Ett meddelande som ser ut att komma från en kollega som ber om användarnamn till det interna nätverket? Eller ett mejl med en länk som ber dig byta lösenord via en webbmejl vars utseende förändrats lite sedan du såg den sist? Känner du igen det?
Att bli lurad av bedragare kan tyvärr gå snabbt. Falska meddelanden blir allt mer välgjorda och metoderna mer och mer sofistikerade. Så det gäller att se upp.
Ett sätt att skydda sitt företag mot phishing är att se till att ha noggranna och uppdaterade rutiner för hur medarbetare hanterar sina användarnamn och lösenord. Falska meddelanden smälter lätt in bland all annan e-post och är lätta att ta fel på.
Information som hamnar i fel händer kan orsaka stora skador i ett företag. Med känslig företagsinformation kan bedragare till exempel tillverka falska fakturor eller ge kriminella tillgång till affärshemligheter.
Falska konton och känsliga e-postmappar
Just nu verkar bedragarna rikta in sig på att få tag i uppgifter via beslutsfattare, ledningsgruppsmedlemmar och ansvariga för finansiella frågor. Genom att skapa fejkade användar-ID:n som ser ut att ägas av exempelvis beslutsfattare kan bedrägerierna ske i stor skala. De falska kontona kan till exempel användas för att kontakta anställda med brådskande betalningsförfrågningar som ser ut att komma från ledningen.
Ett annat tillvägagångssätt bedragarna använder sig av är att via medarbetarnas e-postkonton hitta mappar där faktureringsinformation finns. Med fakturauppgifter kan bedragare då skicka falska fakturor som ser ut att vara korrigeringar av riktiga fakturor.
Företag bör därför ha rutiner för att se till att anställda enbart använder sina användaruppgifter och lösenord via säkra kanaler och rätt webbadresser. På så sätt försäkrar man sig om att rätt tjänst alltid används för inloggning. En enkel rutinåtgärd är att alltid skriva in webbadressen i webbläsarens adressfält och aldrig klicka på en länk i ett meddelande.
Katalogtjänster och VD-bedrägerier
Katalogtjänster är också en vanlig metod bedragare använder. Ett sådant samtal kan låta seriöst där en myndig röst ofta förklarar att den som ringer behöver kontrollera om information om företaget är korrekt. Den som svarar tror ofta att den pratar med stora nationella aktörer och svarar därför på frågorna.
Inledningsvis finns inget som tyder på att det är en betaltjänst och kostnaden nämns sedan snabbt och i förbifarten i slutet av samtalet. Efter ett par veckor dyker en faktura upp med en stor summa som ska betalas för den så kallade katalogtjänsten.
De senaste åren har även förfalskade fakturor och så kallade VD-bedrägerier ökat. I en förfalskad faktura har en vanlig faktura hamnat i händerna på en bedragare som ändrar mottagarens kontonummer till sitt eget.
VD-bedrägerier innebär att en person som arbetar nära VD:n eller en person som hanterar företagets ekonomi får ett meddelande som verkar komma från chefen själv. I meddelandet kräver chefen att personen omedelbart betalar en bifogad faktura eller gör en banköverföring. Det här handlar alltså om identitetsstöld.
Att skydda ditt företag mot falska fakturor görs enklast genom att säkerställa att processer för attestering är tydliga även under semestern. De som arbetar under sommaren behöver även veta så exakt som möjligt vilken typ av fakturor som förväntas inkomma.
Identitetsstöld som drabbar varumärken
Det är inte enbart individer som kan råka ut för identitetsstöld, även företag kan drabbas. PRV får då ett meddelande om ändring av namn på företagets ledning, styrelse eller företagsadress. När ändringen trätt i kraft kan bedragaren dra nytta av falsk information på många sätt.
Ett av de nyare sätten bedragare använder är att skicka en faktura till företag med uppmaning att förnya sitt varumärkesskydd. Brevet ser ut att komma från en myndighet och “tjänsten” ser ut att vara obligatorisk. Denna förnyelse kan kosta tiotusentals kronor medan det kostar en bråkdel att göra det själv.
Så förhindrar du phishing och bedrägerier
- Om du når en inloggningssida via en länk i ett e-postmeddelande eller via en webbsida, kontrollera alltid avsändarens e-postadress och/eller webbsidans adress. Det är alltid säkrast att logga in genom att skriva den korrekta webbadressen i adressfältet själv.
- Dubbelkolla alltid faktureringsunderlaget med en ansvarig för att säkerställa att en faktura kommit från rätt adress, om beloppet eller anledningen till fakturan är tveksam.
- Om du får en faktura för en tjänst som du inte prenumererar på, skicka ett skriftligt bestridande och ange att fakturan är ogiltig. Säg inte upp eller avbryt något eftersom kontraktet inte ingicks ursprungligen.
- Anmäl alltid brott som falska fakturor och identitetsstöld, som exempelvis ett e-postmeddelande som skickats i en annans namn.
- Se till att de anställda, inklusive vikarier och praktikanter, får grundlig vägledning i de säkerhetsrutiner som gäller vid hantering och betalning av fakturor.
- Om du misstänker att du utsatts för phishing bör du kontakta den som hanterar säkerheten i företaget, exempelvis IT-supporten.