Norges største direktørsvindel er nå en realitet! 150 MNOK har forsvunnet i dragsuget!

For en tid tilbake skrev jeg en artikkel om BEC eller Business E-mail Compromise som du kan lese her. Dette er en form for Phishing som er utbredt og hvor metodene blir mer og mer sofistikerte. Mange har en holdning om at dette gjelder ikke meg, eller jeg er for liten til at dette skal være interessant. Men dette er en farlig holdning. Små selskaper er ofte mindre rustet til å håndtere slike angrep, og blir lette bytter. Minste motstands veg og raske penger gjelder for mange av angriperne. Mange bekker små blir en stor å.


Totalt 150 millioner kroner ble overført i god tro!

Hva har skjedd?

Et Norsk datterselskap av et internasjonalt energiselskap, anmeldte 11. oktober et vellykket BEC angrep til politiet. I løpet av månedsskiftet september-oktober ble det overført i alt 150 millioner kroner til en bankkonto i Hongkong.

Ifølge Aftenbladet ble en ansatt, som hadde myndighet til å foreta større utbetalinger, lurt gjennom eposter og telefonsamtaler til å tro at han ble kontaktet av den øverste ledelsen ved hovedkvarteret. Sporene ledet mot Israel, og foreløpig er 2 personer anholdt i saken.


Hvorfor lykkes denne type angrep?


Som tidligere beskrevet, anføres gjerne slike angrep av at angriperen sender en e-post som inneholder skadevare. Slik skadevare kan føre til at konfigurasjonen på beskyttelsesmekanismene organisasjonen har endrer seg, på èn enhet, eller flere. Før angriperen starter en vellykket angreps prosess, overvåker angriperen den kompromittert e-postkontoen eller andre kommunikasjonsverktøy til den aktuelle topplederen over tid. Slik lærer angriperen seg kommunikasjonsvaner, selskapets rutiner, prosesser og prosedyrer, og henter informasjon som kan verifiseres og brukes mot den de angriper.

En slik grundig forståelse av selskapets rutiner og enkeltpersoners handlemønster får svindelen til å fremstå mindre åpenbar, og falske e-poster ser ut til å være legitime.


IT er vegen - ikke målet!

I neste omgang legger angriperen på "trykket" ved å bruke social enginering som overbeviser den uheldige om at alt som skjer er legitimt. Angriperen utgir seg altså først for å være en person av høyere rang gjennom f.eks. manipulerte id dokumenter, og følger opp med en telefon hvor det brukes manipulasjon, hersketeknikker og hvor angriperen fremstår som autoritær. Tidligere innhentede verifiserbare fakta og kjente "knagger" benyttes også for å styrke overbevisning om at denne personen er den han utgir seg for å være. Hvordan kunne han ellers ha kunnskap om forrentningskonfidensiell informasjon? IT var vegen inn, men målet var mennesket bak.


Vi må satse på IT, men med større fokus på brukeren.

God perimeter beskyttelse som brannmur og anti-virus er viktig, men snart er all trafikk på nettet kryptert - noe som medører at skadevare kanskje slipper igjennom.

Her om dagen fikk jeg en Phishing e-post som ikke ble identifisert av min brannmur/anti-virus. Ved nærmere sjekk, var det kun 1 verktøy på VirusTotal som hadde fanget opp denne som skadelig.





Paratum Consulting leverer produkter og tjenester innen Governance, Risk & Compliance. Vi har markedets ledende verktøy fra Jazz Networks for overvåking og beskyttelse av endepunkter. Gjennom AI og ML overvåkes og beskyttes endepunktet for uforutsette hendelser, skadevare, inntreng, unormal bruk, oppkall og tilkoblinger, lesing/skriving av filer, og mye mer. Men samtidig kan man velge å legge på Policystyrt opplæring av ansatte. Alt fra lover som GDPR, NISD, Privacy act, til selskapets interne policyer og regler. Sporing og varsling av adferd og avvik, gir organisasjonen mulighet til å overvåke risikoer brutt ned på avdeling eller bruker og sørge for at riktig opplæring blir gitt kontinuerlig samtidig som man forhindrer uønsket handling. For eksempel kan brudd på selskapet policy om bruk av Web eller USB lagring medføre et varsel!












I en undersøkelse gjort av PWC og omtalt i min artikkel fra 12 November fremkommer det at så mange som 7 av 10 bedrifter rammes av Phishing. Den største bekymringen blant virksomhetene i undersøkelsen er deres egne ansattes ubevisste handlinger.


Dette betyr at vi må satse på opplæring og kompetanse hos de ansatte. Øke de ansattes bevissthet og gi de grunnleggende innføring i god praksis og akseptabel bruk av PC. Deres handlemønster, uvaner og menneskelige tilbøyeligheter, er og blir det svakeste leddet. Bedrifter må ha gode rutiner støttet av policyer og alt må være forankret i ledelsen. Det må være en helhetlig strategi! Vi må beskytte våre medarbeidere, data & informasjon og vårt renommé på flere fronter, men det starter med meg og deg .



Kontakt oss på info@paratumconsulting for en prat om hvordan vi kan hjelpe deg beskytte dine ansatte, dine data og ditt renommè!

Paratum Consulting AS

Postboks 320

2303 Hamar

ParatumConsulting © 2018 -  all rights reserved

  • Facebook Basic Black
  • LinkedIn Basic Black