KRÖNIKA – av advokat Johan Zetterström, Baker McKenzie advokatbyrå med stöd av jur stud Eric Nilsson
Tänk att det är sommar och du är en junior medarbetare på företagets ekonomiavdelning. Telefonen ringer. Det är koncernens utländska VD. Hon är på resande fot men har en viktig affär på gång. Det är bråttom – betalningen måste ske idag. Hon hänvisar till att mer information snart kommer per mail. ”Advokatbyrån skickar betalningsinstruktioner. De behöver pengarna så snart som möjligt.”
Du hinner knappt lägga på luren så kommer mailet som utlovat. Det kommer förvisso från en obekant advokatbyrå, men en byrå som verkar proffsig.
Du vill dubbelkolla med koncernens VD en sista gång innan pengarna går iväg, men hon svarar varken per mail eller telefon.
Ekonomichefen är också på semester och svarar inte heller. Du trycker på knappen och vips så har du skickat iväg en större summa pengar. Till en bedragare.
Den riktiga koncern-VD:n var i själva verket inte inblandad. Personen som ringde var en bedragare. Mailet som skickades hade rätt logga och såg ut att ha rätt avsändaradress.
Hur skulle det inte kunna vara rätt person? Hur ska medarbetaren kunna känna igen rösten? Och att numret ser obekant ut betyder väl ingenting, även VD:ar får väl ringa från sina privata telefoner ibland?
Tyvärr är historien inte påhittad. Flera företag vi har kontakt med har råkat ut för liknande händelser på sistone.
Fenomenet ”VD-bedrägerier”, eller ”Business Email Compromise”, har uppmärksammats en del de senaste åren. Tydligen inte tillräckligt eftersom många företag fortfarande går på bluffen och det är därför vi skriver den här krönikan.
Alla företag borde se över sina rutiner och särskilt inför sommaren. FBI varnar för att förlusterna ökar dramatiskt – från 215 miljoner dollar globalt år 2013-2014, till 2,1 miljarder dollar december 2014 till februari 2016.
De drabbade företagen är många gånger väletablerade, multinationella företag. Det ligger i sakens natur att det finns ett stort mörkertal, men vissa av bedrägerierna kommer till allmänhetens kännedom.
Däribland Billerud Korsnäs som 2016 betalade över 50 miljoner kronor och KTH som samma år betalade drygt en halv miljon kronor.
Glöm så kallade Nigeriabrev. De nya bedrägerierna är sofistikerade och svåra att upptäcka. Det finns flera olika metoder.
Ett sätt är att ”spoofa” VD:s mailadress genom att ange den som avsändare. Då skickas mailet från den riktiga mailadressen, men bedragaren har inte tillgång till mailkontot. Om du svarar på mailet kommer det alltså att skickas till den riktiga VD:n och med lite tur kan bedrägeriet upptäckas.
Fejkade mailadresser är en annan metod. Det går exempelvis att skapa en identisk mailadress men på ett diskret sätt byta ut ett tecken, t ex ”vd@company.se” blir ”vd@cornpany.se”, eller ”vd@company.se” blir ”vd@company.com”. Samtidigt används rätt logga, typsnitt och mailsignatur.
Om den felaktiga mailadressen inte upptäcks kan bedragaren ta emot och svara på svarsmail och på så vis kunna verka mer trovärdig. En twist på det är att även skicka mailet som ett ”svar” på en fejkad tidigare konversation mellan VD:n och ekonomichefen. Då kan det för den ouppmärksamme se ut som att ekonomichefen redan gett klartecken till överföringen.
Vad kan man då göra? När pengarna väl gått iväg är de borta. Och att sparka någon som just kostat bolaget flera miljoner kronor är en klen tröst.
Det gäller alltså att tänka efter före och att förbereda personalen. Informera dem om att sådant här pågår och att alla kan utsättas för bedrägeriförsök. Inför tydliga rutiner för att hantera överföringar och utbilda personalen i dessa och bedragarnas nya tillvägagångssätt så att hela organisationen är förberedd.
Det räcker med en enda svag länk för att kedjan ska brista. En viktig rutinåtgärd är att mottagaren av ett mail dubbelkollar mailadressen och hör av sig till ”rätt” mailadress om man är osäker.
Om telefonsamtal görs, fråga vem på kontoret som ansvarar för transaktionen. Be om att få ringa tillbaka sedan du pratat med den personen.
Det finns även andra, tekniska lösningar. I viss mån kan företag skydda sig genom att generera en lista på felstavningar av den egna mailadressen och -domänen och registrera alla dessa i skräppost-listan. Då kommer diskreta bedrägerimail överhuvudtaget inte fram till anställda.
Det viktigaste är att vara medveten om hur bedragarna går till väga. Ingenting tyder på att bedrägerierna kommer bli färre eller mindre sofistikerade i framtiden – tvärtom.
Semestertider stundar. Många lämnar kontoret samtidigt som sommarvikarier kallas in. Saker som känns självklara att tänka på under resten av året känns mindre allvarliga när solen skiner och grillen väntar.
Mailsvar blir slarvigare. Rutiner luckras upp. Man vill inte störa kollegor på semester. Det är inte ovanligt. Det är inte heller lätt att förändra. Det hör liksom semestern till.
När det gäller betalningsrutiner finns det dock som sagt goda skäl att vara extra uppmärksam.
Därför rekommenderar vi alla att uppmärksamma sin personal på den här trenden och betona vikten av att hålla sig till rutinerna och vara extra observanta. Särskilt i semestertider.
Skribenten arbetar på arbetsrättsgruppen på Baker McKenzie – som regelbundet skriver om arbetsrätt i Dagens Juridik.
