Direktørsvindel kan koste deg jobben

Direktørsvindel kan koste virksomheten dyrt, og det er ikke uvanlig at den som faller for det mister jobben. Svindlerne kan være overbevisende, men også enkle å avsløre – hvis man vet hvordan.

Del
!
Artikkelen er over ett år gammel og innholdet kan derfor være utdatert
ADVARER: Rådgiver Anne Dybo i Økokrim forteller at direktør- svindel gjerne skjer i ferier eller nær helligdager, når sjefene er borte og vikarer eller junior- ansatte holder fortet. Hun advarer bedrifter mot å slappe av på denne fronten. Foto: Økokrim.

Sjefen er på reise i utlandet, men har sendt deg en hissig e-post hvor han lurer på hvor i huleste det har blitt av utbetalingen på X millioner som skulle vært sendt til selskap Y for lenge siden. Detaljene er sånn-og-sånn, og hvis ikke pengene overføres umiddelbart, kan kontrakter til en verdi av Z millioner kroner glippe!

Uken etter er sjefen tilbake på kontoret, men til din store overraskelse har han aldri hørt om saken. Det viser seg at mailen du fikk kom fra smarte svindlere, pengene er forsvunnet over alle hauger og både du og bedriften sitter igjen med helskjegget godt stappet inn i nærmeste brevsprekk.

Går i bølger

Dette er ikke en situasjon noen av oss ønsker å komme i. Anne Dybo, rådgiver i Økokrim, forteller at det likevel skjer oftere enn vi kanskje tror. Hun sier også at skurkene gjerne slår til i ferier eller nær helligdager, når sjefene er borte og vikarer eller junioransatte holder fortet.

Skurkene slår gjerne til i ferier eller nær helligdager, når sjefene er borte og vikarer eller junioransatte holder fortet.

Anne Dybo

– Før var det nokså profesjonelle bedragere som holdt på, gjerne med base i Israel. En stund nå har det virket som om de fleste forsøkene kommer fra Nigeria og kan være noe mer primitive i sine fremstøt. Men de lykkes ofte likevel, forteller hun, og advarer bedrifter mot å slappe av:

– Vi ser at aktiviteten går i bølger. En stund er det masse henvendelser til norske selskaper, så roer det seg en periode, men de kommer alltid tilbake. Det er ikke uvanlig at de går mer på foreninger og såkalte «soft targets» – organisasjoner med mindre formaliserte rutiner og som derfor ikke har forsvaret oppe. Det er en del enkle forhåndsregler bedrifter bør ta, sier hun (se egen faktaboks for disse).

Ifølge Økokrims trusselvurdering 2018, oppgir 13 prosent av lederne i offentlig eller privat virksomhet i Norge at virksomheten deres har blitt utsatt for denne typen bedragerier. Bare i 2016 viser tall rapportert til Bits (bank- og finansnæringens infrastrukturselskap) at nær 300 millioner kroner gikk tapt i direktørbedragerier.

Det er heller ikke bare «myke mål» som går på limpinnen. Rogalands Avis kunne i august melde at Stavanger kommune ble svindlet for 50 000 euro på denne måten så sent som 18. mai i år – på en inneklemt fredag hvor ledelsen hadde fri.

Enkle grep kan avsløre

Politioverbetjent Alf Almberg i Oslo politidistrikt har etterforsket mange direktørsvindeler, og han understreker at selv om gjerningsmennene er godt organisert, er de ikke uovervinnelige. Han oppfordrer bedriftene til å sette sine IT-ansvarlige til å ta en liten runde med sikkerhetsinformasjon – enkle grep kan avverge mye hvis de ansatte får rutinene under huden:

– Noen enkle kontrollrutiner i firmaet kan avverge så godt som alle svindelforsøk. Hvis noen får en mail hvor sjefen ber om noe utenom det vanlige, må for eksempel vedkommende undersøke at det er riktig e-postadresse som skjuler seg bak avsenderens navn. Bare der kan man lett kunne avsløre minst to av tre svindelforsøk, sier han.

– Litt mer avansert blir det dersom svindlerne har klart å lage seg e-postadresser som er praktisk talt identiske. De kan for eksempel ha opprettet et .com-domene istedenfor .no, eller de kan ha skrevet domenenavnet med store bokstaver og lagt inn en null istedenfor en «O». Da må man ha øynene med seg, men det er likevel ikke veldig vanskelig å avsløre, sier Almberg.

