Foreninger er nyt fokus for faktura snyd

Sådan lød overskriften på en mail til kasseren i en mindre forening.

I teksten beder formanden kasseren om at overføre EUR 3.781 til en modtager idag. Afsender skrev: Betalingen er for køb af værktøj, teknisk udstyr og anden logistik. Jeg har bankoplysningerne, kan du behandle betalingen?

Mvh.

Navnet på formanden

Kasseren modtog herefter en officiel faktura, inklusiv bank oplysninger.

Kasseren spurgte ind til om indkøbet var godkendt af en enstemmig bestyrelse.

Svaret fra afsender: Ja, der er bestyrelsesgodkendelse på denne, vi kan evt. tage et videoopkald.

Email mig kopi af modtagelse af betaling, når det er gjort.

Mvh

Navnet på formanden.

Hvad sker der?

Metoden har været kendt i årevis som CXO fraud, tidligere kun udført mod større virksomheder.

Hvordan?

Afsenderen har været inde på den pågældende forenings hjemmeside, og finde ud af, hvem der er formand og kasserer. Herefter konfigurerer han så sin mail klient, så afsenders navn, ikke den reelle afsender, men blot navnet matcher formanden, og skriver så også under med formandens navn.

Når kasseren så modtager mailen, ser den helt klart ud til at komme fra formanden. Besvarer man, vil navnet også være “kendt”. Men kigger man på den faktiske mail adresse, vil den oftest være en man ikke kender. Men ikke alle mail klienter viser andet end navnet.

Det første der springer i øjnene er, at mail beskeden ikke er korrekt dansk, ej heller i den tone formanden normalt skriver på. Dernæst er beløbet højt, så denne kasserer falder ikke for denne snyd.

Teknisk.

Alle mails indeholder en header, som man stort set aldrig ser. Men den indeholder vigtigt information for tekniske personer, herunder hvem er den reelle afsender af en given mail. Man kan også se om mailen er valideret op imod de tekniske sikkerheds mekanismer som mails i dag tilbyder, men som flere desværre ikke har implementeret.

Afhængig af hvilken mail klient du anvender, kan du se denne header på forskellig vis. Du kan søge på google efter “header Outlook” eller “Header Outlook web”, så det er forskelligt hvor man finder denne header. Outlook web kan man finde ved at stå inde på en mail, vælge de 3 prikker oppe i højre hjørne, “Flere handlinger” gå i “Vis -> Vis meddelelsedetaljer”, og så kommer headeren i et popup vindue.

Her er mange andre detaljer men søg efter SMTP, der viser afsender- og modtagerposthus. “Sender” er også et godt ord at lede efter, for at få viden om den faktisk afsender. Sidst men ikke mindst søg efter SPF & DKIM, der fortæller om afsender er godkendt.

Lykkes det at lokke penge ud af folk?

Ja, ellers ville de jo ikke fortsætte. Jeg har alene i denne uge haft 2 henvendelser af denne type.

Et par gode råd

  • Sørg for, at der ved beløb over en vis størrelse kræves 2 godkendelser inden overførsel.
Læs videre

Foreninger er nyt fokus for faktura snyd

Sådan lød overskriften på en mail til kasseren i en mindre forening.

I teksten beder formanden kasseren om at overføre EUR 3.781 til en modtager idag. Afsender skrev: Betalingen er for køb af værktøj, teknisk udstyr og anden logistik. Jeg har bankoplysningerne, kan du behandle betalingen?

Mvh.

Navnet på formanden

Kasseren modtog herefter en officiel faktura, inklusiv bank oplysninger.

Kasseren spurgte ind til om indkøbet var godkendt af en enstemmig bestyrelse.

Svaret fra afsender: Ja, der er bestyrelsesgodkendelse på denne, vi kan evt. tage et videoopkald.

Email mig kopi af modtagelse af betaling, når det er gjort.

Mvh

Navnet på formanden.

Hvad sker der?

Metoden har været kendt i årevis som CXO fraud, tidligere kun udført mod større virksomheder.

Hvordan?

Afsenderen har været inde på den pågældende forenings hjemmeside, og finde ud af, hvem der er formand og kasserer. Herefter konfigurerer han så sin mail klient, så afsenders navn, ikke den reelle afsender, men blot navnet matcher formanden, og skriver så også under med formandens navn.

Når kasseren så modtager mailen, ser den helt klart ud til at komme fra formanden. Besvarer man, vil navnet også være “kendt”. Men kigger man på den faktiske mail adresse, vil den oftest være en man ikke kender. Men ikke alle mail klienter viser andet end navnet.

Det første der springer i øjnene er, at mail beskeden ikke er korrekt dansk, ej heller i den tone formanden normalt skriver på. Dernæst er beløbet højt, så denne kasserer falder ikke for denne snyd.

Teknisk.

Alle mails indeholder en header, som man stort set aldrig ser. Men den indeholder vigtigt information for tekniske personer, herunder hvem er den reelle afsender af en given mail. Man kan også se om mailen er valideret op imod de tekniske sikkerheds mekanismer som mails i dag tilbyder, men som flere desværre ikke har implementeret.

Afhængig af hvilken mail klient du anvender, kan du se denne header på forskellig vis. Du kan søge på google efter “header Outlook” eller “Header Outlook web”, så det er forskelligt hvor man finder denne header. Outlook web kan man finde ved at stå inde på en mail, vælge de 3 prikker oppe i højre hjørne, “Flere handlinger” gå i “Vis -> Vis meddelelsedetaljer”, og så kommer headeren i et popup vindue.

Her er mange andre detaljer men søg efter SMTP, der viser afsender- og modtagerposthus. “Sender” er også et godt ord at lede efter, for at få viden om den faktisk afsender. Sidst men ikke mindst søg efter SPF & DKIM, der fortæller om afsender er godkendt.

Lykkes det at lokke penge ud af folk?

Ja, ellers ville de jo ikke fortsætte. Jeg har alene i denne uge haft 2 henvendelser af denne type.

Et par gode råd

  • Sørg for, at der ved beløb over en vis størrelse kræves 2 godkendelser inden overførsel.
Læs videre

Hvad vil Datatilsynet fokusere på i 2021?

Datatilsynet har oplyst hvilke områder de vil fokusere på i 2021.

Overskrifterne er:

  • Kreditoplysningsbureauer, advarselsregistre og spærrelister
  • Inkassobureauers oplysningspligt og sletning
  • Pengeinstitutters procedurer for indsigtsanmodninger
  • Tv-overvågning
  • Myndigheders videregivelse af personnumre til borgere
  • Forskning
  • Behandling af personoplysninger om hjemmesidebesøgende (cookies)
  • Persondatasikkerhed, inkl. brud på persondatasikkerheden
  • Kontrol med databehandlere
  • Overførsel af personoplysninger til tredjelande
  • Behandling af personoplysninger i fælleseuropæiske informationssystemer
  • PNR-loven (Kommentar: Lov om indsamling, anvendelse og opbevaring af oplysninger om flypassagerer)
  • Retshåndhævelsesloven

Hvad betyder det for mig?

Nogle af områderne henvender sig til specifikke brancher, typer af virksomheder og myndigheder. Men der hvor jeg kan se, at det stort set rammer alle er på:

  1. TV-overvågning, som mange idag har, hvilket også er tilladt hvis man følger reglerne. F.eks. må man som udgangspunkt ikke optage offentlige steder, med undtagelse af visse brancher, men gerne sin egen facade og indgang. Vigtigt er også som sædvanligt, beskrivelsen af hvorfor man optager samt slette fristen. