Slik, og derfor blir du svindlet på hjemmekontoret under Covid

Kjære leser! Det siste året har COVID snudd vår alles hverdag på hodet, og med det kommer også nye utfordringer som følge av endringene våre i adferd. Utfordringene jeg nå vil snakke litt om er ikke de du daglig leser om i avisen. Det handler ikke om smitteprosent eller nye typer Covidvirus. Det handler ikke om stengte skoler eller åpne Vinmonopol. Det handler rett og slett om noe så enkelt og prinsipielt som at når du er på hjemmekontor, så er skurkene som er ute etter å lure deg det også. De sitter nå på sin sofa, og forsøker å lure deg der du sitter på din. Netopp derfor må du være observant, og nå vil jeg dele litt kunnskap fra mitt virke som Svindeljeger.

Først av alt så handler bedrageri for svindleren om å overbevise deg om at du står overfor en «livsendrende mulighet». Det kan handle om rikdom, kjærlighet, eller annet du ønsker deg. Deretter skal du tenke på at 99% av all svindel tar utgangspunkt i å spille på grådighet, empati, eller frykt. Disse driverne er nærmest konstante og når vi går inn og analyserer svindel, så er de nærmest alltid en ingrediens. Svindlere vet hvilke faktor de skal pushe på til hvilke målgruppe og tilpasser budskapet deretter. Om vi bruker grådighet som eksempel så er det typiske offeret lett å identifisere vi kjenner jo alle noen som drømmer om raske penger. Det samme gjelder empati og frykt, men la oss gå tilbake til hjemmekontoret.

I den sammenhengen er din «nye» adferd, og din manglende erfaring med din nye livs og arbeidssituasjon plutselig en inntektdriver for bandittene. Banditten vet nemlig å utnytte at du ikke lenger treffer kollegaene ved kaffeautomaten på kontoret. Bandittene vet å utnytte at du ikke lenger spiser lunsj med sjefen som gir deg oppgaver eller sentralborddamen som kommer med posten. Banditten vet å utnytte at alle kunder og kollegaer du møter nå skjer elektronisk. Banditten vet at IT-avdelingen er noen mennesker du nå kommuniserer med via apper som gir dem tilgang på din maskin fra sitt hjemmekontor, og fjernstyrer den derfra. Faktisk er svindlere i 2021 så kyniske at en av de svindelformene de nå har perfeksjonert er det å utgi seg for å være It-avdelingen ved nettopp din bedrift. Ved å utgi seg for å være kollegaen på IT stjeler de tilgang på maskinen din ved sosial-manipulering som igjen fører til at verdifull informasjon kommer på avveie. I tillegg kan du bli utsatt for «Ransomware», (datamaskinen din blir blokket og du må betale løsepenger for å få den åpnet). For noen år siden ville dette vært nærmest som «science-fiction» i 2021 er det virkelighet.

Om vi tar for oss bedragerier og former i 2021 så er nesten alt det som flyr nettbaserte ting som har fått eskalere som følge av Covid. Det eneste unntaket er dating-svindel der offeret faktisk har truffet gjerningsmannen. For datingsvindel på nett er volumene enorme i 2020 og 2021. Ikke så rart egentlig med tanke på at Covid fører til mer isolasjon og ensomhet enn noe annet i verden. Er det rart enkelte der ute nærmest trygler nettet om sosial-kontakt? Prisen for kontakten kan bli skyhøy!

Nylig gjorde vi på RIG og RCIS en analyse av sårbarheter som bedrifter nå står overfor med de ansatte på hjemmekontor for en kunde. Noen av tankene som vi kommuniserte basert på våre erfaringer med banditter får du nedenfor. På kjøpet kan jeg dele med deg at vi i slike prosesser gjerne jobber i team, og da er flere ulike kompetanseområder involvert. Fra etiske hackere til etterforskere og Svindeljegere. Samlet vet vi mer om problemene og mulig løsning enn de fleste der ute.

