Nätfiske och smishing är falska e-postmeddelanden och sms som försöker lura mottagaren att ge åtkomst till konton eller avslöja användarnamn, lösenord eller annan konfidentiell information. De falska e-postmeddelandena eller textmeddelandena ser ofta ut att ha skickats från en legitim källa eller ett företag, till exempel Danske Bank. Meddelandet innehåller ofta en inbjudan att klicka på en länk eller öppna en bilaga.

• Danske Bank eller andra betrodda offentliga myndigheter och organisationer kommer bara att be dig att skicka konfidentiell information via en säker kanal. På Danske Bank rekommenderar vi till exempel alltid kommunikation via eBanking eller District.
• Banker och andra betrodda offentliga myndigheter eller organisationer ber aldrig om PIN-koder, lösenord eller begär kontroll över din dator eller mobila enhet.
• Om du får ett oväntat e-postmeddelande eller sms ska du aldrig klicka på länkar eller öppna filer utan att ha läst e-postmeddelandet noggrant för att verifiera dess äkthet.
• Språket i falska e-postmeddelanden och textmeddelanden kan vara direkt och opersonligt, och det kan finnas små avvikelser i avsändarens domännamn (till exempel danskkebank.se istället för danskebank.se).
• Vissa bedragare använder en teknik som kallas ”spoofing” – de förfalskar avsändarinformationen som du ser på din dator eller mobila enhet för att dölja sin egen identitet och därmed ge intrycket att det falska e-postmeddelandet eller textmeddelandet är äkta.
• Om du är osäker på äktheten hos ett e-postmeddelande eller textmeddelande, kontakta avsändaren direkt på det telefonnummer du normalt skulle använda – använd inte numret i e-postmeddelandet eller textmeddelandet.
• Om du misstänker att du har fått ett falskt e-postmeddelande eller sms ska du vidarebefordra det till phishingmails@danskebank.se.

Exempel: En dag får Martin från marknadsavdelningen i GreatCampaigns Ltd ett sms som verkar vara från DHL. Martin förväntar sig leverans av ett paket för en kommande kampanj, och meddelandet säger att han ska klicka på en länk och betala 1 SEK för att ta emot paketet. Genom att öppna den skadliga länken har Martin gett bedragaren tillgång till att göra flera överföringar från företagets konto. GreatCampaigns Ltd är nu offer för ett smishingangrepp.

Vishing innebär vanligtvis att bedragare ringer ett telefonsamtal och utger sig för att vara en betrodd person, till exempel en finansiell rådgivare eller polis. Bedragarens mål är att erhålla konfidentiell information för att ta kontroll över en dator eller mobil enhet så att de kan göra överföringar från offrets bankkonto och stjäla pengar.

• Danske Bank eller andra betrodda offentliga myndigheter och organisationer kommer bara att be dig att skicka konfidentiell information via säkra kanaler, som eBanking eller District.
• Var försiktig med oönskade telefonsamtal som ber dig att tillhandahålla konfidentiell information eller ber dig att fatta brådskande beslut.
• Ta en stund och fråga dig själv var personen har fått ditt nummer ifrån och om det är vanligt att den personen kontaktar dig via telefon – och lyssna alltid på formuleringen och språket för eventuella varningssignaler.
• Vissa bedragare använder spoofing för att dölja sitt eget nummer och få samtalet att se ut som om det kommer från det äkta numret.
• Antag aldrig att ett samtal är äkta bara för att den som ringer har information om ditt företag.

Exempel: Susan arbetar på ekonomiavdelningen på NordicFlowers Ltd. En dag fick Susan ett samtal som påstod sig vara från en bank som informerade henne om misstänkt aktivitet på NordicFlowers Ltd:s bankkonto. För att få hjälp fick Susan veta att hon behövde ladda ned en fjärråtkomstapp till sin bärbara dator och sedan logga in på företagets internetbanksystem. Eftersom Susan hade tillåtit fjärråtkomst till sin bärbara dator kunde bedragaren spåra företagets konfidentiella internetbankuppgifter, som senare användes av bedragaren för att göra betalningar och överföringar från företagets konto.

