Informasjon til øvingsleder

Innledende om scenarioet

Målet med direktørsvindel er å lure en medarbeider til å betale en faktura eller overføre penger til en konto, vanligvis i utlandet. Svindelen gjennomføres ved at uvedkommende utgir seg for å være en toppleder i organisasjonen. På engelsk kalles direktørsvindel for CEO fraud.

Svindlerne jobber ofte svært grundig, og det er vanlig å følge organisasjonen tett før svindelen. E-postene er dyktig formulert på norsk, og signert slik topplederen vanligvis gjør.

Svindlere bruker litt ulike fremgangsmåter, men målet er penger og hovedprinsippene er de samme. Et nøkkelelement er at svindleren spiller på at ofrene er travle og at overføringer/betalingen av penger må skje raskt. Når mottakeren svarer på henvendelsen, blir svaret sendt til svindlerens e-postadresse og ikke til topplederens e-postadresse som står i avsenderfeltet.

Spørsmål for å drive diskusjonsøvelsen fremover

Diskuter mulige innfallsporter:

  • Er det noen som kan ha overvåket internkommunikasjonen over lengre tid, og fulgt selskapet tett? Hvordan kan vi avdekke dette? Eks. e-post, LinkedIn, passord, pc på avveie etc. Hvordan kan de ha kommet seg på innsiden av virksomhetens e-postsystem?
  • Føres det logger/tilsyn med organisasjonen transaksjoner? Hvordan kvalitetssikres disse? Hvordan følges disse opp og sjekkes?
  • Fungerer kvalitetssystemet, oppdatering av kvalitetssystemet?
  • Hva slags kultur har man for informasjonssikkerhet i organisasjonen?
  • Blir eposter med pengeoverføring gransket? Det vil si at de blir lest nøye gjennom for å se etter unormale elementer. Dette kan eksempelvis være manipulert fra-felt og svar-felt, bruk av .com i stedet for .no med mer.
  • Hva sier organisasjonens rutiner? Er alle kjent med rutinene? Hvordan oppdateres og kvalitetssikres disse?
  • Er alle kjent med organisasjonen rutiner rundt pengeoverføring?
  • Hvordan jobber organisasjonen med opplæring ift. policyer og rutiner?
  • Har organisasjonen gjort risikovurderinger med eventuelle tiltaksplaner dersom en slik hendelse skulle skje?
  • Hva er eventuelle tiltaksplaner i et slikt tilfelle (politianmeldelse, forsikringer etc.)?
  • Har organisasjonen utarbeidet beredskapsplaner for slike hendelser?
  • Er det aktuelt å gå ut i media med informasjon om hendelsen?
  • Hvilke samarbeidspartnere er det eventuelt aktuelt å informere?
  • E-posten ang. pengeoverføring har blitt manipulert.
    • Hvordan kan dette skje?
    • Hvordan avdekke dette?
  • E-posten var sendt "direkte" fra direktøren, og i tillegg en sms til økonomi, hvordan avdekke forsøk på svindel?
  • "Det er sendt betalingsinstruksjoner slik det alltid har blitt sendt, det virker ikke mistenkelig at samme ord og uttrykk blir brukt (som er vanlig fra ledelsen), hvordan avdekke dette og hvordan kan det være slik? Det ser tilsynelatende ut som om dette er sendt fra daglig leder."
  • "Har svindlerne skaffet seg uautorisert tilgang til selskapets e-post, og etterlignet kommunikasjon mellom daglig leder og regnskapsansvarlig. Kan kommunikasjonen ha vært overvåket over tid, og manipulert slik at svindlerne hadde kontroll?"
  • Ble eposten gransket, lest nøye gjennom for å se etter unormale elementer. Dette kan eksempelvis være manipulert fra-felt og svar-felt, bruk av .com i stedet for .no.
  • Er totrinnsbekreftelse innført for å logge seg på e-post-systemet?