CEO-Fraud: Sådan undgår din virksomhed at hoppe i fælden
Har I fokus på CEO-fraud internt i din virksomhed? Både danske og udenlandske afgørelser tydeliggør, at det kan blive en meget dyr fornøjelse, hvis du eller dine medarbejdere udsættes for CEO-fraud. Derfor får du i denne artikel HjulmandKaptains råd til, hvordan CEO-fraud opdages og undgås.
Hvad er CEO-fraud?
CEO-fraud – også kendt som direktørsvindel – er svindel udført gennem mails eller SMS’er med afsendere, der ligner et selskabs ledelse. De pågældende mails og SMS’er er dog i realiteten afsendt fra en tredjemand, der via modtageren af beskeden forsøger at lokke penge ud af selskabet.
Svindlen foretages oftest ved, at den IT-kriminelle enten 1) konstruerer en mail eller SMS, der skal forestille at være afsendt fra et selskabs ledelse eller 2) skaffer sig adgang til en mailkonto tilhørende ledelsen og anvender denne til at afsende mails.
Et CEO-fraud angreb er i mange tilfælde vanskeligt at gennemskue, da de IT-kriminelle agerer professionelt. Derfor ses det ofte, at et selskabs medarbejdere eller debitorer narres og dermed overfører penge til de IT-kriminelle.
Hvordan forholder domstolene sig til CEO-fraud?
For IT-kriminelle er CEO-fraud blevet en mere attraktiv måde at svindle på, hvorfor både danske og udenlandske domstole flere gange har truffet afgørelse i sager herom.
I sager hvor et selskabs debitorer er blevet narret af et CEO-fraud angreb, viser afgørelserne, at domstolene har en tendens til at fastholde udgangspunktet om, at ”pengeskyld er bringeskyld”.
Denne juridiske læresætning indebærer, at debitor skal fremvise det skyldige pengebeløb hos kreditor. Først når pengene er fremvist hos kreditor, er debitor fritaget fra sine forpligtelser.
I forhold til netop CEO-fraud medfører udgangspunktet, at en pengedebitor – der modtager en mail om, at pengene skal overføres til en bestemt konto, fra en IT-kriminel, der udgiver sig for at være pengekreditor – fortsat vil være i gæld til pengekreditor. Dette gælder, selvom pengene overføres til den konto, der er angivet i mailen. Dette skyldes, at pengedebitor ikke i et sådant tilfælde har sendt pengene til den rigtige pengekreditor. Derfor er pengedebitor ikke frigjort fra sin forpligtelse over for kreditor.
I sidste ende vil pengedebitor dermed ende med at betale beløbet to gange: én gang til den IT-kriminelle og én gang til pengekreditor. Pengene er således tabt for den virksomhed, der narres af CEO-fraud angrebet.
Afgørelser fra Landsskatteretten viser desuden, at en pengedebitor, der har overført penge til en IT-kriminel, ikke har et skattemæssigt fradrag for tabet. Dette gælder på trods af, at pengedebitor selv bærer hele risikoen for CEO-fraud angrebet.
Et nyt synspunkt: Egen skyld hos kreditor, hvis kravet behandles som et erstatningskrav?
Hvis den IT-kriminelle hacker sig ind på kreditorens e-mailadresse og fremsender mails til debitorerne om, at det skyldige beløb skal overføres til den IT-kriminelles egen konto i stedet for den, som debitoren normalvis overfører til, så er spørgsmålet: Har kreditoren udvist egen skyld?
Dette spørgsmål kan stilles, da den IT-kriminelle med stor sandsynlighed har fået adgang til kreditorens e-mailadresse, idet kreditoren er blevet narret af for eksempel en phisingmail. En phisingmail er afsendt af en IT-kriminel, der har til formål at lokke fortrolige oplysninger ud af modtageren.
Hvis domstolene vurderer, at kreditor har udvist egen skyld, vil det sandsynligvis medføre, at debitor frigøres fra sine forpligtelser over for kreditor, selvom det skyldige beløb er overført til den forkerte konto.
HjulmandKaptain har ført en sag ved de danske domstole, hvor synspunktet om egen skyld blev forelagt, men ikke nærmere behandlet. Det er derfor endnu uvist, om domstolene vil acceptere synspunktet -herunder om dét at kreditor narres af en phisingmail medfører, at kreditor har udvist egen skyld, og om dette i givet fald har den konsekvens, at debitor frigøres fra sine forpligtelser, allerede når pengene overføres til den forkerte konto.
HjulmandKaptains råd til hvordan CEO-fraud opdages og undgås
Som arbejdsgiver er der en række tiltag, du kan iværksætte for at undgå, at de medarbejdere der udsættes for et CEO-fraud angreb faktisk overfører penge til den IT-kriminelle.
Det er først og fremmest vigtigt, at du internt informerer dine medarbejdere om risikoen for CEO-fraud, da denne øgede opmærksomhed vil medføre en hurtigere reaktion på falske SMS’er og mails.
HjulmandKaptain anbefaler desuden, at du indfører procedurer om:
- At e-mailadresser skal dobbelttjekkes
Hvis afsenderen har konstrueret en e-mailadresse, der skal ligne f.eks. kreditors e-mailadresse, vil de små forskelle i e-mailadresserne tydeliggøre, at der er tale om et svindelnummer.
- At pengeoverførsler skal godkendes
Proceduren kan indebære, at overførsler over et bestemt beløb skal godkendes. Jo flere der er indblandet i en overførsel, desto større er sandsynligheden for, at bare én vil fatte mistanke. - At ”normaliteten” af mailen skal undersøges
Stavefejl og unaturlige sætninger indikerer, at der er tale om et svindelnummer, da den IT-kriminelle ofte er udenlandsk og derfor benytter sig af oversættelsesværktøjer. Det samme gælder, hvis mailen indeholder et element af, at overførslen haster.
- At alle overførsler til udenlandske bankkonti skal godkendes
IT-kriminelle benytter sig ofte af udenlandske bankkonti, da disse er svære at spore. En procedure om, at alle overførsler til udenlandske bankkonti skal godkendes – uanset beløbets størrelse – vil derfor mindske risikoen for, at virksomhedens penge overføres til en IT-kriminel.
Har du spørgsmål eller brug for rådgivning?
Har du spørgsmål til ovenstående, eller har du brug for rådgivning vedrørende CEO-fraud, er du altid velkommen til at kontakte os.
Nyheder
Se flereTilmeld dig
HjulmandKaptains
Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.