Om vi skal legge vekt på noe av det mest fascinerende ved mye av den svindelen vi ser i 2020 og 2021, så er det at skurkene har blitt så gode på research og kartlegging. De bruker sosiale-medier, og google søk. De ringer gjerne bedrifter og får ut telefonnummer og navn til nøkkelpersoner i god tid før de slår til. De er også IT-kyndige og kan ofte ta kontroll over datamaskinen til offeret. De kartlegger nyansatte og utenlandske kollegaer. Ofte vet de også hvem som er nærmest umulig å få tak i på telefonen, eller hvem som aldri svarer på mail. De vet ofte mer om vår adferd enn vi selv gjør, og de vet fordi deres lønnsomhet er så ekstremt høy når de først lykkes.

Om vi ser på de største svindel tilfellene fra de senere årene så handler det om enkeltsvindel der millioner blir borte. Om du forstår mekanismene over så står du langt sterkere enn uten forståelsen, og nettopp derfor deler jeg denne teksten med dere i dag

Om jeg skal si noen utfyllende ord før jeg går løs på litt praktiske tips så er det at ting som ofte kan være åpenbart i den tradisjonelle verden ikke blir en like stor selvfølge på nett. Det å dele kredittkort opplysninger med fremmede ville vel

Noen kjappe tips til de på hjemmekontor først av alt;

  1. Sørg for å benytte en PC som er satt opp sikkerhetsmessig av arbeidsgiver. Bruk ikke maskiner eller nettbrett til å lese jobbmail som er av privat karakter da disse utgjør en risiko.
  2. Bytt passord og brukernavn regelmessig på alle applikasjoner og bruk tofaktorautorisering ved pålogging. (Dette kan også gi falsk trygghet, så ikke ta det som en 100% løsning)
  3. Sørg for å være sikker på at mailer eller linker du åpner er autentiske. det tar eksempelvis bare noen få minutter for meg å sette opp en mail som ser ut som den er sendt fra ditt navn. Er du usikker på om en mail du får er autentisk så sjekk hvilken adresse som ligger bak avsender navnet. Ofte er denne avvikende om du blir forsøkt svindlet eller fralurt informasjon. Kontakt avsender i en annen kanal om du tviler.
  4. Sørg for at ditt hjemmenettverk har nødvendig sikkerhet og er oppdatert.
  5. I 2021 er det enkelt å omdirigere mailer om man er på innsiden av individers datamaskin eller nettbrett. I ferske svindelsaker har vi sett at eksempelvis alle mailer i et offeres mailboks som inneholder ord som faktura, strategi, overføring etc blir videresendt/overført til svindleren mens original-mailen slettes hos offer. Dette kan fjernstyres av skurken som tar kontroll på din maskin.
  6. Ofte har bedrifter i dag eksterne sentere som bistår med IT-bistand og support per telefon eller SKYPE/Teams. De tar gjerne verktøy som «remote-styrer» i bruk. Vi ser en trend der kriminelle nå utgir seg for å være ekstern IT avdeling og bruker tilsvarende verktøy for  angripe offer og få tilgang på sensitiv info. En hyggelig telefon der noen ber om tilgang bør alltid verifiseres via andre kanaler.
  7. Er det unormalt mye trafikk ut eller inn av din PC eller ditt nettverk? Da er det stor sannsynlighet for at maskinen sender fra seg informasjon om det ikke har noen logisk forklaring. Spør om bistand fra en trygg-kollega som kan sjekke dette for deg
  8. Ser du tegn til at systemer eller filer er endret uten at du selv gjort endringer.  Spør om bistand fra en trygg-kollega som kan sjekke dette for deg.
  9. Del aldri informasjon digitalt som kan skape trøbbel i feil hender. Per 2021 er telefon og mail like usikkert. Tenk deg om før du deler.

Om du har mistanke om at noe er galt så sørg for å sjekke med en kilde du stoler på asap. Informasjon er verdens mest verdifulle vare og din informasjon i feil hender kan koste deg både jobben og nattesøvnen.

Vi har de siste årene jobbet med flere svindel tilfeller der banditter er inne i både nettmøter, e-mail servere og telefoner. Sagt med andre ord. I 2021 er det viktigere enn noensinne å ta de tidlige faresignalene på alvor. På nett går nemlig ting så utrolig fort, og landegrenser finnes ikke. Sagt med andre ord så kunne pengene like godt havnet på Jupiter eller Mars om de får forlate din konto.

Stay safe!

Mvh Kjell-Ola

– Svindeljeger

Styreleder Risk Information Group As

Styreleder Raven Cyber Intelligence Solutions As

Skriv en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *