Direktør-svindel rammer danske kommuner og sætter borgernes oplysninger i fare

Hackere leger direktører – og borgerne ender med at betale prisen!

13 danske kommuner er gennem de sidste 15 måneder blevet ramt af dristige phishing-angreb, hvor hackere har udgivet sig for at være ledere i virksomheder og institutioner.

Da økonomiafdelingen i Høje-Taastrup Kommune 11. august i år modtog en mail med en udenlandsk faktura, fik det ikke alarmerne til at ringe, selvom den var gal. Fakturaen blev sendt fra en mailkonto tilhørende en institutionsleder i kommunen, der bad om at få dækket corona-udgifter.

I de efterfølgende dage overførte økonomiafdelingen knap 180.000 kroner fordelt på to udbetalinger til bankkonti i Holland og det var først ved anmodningen om en tredje udbetaling på knap 200.000 kroner at en medarbejder blev mistænksom og standsede udbetalingen.

Skaden var dog sket. Fakturaerne var ikke fra en institutionsleder, men fra hackere. Det viser en indberetning fra kommunen til Datatilsynet, som DR har fået aktindsigt i. (kilde)

Ud over at stjæle kommunale skattekroner havde hackerne fået adgang til oplysninger om et ukendt antal borgere.

Direktør-svindel:

  • Ved såkaldt direktørsvindel udgiver it-kriminelle sig for at være for eksempel leder eller direktør i en myndighed eller virksomhed.
  • De falske direktører giver typisk i mails eller sms’er medarbejdere besked på at betale falske fakturaer eller overføre penge.
  • I nogle tilfælde har hackere direkte adgang til direktørens mailkonto. I andre tilfælde bliver de falske beskeder sendt fra en fremmed mailkonto oprettet til svindelformålet med direktørens navn.
  • Metoden kaldes også CEO-fraud eller Business Email Compromise.
  • Kilde: Sikkerdigital.dk

Ikke den eneste gang det er sket

Selvom tilfældet i Høje Taastrup er et slemt eksempel, er det langt fra det eneste tilfælde i den sidste tid. Alene i Danmark, er mindst 12 andre kommuner gået i hackernes fælde, og metoden er ikke kun brugt imod det offentlige. I marts 2019 blev en litauisk mand dømt for at svindle sig til omkring 100 mio. dollars ved at sende falske regninger til Facebook og Google (kilde).

Hvordan beskytter jeg min virksomhed?

Alle kan blive ramt af denne type svindel, men ligesom ved alle andre former for hacking og svindel, kan man tage sig sine forholdsregler:

  • Sørg for at alle dine medarbejdere kan skelne mellem rigtige og falske beskeder, eller i det mindste at de personer som kan give adgang, kun giver adgang til dem som skal have det. Man kommer langt med sund fornuft og et skarpt øje.
  • Hav altid alle jeres enheder og programmer opdateret.
  • Hav tilstrækkelig med sikkerhed installeret på jeres enheder, så i har et ekstra forsvarsværk hvis nu uheldet skulle være ude.

Har du mistanke om at du er blevet udsat for direktør-svindel eller at nogen har forsøgt at trænge ind i jeres systemer? Så kontakt os i dag, og lad vores sikkerhedseksperter gennemgå din virksomheds sikkerhed.