Besparende telefon

Nivået over der igjen er hvis svindlerne klarer å bryte seg inn i e-postsystemet. Den erfarne politimannen medgir at det i slike tilfeller er vanskeligere. Likevel kan en ordning med fremgangsmåter og terskelverdier avhjelpe mye: Utbetalinger under for eksempel 20 000 kroner kan gå gjennom hvis de ellers ser ok ut, for høyere beløp må sjefen kontaktes på det telefonnummeret han står oppført med i internkatalogen (og ikke på et nummer hun kan ha oppgitt i mailen).

– Hvis sjefene får spørsmål om de aksepterer å få en kontrolltelefon fra tid til annen – en oppringning som kanskje kan være unødvendig, men som like gjerne kan spare bedriften for en million – vil nok de aller fleste av dem svare «ja», gjetter den erfarne politimannen.

Bedriftene må informere sine ansatte om alle rutiner og sikkerhetstiltak de må følge, men for arbeidssikkerheten til den enkelte ansatte kan det være nødvendig å strekke seg forbi disse.

– Det er ikke uvanlig at de som faller for svindlernes triks og gjennomfører betalingen, ender med å få sparken. For at du skal sikre jobben din best mulig, bør du som et minimum alltid følge bedriftens rutiner, men du må også bruke sunt «digitalvett» og forsikre deg så godt som overhodet mulig om at det du foretar deg er korrekt, sier Almberg.

---

Fakta:

Direktørbedrageri går ut på at personer som utgir seg for å ha en overordnet stilling, tar kontakt med en underordnet i virksomheten og manipulerer vedkommende til å foreta urettmessige transaksjoner. Bedrifter med hovedkontor eller filialer i utlandet fremstår som særlig utsatt. Bedragerne velger gjerne et tidspunkt hvor sjefen er på reise, og tilnærmer seg ofte nyansatte.

Slike bedragerier kan påføre virksomheter store enkelttap. I april 2016 ble en norsk virksomhet svindlet for en halv milliard kroner. Også flere store europeiske bedrifter har blitt bedratt for svært store beløp: Den belgiske banken Crelan for 700 millioner kroner, og det østerrikske flydelfirmaet FACC Operations for nesten 470 millioner kroner.

Hvis virksomheten mistenker at dere er utsatt for svindel (eller forsøk på svindel) av denne typen, går det an å ringe Økokrims desk: 23 29 11 00.

---

Tips mot direktørsvindel

Vær bevisst på hva bedriften legger ut på sin hjemmeside og på profilsider på sosiale medier. Kjeltringer kan lett snappe opp et navn og en tittel her, et arrangement og en deltagerliste der, en kontrakt eller forretningsforbindelse på et tredje sted og så koke sammen en svært overbevisende historie på dette. Det kan gjøre svindel vanskelig å avsløre.

Av samme årsak bør ikke ansatte godta hva som helst av invitasjoner på Facebook og LinkedIn – hvis et ukjent navn fremstår som en felles forbindelse på et sosialt nettverk, kan det bidra til å bygge legitimitet til en historie som den nevnt over.

Nyansatte bør være spesielt på vakt, særlig hvis e-posten prøver å instruere om en hastebetaling i ferietider, hvis sjefen er på reise, eller hvis kommunikasjon eller betalingsstrømmer skal gå via nye eller uvante kanaler.

Hvis du som regnskapsmedarbeider mottar en e-post hvor en overordnet ber deg om å utbetale penger, bør du dobbeltsjekke e-postadressen bak avsenderens navn grundig – e-posten kan gå til en annen adresse enn den som ligger bak. Det kan fort lønne seg å dobbeltsjekke ordren via sms eller en rask telefonsamtale.

Trykk ikke på «reply»-tasten – eller hvis du gjør det, slett den adressen som dukker opp og bytt den ut med sjefens ekte adresse sånn den står oppført i internkatalogen. IKKE foreta utbetalinger som du ikke har fått sikkert bekreftet i andre kanaler.

Bedriften bør sørge for å lære sine ansatte opp i enkle sikkerhetsrutiner, spesielt før ferier og høytider. Den enkelte ansatte bør imidlertid også ta et individuelt ansvar for å gjøre seg kjent med hvordan man avslører enkle forsøk på svindel. Spør en IT-ressurs eller IT-kyndig hvis du ikke er trygg på dette.