listen.

Er det sikkert å gjøre alle transaksjoner gjennom Sparebanken Sør?

Det er absolutt legitime årsaker til å skulle ønske å ha mer enn en bankforbindelse – men for de fleste virksomheter er det tilstrekkelig med en. Vi er takknemlige for de som velger Sparebanken Sør.

Er det spesielle tider på året det er en økende risiko for svindelforsøk?

Vi ser absolutt økt svindelaktivitet på våren rundt skattemelding, rundt sommeren for falske fakturaer når det er mye ekstrahjelper i økonomiavdelingene – og rundt jul for posten-svindel.

Hvordan unngår vi svindler via telefon, alstå når det ringes fra utland?

Hvis jeg tolker spørsmålet riktig, så er det hvordan unngå å bli oppringt fra utlandet – av svindlere – så er det ikke så enkelt å forhindre annet enn å unnlate å ta telefonen. Personlig så får jeg mange henvendelser fra leverandører i utlandet, så jeg svarer som regel – men bryter samtalen uten videre så snart jeg oppdager det er en skurk som tar kontakt.

Kan du nevne noen punkt som er viktig å ta med når en gjøre en grundig risikovurdering knyttet til tema?

Når man gjør en intern risikovurdering knyttet til svindel tenker jeg følgende punkter kan vurderes:
Antallet transaksjoner som gjennomføres, fordelt på personer som gjør det. Et høyt volum kan gjøre det lettere å ”gjemme” en svindeltransaksjon – avhengig av hva slags godkjenningsfunksjon som bedriften har.
Summene som overføres, dersom det rutinemessig svært store betalinger som gjøres – kanskje spesielt hvis det er til utlandet. I slike tilfeller kan det være smart med en stram kontroll på både nye leverandører og endringer på kontoer hos eksisterende leverandører.

Jeg ser på Facebook at det dukker opp en hel flora av samme Bitcoin-annonser som åpenbart er falske, med falsk VG-side i annonsen. Kjenner dere til om rutinene fra Facebook for å stoppe slike annonser? Jeg rapporterer dem inn, men får ingen tilbakemelding fra Facebook?

For det første: fortsett å rapportere, jo flere som gjør det jo større sannsynlighet for at disse fjernes. Det er flere av oss som rapporterer slike annonser uten å få tilbakemelding – men vi må ikke glemme at Facebook er en reklamefinansiert gratistjeneste hvor hele forretningsmodellen deres er å servere reklame til sine kunder. Sånn sett er det ikke så overraskende at deres iver etter å fjerne betalende reklamer er begrenset.

Hvis man har blitt svindlet, hva er muligheten for å få erstattet eller få tilbake pengene. Eventuelt hva er prosedyren, eller hva slags tiltak bør man ta med tanke på bank, politi, eller andre myndigheter?

Dersom du har blitt svindlet oppfordrer vi deg til å snarest mulig ta kontakt med vårt kundesenter. De er drillet på håndtering av dette, og har sjekklister for hvordan du går frem for å anmelde forholdet til Politiet og så videre. Hvorvidt man får erstattet tapet kommer an på mange ulike forhold, og det er en individuell vurdering i hvert enkelt tilfelle. Kundesenteret kan hjelpe deg med å levere en slik henvendelse.

Vi benytter 24SevenOffice som regnskapsystem med integrasjon mot Sparebanken Sør hvor vi til slutt må inn å godkjenne betaling i nettbank med BankID. Er dette å anse som en sikrere betalingsform?

Bruk at tredjeparts regnskapssystem som integrerer med banken er en god løsning som reduserer sannsynligheten for å taste feil og gir (i de fleste tilfeller) en bedre oversikt over betalingene. Selve sikkerhetsmekanismen for betalingen er imidlertid den samme. Pålogging i Nettbedrift og godkjenning med BankID.

Hvor sikker er BankID for signering og inngåelse av avtaler?

BankID er en svært sikker måte å signere avtaler på. Det er ingen kjente sårbarheter i selve BankID-løsningen. De sakene vi har hvor BankID har blitt misbrukt er knyttet til at personlig passord og påloggingsdetaljer (Go3-brikke, BankID på Mobil, BankID app) har kommet på aveie.

Hvordan kan vi sørge for at våre ansatte får god nok opplæring og kompetanse til å ikke la seg lure?

I Sparebanken Sør benytter vi en tjeneste som gir regelmessige mikroleksjoner til alle våre ansatte på temaer som GDPR/personvern, informasjonssikkerhet og andre områder. Det er flere leverandører som tilbyr slike produkter. Dersom man ikke ønsker eller har mulighet til å kjøpe en slik tjeneste er det flere offentlige kilder som man kan vurdere:
https://norsis.no/publikasjoner/
https://nsm.no/
https://www.nsr-org.no/

Svindel er en ting, men hva med dataangrep?

I webinaret over gir Åsmund deg tips til hvordan unngå å bli svindlet på nett. I tillegg til svindel er dataangrep noe som truer mange bedrifter. Her gir Åsmund deg fem tips til hvordan sikre bedriften din bedre mot dataangrep.