– Etterforskningen av cybersvindlere er veldig krevende fordi den straffbare handling er begått i utlandet. Derfor må vi få bedrifter til å være i best mulig stand til å hjelpe seg selv.
Det sier politiinspektør Sturle Smith, leder av seksjon for økonomisk kriminalitet i Sør-Vest politidistrikt.
Fredag holder Smith cybersvindelforedrag for næringslivet hos Næringsforeningen i Stavanger, sammen med rådgiver og næringslivskontakt Kyrre Lindanger ved Felles enhet for kriminalitetsforebygging og politiinspektør Knut Erik Rame ved seksjon for digitalt politiarbeid.
Trioen skal hovedsakelig snakke om «direktørsvindel», e-postsvindel som går ut på at svindlere utgir seg for å være ledere i bedriften når se sender e-post. I disse e-postene kan de be ansatte om å betale eller overføre penger på en eller annen måte, som egentlig havner i lommene på kriminelle.
– Det totale vinningskriminalitetsbilde har gått ned 20 prosent, mens cyberbedragerier har økt med 30 prosent. Det er urovekkende, sier Smith.
LES OGSÅ: Politiet har få spor etter fotobrekket
I 2019 var det 25.000 anmeldte bedragerier i Norge. 10 prosent av dem var direktørsvindel, men målt i beløp er direktørsvindel nest størst i statistikken.
– Mørketallene er store. Mange vil ikke rapportere inn at de har blitt svindlet. De synes det er pinlig og er redde for omdømmet til selskapet, forklarer Smith.
Metodene
Næringslivskontakt Lindanger forteller hvordan svindlerne kan infiltrere en bedrift. Metodene har gått fra dårlig formulerte e-poster på dårlig norsk, til e-poster på dialekten til «direktøren».
– Vi har et eksempel fra Karmøy hvor svindlerne skrev på karmøydialekt. Svindlerne er tålmodige, sofistikerte, systematiske og de studerer og blir kjent med bedriftene de skal svindle - og folkene som jobber der, sier Lindanger.
– Kriminelle bryter seg inn i bedriften på det laveste nivået. De knekker svake passord med å bruke algoritmer og systemer som er bygget for å knekke passord. Deretter jobber de seg oppover i systemet i bedriften. De er veldig flinke til å skjule sporene sine, fortsetter Lindanger.
Gjennom lang tid kan de studere bedriften. Nøkkelpersoners sosiale medier. De danner seg et bilde av de ansatte. Svindlerne studerer språkbruk og sjargong.
LES OGSÅ: Lurte 33 personer på Finn.no
Ofte slår svindlerne til i ferietid. Tidspunkter hvor det er andre rutiner og strukturer i bedriften. Da kommer det gjerne en e-post fra direktøren eller sjefen i bedriften, som tilsynelatende ber om utbetalinger eller overføringer av penger.
– E-postene er gjerne skrevet slik direktøren vanligvis ville ha skrevet e-poster, og det brukes både gulrot og pisk for å legge press på den ansatte svindlerne vil manipulere, sier Lindanger.
Lurt for millioner
Politiet har også erfaringer med «leverandører» som sender faktura hvor kontonummeret for eksempel er endret til et kontonummer svindlerne kontrollerer.
I november utbetalte Oljedirektoratet 17,6 millioner kroner til kriminelle. Oljedirektoratet mottok en faktura på e-post fra et amerikansk selskap som utførte kartlegging av havbunnsmineraler i Norskehavet, ifølge Teknisk Ukeblad.
Så fikk direktoratet beskjed om at kontonummeret for utbetalingen måtte endres. Direktoratet kontaktet selskapet og fikk bekreftet det nye kontonummeret. Beløpet ble så utbetalt.
– Vi sendte forespørselen til riktig adresse, men fikk svar fra svindlerne. Det oppdaget vi dessverre ikke, for e-postadressen var veldig lik den vi sendte til, sier Eldbjørg Vaage Melberg i Oljedirektoratet til Teknisk Ukeblad.
LES OGSÅ: Stavanger kommune ble svindlet for 50.000 euro
Høsten 2019 ble et energiselskap i Stavanger-regionen svindlet for et langt større beløp.
Ved å utgi seg for å være en utenlandsk toppsjef klarte utenlandske bedragere i høst å svindle et energiselskap i Stavanger-regionen for 150 millioner kroner, skrev Stavanger Aftenblad i november.
– Summene i disse sakene er formidable, sier Smith.
– I saken om energiselskapet ble to menn pågrepet i Israel. De er italienske statsborgere. Vi har bedt om utlevering, men har ikke fått svar, sier Smith til RA.
– Svindlerorganisasjonene har egne HR-avdelinger
Etterforskning av svindlersaker har ledet Sør-Vest politidistrikt til både Israel og Nigeria. Det betyr ikke at svindlerne er fra disse landene. Ifølge politiet er alt svindlerne trenger en datamaskin, telefon og internettilgang. De sitter sannsynligvis over hele verden.
– Det er flere store aktører i Europa, i Midtøsten, Afrika, Russland og USA. De største aktørene er som store bedrifter, selv om de ikke er registrert i noen foretaksregistre. For eksempel kan de ha en egen HR-avdeling, som rekrutterer personer til å jobbe for dem, og som leverer lister over bedrifter «ansatte» skal jobbe med. Alle jobber ikke slik, men trusselbildet nå er at svindlerne jobber systematisk og langsiktig. De har stor kompetanse, innen IT og banksystemer. De er gode på å skjule spor og kontoer. Vi ser også at behersker språk, inkludert norsk. De er gode på å manipulere og lure folk, sier Lindanger.
– Svindlerne tar gjerne i bruk intetanende personer til å være muldyr for dem. Vanlige folk som svindlerne blir kjent med, for å så be dem om tjenester som å motta og videreføre pengesummer. Det har personer i vårt distrikt opplevd, og blitt dømt for, sier Smith.
LES OGSÅ: Bestemor hvitvasket penger for «George»
Politiet er også kjent med at også stater står bak svindel.
– For enkelte land, eller stater, kan det handle om økonomisk vinning. For andre handler det like mye om å skape ustabilitet, forklarer Lindanger. Ifølge politiet rammes både små, mellomstore og store bedrifter. Og trusselen er økende.
– Bedrifter ikke godt nok forberedt
– Mitt inntrykk er at bedriftene ikke er godt nok forberedt på dette. Mange tror svindel ikke er noe som vil ramme dem. At det bare er store selskaper som er et mål. Ofte er store selskaper bedre rustet, sikkerhetsmessig og økonomisk til å håndtere denne type svindel, mens små selskaper kan denne type svindel bety kroken på døren, sier Lindanger og avslutter:
– Norsk politi er gjerne ikke rigget ressursmessig til å løse slike saker. Derfor er vi helt avhengige av at bedrifter gjør noe selv. At bedrifter har god internkontroll, rutiner og skape en sikkerhetskultur.
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/3XDFGI55IRAX5PIDVYPLWODGZU.jpg)
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/RP3KW2WJ5ZGDNBJTFEGSPCKI7M.jpg)
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/YDWSG2BA3NHORLNX2IYVFHFRTA.jpg)