Vd-bedrägeri uppstår när en anställd luras att betala en falsk faktura eller göra en obehörig överföring från företagets konto av en person som utger sig för att vara en person med en betrodd position i företaget (t.ex. en vd). Bedragarna har redan mycket kunskap om företaget, och de använder ord och formuleringar som ”sekretess”, ”Företaget litar på dig” och ”Jag är för närvarande inte tillgänglig”.

Begäran handlar ofta om att göra internationella betalningar till banker utanför Europa, och anställda uppmanas att kringgå de normala godkännandeförfarandena.

• Undvik vd-bedrägeri genom att införa rutiner för överföring av pengar som ska följas när chefen eller andra högre befattningshavare är frånvarande.
• Var försiktig om du blir kontaktad av en person i ledande befattning som du normalt inte är i kontakt med – detta är ofta ett tecken på vd-bedrägeri.
• Var försiktig med en brådskande och mycket konfidentiell begäran som du får från någon i branschen.
• Var uppmärksam på en ovanlig begäran som bryter mot vanliga interna procedurer, till exempel begäran om att du ska göra internationella transaktioner på ett ovanligt sätt.
• Om du är osäker på en begärd betalning eller överföring, ta alltid hjälp av en kompetent kollega.
• Var särskilt vaksam under semesterperioder och när chefer är frånvarande.
• Håll utkik efter formuleringar som ”konfidentiellt” och ”företaget litar på dig”.

Exempel: Patrick arbetar på en statlig hälsomyndighet. En dag fick Patrick ett sms från hälsomyndighetens vddär han ombads göra en brådskande överföring till ett nytt konto. Patrick initierade betalningen som begärts, men när han senare pratade med sin vd fick han veta att någon sådan begäran aldrig hade gjorts. Patrick kollade med sin it-avdelning och fick reda på att hälsomyndighetens interna system var hackade. 

Ändring av mottagarens konto är en bedrägerityp som riktar sig till företag där bedragare skickar ett e-postmeddelande eller ringer ett telefonsamtal som verkar komma från en känd källa, som gör en legitim begäran. Detta kan vara en begäran om att lägga till ny kontoinformation eller att ändra mottagarens kontouppgifter för den leverantör som ditt företag gör affärer med.

• Validera alltid nya eller ändrade mottagarkontouppgifter genom att ringa ett telefonsamtal till en betrodd kontakt (SPOC) eller från den officiella webbplatsen.
• Kontrollera och verifiera e-postadressen som betalnings- eller överföringsbegäran skickas från.
• Leta efter små avvikelser som felstavningar eller nya domännamn i e-postadressen.
• Se till att det finns ett tydligt kontrollförfarande som ska följas när en begäran om att ändra kontouppgifter tas emot.

Exempel: Emily från redovisningsavdelningen på ComputerEquipments Ltd fick ett e-postmeddelande från företagets kända leverantör som begärde att en betalning skulle göras till ett nytt konto. Eftersom e-postmeddelandet kom från deras leverantörs e-postadress initierade Emily betalningen utan tvekan. Senare informerade leverantören ComputerEquipments Ltd om att de inte fick någon betalning och hade upptäckt att deras e-postadress hade hackats. Betalningen som Emily initierade hade omdirigerats till bedragarens konto.

Fakturabedrägeri är när ett företag kontaktas av en person som påstår sig representera en leverantör, tjänsteleverantör eller fordringsägare. Bedrägeritypen är en bredspektrumattack där många små fakturor för varor som ett företag i verkligheten aldrig har köpt skickas till flera olika företag. Eftersom beloppen är små och varorna ofta är något som många företag skulle köpa, till exempel kontorsmaterial, verkar fakturorna rimliga och trovärdiga för många, och därför accepteras och betalas de lätt under en hektisk arbetsdag utan att någonsin valideras.

• Ha tydliga rutiner för hantering av manuella processer, till exempel fakturabetalningar. 
• Ha en översikt över leverantörer, fordringsägare och leverantörer som ditt företag har öppna fakturor med så att alla kan kontrollera fakturan för att se att den är korrekt och som förväntat.
• Var uppmärksam på fakturor för små belopp, särskilt fakturor för små vardagsvaror.
• Kontrollera att det du har fått faktiskt är en faktura och inte ett erbjudande på en produkt – bedragare kan vara listiga och försöka lura dig.
• Ring leverantören på ett betrott telefonnummer, till exempel det nummer som anges på leverantörens betrodda webbplats, innan du betalar fakturan och kontrollera beloppet och kontouppgifterna med dem.
• Var uppmärksam på denna typ av bedrägerier och utbilda alla anställda i företaget som arbetar med fakturor.

