Larmrapporterna om nätbedrägerier duggar tätt. Metoderna att luras blir allt listigare. Brottslingarnas nya favoritmetod är att mejla falska PDF-filer som är förvillande lika äkta fakturor.
Men hur genomskådar man blufförsöken?
Tommie Holmertz på företaget Inyett, som är specialiserat på säkerhet vid leverantörsbetalningar, ger här flera goda tips på hur man skyddar sig mot gäckande bedragare i mejlkorgen.
Säkerhetsanalytiker världen över har noterat att angreppen via PDF-filer ökat lavinartat de senaste åren. Metoderna för nätfiske (“phishing” på engelska) varierar, men oftast luras mottagaren att klicka på bilder eller knappar i det falska PDF-dokumentet vilket leder till en kedja okontrollerbara vidarelänkningar.
Ett intet ont anande tangenttryck – och misstaget kan vara ett faktum.
Snarlika bluffmetoder
Tommie Holmertz (bilden) är marknadschef på Inyett som erbjuder tjänsten Inyett Detect. Det är ett verktyg som kontrollerar varje leverantörsbetalning för att minimera riskerna att drabbas av bedrägerier. Tjänsten går med fördel att koppla till all fakturering som skickas genom InExchange.
Eftersom Tommie och hans kollegor arbetar dagligen med säkerhetsfrågor vet man det mesta om farorna som finns i samband med transaktioner.
– Vi håller oss inte till benämningen phishing, men vi kommunicerar ofta runt CEO-fraud som enligt mig är ett snarlikt begrepp, förklarar han och definierar termerna lite närmare:
– Phishing handlar i huvudsak om att under falsk identitet fiska efter känslig och hemlig information. CEO-fraud är när någon utger sig för att vara chef eller vd i syfte att driva igenom en betalning.
Tillvägagångssätten är således starkt besläktade med varandra. Åtgärderna som Tommie föreslår för att slippa bli svindlad är därför gångbara i båda sammanhangen.
Här är ett par goda tips att ta fasta på:
Se upp om PDF-fakturan kommer en annan väg än normalt
– Brukar leverantören skicka e-faktura är det lite kryptiskt att man plötsligt vill betala via en PDF. Därför finns det skäl att vara misstänksam. Det gäller även när det kommit ett mejl från vd:n som varskott om PDF-fakturan i förväg. Exakt så kan nämligen ett vd-bedrägeri gå till. Det börjar med att ekonomichefen får ett mejl från vd:ns kapade mejladress där det står i stil med: “Jag skickar över en PDF-faktura till dig. Den kommer vanligtvis som e-faktura, men nu har leverantören problem med detta. Vi behöver betala via PDF i stället”. Sedan, när den fejkade PDF-fakturan dyker upp, tror man att allt är i sin ordning eftersom “vd:n” sagt så. Man missar i förbifarten att kontonumret på fakturan är ett annat än normalt.
Håll koll på avvikande kontonummer
– Om man alltid betalat leverantören till ett visst kontonummer, och så vill samma mottagare plötsligt ta emot pengarna på ett annat nummer, så kan det vara ett varningstecken. Åtminstone om man inte fått något meddelande om att förändringen ska äga rum. Leverantören kan i och för sig vid tillfället använt sig av ett factoringbolag. Då blir det ett avvikande konto eftersom betalningen går till factoringbolaget vilket inte är fel givetvis. Rekommendationen är ändå att alltid säkerställa att det är rätt konto.
Ställ som krav att leverantörerna har plus- eller bankgiro
– Plusgiron och bankgiron har fördelen att man kan kolla upp vem som är kopplad till kontot. Det kan man inte med bankkonton. Därmed finns risken att skicka ut pengarna i tomma intet. För bolag som anlitar många enskilda företagare, vilket är vanligt i diverse branscher, kan det här bli ett bekymmer. De hamnar i sitsen att betala ut bland massor av bankkonton utan att ha speciellt bra kontroll på leverantörerna. Ett gott råd är därför att underrätta sina leverantörer om att man vill att de ska ha ett plus- eller bankgiro. Det är faktiskt något man kan skriva in i sin leverantörspolicy.
Ha en enda dedikerad mottagaradress
– Ett bra tips är att man i sina affärsrelationer har som princip att leverantörerna skickar sina fakturor till en specifik angiven fakturaadress, att man enbart har en väg in för inkommande fakturor. Trillar fakturorna in lite varstans försämras lätt kontrollen. Dels tänker mottagaren, “just det, det köpet minns jag att vi gjorde”, och kanske inte är observant på kontonumret. Dels sjunker uppmärksamheten hos den ekonomiansvarige eftersom man resonerar som så att “den här fakturan har kollegan redan sett, det är bara att be om en attest”. Med andra ord: det är ingen bra idé att ta emot fakturor inom hela organisationen. En klar och tydlig fakturamottagaradress, som allt går till, är ett bra säkerhetsrecept.
Tvätta och kontrollera leverantörsregistret regelbundet
– Jag tycker att det är en rimlig rekommendation att tvätta och kontrollera sitt kund- och leverantörsregister åtminstone en gång om året. Det vill säga att man säkerställer att adresser är korrekta, att namn stämmer, att kontonumren är riktiga och så vidare. Lika givet som det är att serva bilen med jämna mellanrum borde det också vara att inspektera kund- och leverantörsregistret. Det är ett viktigt arbete. Ändå är det många bolag som inte gör detta.
Läs mer om samarbetet mellan InExchange och Inyett HÄR
