Han ble hacket og frastjålet hundretusener
– Mange virksomhetsledere i Norge sitter nok med den samme tankegangen som jeg hadde, at det ikke skjer meg. Jeg hadde riktignok hørt om direktørsvindel, men mine tanker var at dette bare angikk de store virksomhetene med milliardformue, sier daglig leder i Travelbakery AS, Johnny Kjeverud.
At hackerne er vel så interessert i et reisebyrå på Hamar, og til og med privatpersoner, var han ikke klar over. Johnny vil derfor dele sine erfaringer om hvor enkelt man kan bli utsatt for datainnbrudd og tape penger.
Bedt om pengeoverføring
I sin jobb reiser Johnny mye og er derfor avhengig av å bruke kvelder og helger på å holde seg oppdatert. Denne episoden inntraff en søndagskveld, da han oppdaget at 350 000 kroner var forsvunnet fra bedriftskontoen. Johnny har vanligvis god kontroll på økonomien, og skjønte umiddelbart at noe var galt. Han tok derfor øyeblikkelig kontakt med regnskapsføreren sin, som konstaterte at han har blitt lurt til å overføre disse pengene til en utenlandsk konto.
– For å gjøre en lang historie kort: Noen har gått inn og fått oversikt over alt som hadde med min økonomi å gjøre. Regnskap og revisjon, både jobb og privat. De hadde passinformasjonen min, bankinformasjonen, kontonummer og så videre. I tillegg hadde hackerne tilgang til masse informasjon om familien, som gikk et halvt år tilbake i tid, sier Johnny Kjeverud.
Prosessen med å sette i gang utbetalingen av penger begynte med at regnskapsføreren fikk en e-post, skrevet på norsk, om at Kjeverud var på reise og trengte å gjennomføre en hastebetaling. Regnskapsføreren svarte på e-posten med spørsmål om dette var en ekte forespørsel, og fikk et bekreftende svar tilbake. Dermed ble utbetalingen gjennomført.
– Jeg kontaktet regnskapsføreren med en gang jeg så at pengene var gått ut av kontoen og skjønte da at prosessen hadde gått veldig fort. Regnskapsføreren hadde gjort utbetalingen i god tro, selv om man i ettertid tenker at det skulle gått en varsellampe.
Fikk reddet pengene
Det viste seg at pengene skulle overføres til Hong Kong, men på grunn av spesifikke sikkerhetsrutiner måtte overføringen innom en bank i New York først. Takket være denne sikkerhetsrutinen og forsinkelser som oppsto på grunn av tidsforskjellen, ble overføringen stoppet før den kom frem til Hong Kong. Hadde det ikke vært for at Kjeverud oppdaget denne overføringen i en annen tidssone, og sikkerhetsrutinen overføringen måtte gjennom, hadde han mistet disse pengene. Hele prosessen var likevel en veldig ubehagelig opplevelse:
– Jeg ringte min IT-leverandør og fortalte at jeg hadde blitt hacket, og skulle sende over informasjon per e-post. I dette øyeblikket begynte musepekeren å bevege seg og jeg skjønte at noen satt og fjernstyrte datamaskinen min. E-poster ble slettet og slettede elementer ble tømt. Hackerne gikk også inn på spesifikke filer som hadde med regnskap å gjøre og slettet alt der også. Sammen med min IT-leverandør fikk vi stoppet dette og reddet en del av informasjonen, sier Johnny Kjeverud.
Etter denne episoden var Kjeverud uten nett i over en uke, med telefon som eneste hjelpemiddel til kommunikasjon, uten tilgang til hverken bank eller pass. Alt måtte ordnes på nytt, og det var først etter tre måneder alt var på plass igjen.
En ubehagelig følelse
– Da begynte vi med tofaktorautentisering, sikkerhetsspørsmål, overvåking av kontoene til meg og barna mine, både privat og jobb. Det hele er en veldig ekkel følelse og man føler seg forsvarsløs. Det er greit nok at de prøver seg på meg, men det går en grense når det går utover familien, sier Kjeverud.
Han innrømmer at han er i en utsatt posisjon, da han legger igjen mange elektroniske spor rundt om i verden. Han viser til at han daglig utsettes for nye svindelforsøk gjennom telefoner om pengeoverføringer og e-poster med uønskede vedlegg.
– Jeg er kanskje et attraktivt mål siden jeg bruker bankkortet mye og legger igjen pass på hotell hvor alle kanskje ikke er like ærlige. Selv om våre penger ble reddet, har vi lært en lekse; det er verdt å investere i IT-sikkerhet, men man må likevel være forsiktig. Om uhellet er ute må man anmelde det, selv om hackerne mest trolig aldri blir funnet.
Han mener at det er nyttig å stå frem for å fortelle og vise at alle kan bli hacket. Dette er noe som kan skje hvem som helst. Han legger til at det ikke er noe å være flau over, og at det er viktig å dele erfaringer man sitter med.
Anerkjent svindelmetode
Lederen for Ateas Hendelseshåndteringsteam (IRT), Vegard Kjerstad, kan bekrefte at hyppigheten av såkalt direktørsvindel er stor. Atea får jevnlig henvendelser hvor norske virksomheter trenger bistand til å håndtere lignende hendelser, og ser at mangelen av tofaktorautentisering er en av årsakene til at skurkene lykkes i flere av tilfellene.
Virksomhetene er ofte små eller mellomstore, og det kan tenkes at disse er mer utsatt for datakriminalitet enn de store og anerkjente virksomhetene, nettopp på grunn av deres størrelse. Disse virksomhetene har som regel ikke de samme ressursene og mulighetene til å investere i IT-sikkerhet, og det vet hackerne også:
– Hackerne er profesjonelle og tar seg god tid. Ved direktørsvindel er det viktig at virksomheten har gode rutiner for utbetalinger, derfor anbefaler Atea at virksomheter legger inn verifisering av mottaker i sine betalingsrutiner. Denne verifiseringen skal ikke gjøres på samme kanal som man mottar henvendelsen, man skal kontakte avsender på en annen måte for å verifisere. Om man for eksempel mottar en e-post hvor direktøren ber om en pengeoverføring, skal man ringe eller sende en tekstmelding til direktøren for å bekrefte at informasjonen i e-posten stemmer, sier Kjerstad.
Gode tips for alle virksomheter
Dagens lovverk og trusselbilde er likt for alle virksomheter, uavhengig av størrelse. Forskjellen ligger derimot på ressurser og muligheter til investering i IT-sikkerhet, da det kan oppleves umulig for virksomheter uten dedikerte sikkerhetsressurser å holde tritt med samtidstrusselbilde. Både Nasjonal Sikkerhetsmyndighet og Norsk Senter for Informasjonssikring anbefaler virksomheter uten egne IT-sikkerhetsressurser å kjøpe sikkerhet som en tjeneste fra spesialister på feltet.
Kjerstad legger til at det er et minimum av sikkerhet enhver virksomhet, uavhengig av størrelse, bør ha på plass og refererer da til huskeregelen «TABBE»:
Tofaktorautentisering: Krever autentiseringskode i tillegg til brukernavn og passord
Antivirus: Gir endepunktsbeskyttelse på enhetene
Brannmur: Gir synlighet og beskyttelse
Beredskapsplan: En handlingsplan som utføres ved en eventuell hendelse
E-læring: Opplæring av brukere