Exempel: Victor arbetar på Entrepreneurs Ltd och fick en faktura på 50 SEK från en webbhotelleverantör. Victor vet att hans företag nyligen har ändrat sin webbadress och tycker att fakturan är rimlig. Så han initierar betalningen och lägger till en del extra information som begärts. Bedragaren har nu lurat pengar från Entrepreneurs Ltd, vilket gör företaget till ett offer för fakturabedrägerier. 

Skadlig programvara är program som installeras på din dator eller mobila enhet utan att du inser det. Du kan oavsiktligt infektera din dator eller mobila enhet med skadlig kod genom att öppna en infekterad fil eller länk som hämtar ett okänt program. Vissa typer av skadlig kod kan spionera på ditt beteende och fånga upp dina personuppgifter. Andra typer skapar en ”osynlig” sida över inloggningssidan till din eBanking och kopierar dina inloggningsuppgifter.

Utpressningsprogram är en typ av skadlig programvara som hotar att publicera eller blockerar åtkomst till dina data eller din dator. Bedragare krypterar vanligtvis dina data och begär en lösensumma. I många fall kommer lösenkravet med en tidsfrist. Om du inte betalar i tid är dina data borta för alltid eller så ökar lösensumman.

Tips för att undvika att bli offer för skadlig programvara och utpressningsprogram:

• Klicka aldrig på några misstänkta länkar och ladda aldrig ned en bilaga. Nätfiske via e-post och skräppost är de huvudsakliga sätten som används för att distribuera utpressningsangrepp.
• Läs mer om nätfiske och smishing för att säkerställa att du vet vad du behöver vara uppmärksam på.
• Var extra försiktig när du hämtar filer från internet och se till att källan är tillförlitlig.
• Gör säkerhetskopior regelbundet och se till att du lagrar dina säkerhetskopior offline och i en säker miljö.

Exempel: En av dina anställda, Michael, fick ett e-postmeddelande som uppmanade honom att hämta ett nytt program för att slutföra en arbetsuppgift. E-postmeddelandet var bedrägligt och Michaels dator blockerades av hackare som sedan krävde en lösensumma. Michael hackades. Det krävs bara att en person hackas för att hela ditt företag ska hackas.

Internt bedrägeri kan definieras som oegentlig eller olaglig handling som begås av en anställd i ett företag, med avsikt att nå direkt eller indirekt ekonomisk vinning som skadar företaget eller dess kunder.

Även om företag litar på sina anställda och kollegor kan vissa anställda känna sig motiverade av personliga skäl i sina bedrägliga handlingar eller så kanske de inte vet var en viss gräns dras i företaget.

• Fundera på om teamuppgifter innehåller en tillräcklig nivå av ansvarsåtskillnad. Är till exempel samma anställd ansvarig för att både utföra en uppgift och förfarandekontrollerna som kontrollerar uppgiften?
• Se till att åtkomsträttigheter tilldelas kollegor baserat på deras individuella ansvarsområden, snarare än på den övergripande teamuppgiften. Se alltid till att du förstår alla behörigheter du godkänner för dina anställda – vad de innehåller och varför de krävs.
• Granska transaktionerna på företagskortet regelbundet för att kontrollera om det finns några misstänkta aktiviteter.
• Utbilda de anställda i interna policyer och rutiner.
• Upprätta en nolltoleranspolicy för interna bedrägerier.
• Ha en visselblåsarpolicy eller se till att du skapar en kultur där alla anställda kan ta upp problem anonymt.

Exempel: Lucas arbetar i Insurances Ltd och var ansvarig för att köpa nya tangentbord till alla anställda när de arbetade hemifrån under coronanedstängningen. Lucas egen datorskärm gick nyligen sönder, så samtidigt som han köpte den nödvändiga it-utrustningen köpte han också en ny skärm till sig själv. Bedrägeriet upptäcktes av en kollega som fick paketet när det levererades till kontoret. Kollegan tog upp oron anonymt och med ledningen, som i linje med sin nolltoleranspolicy tog denna händelse med internt bedrägeri på största allvar.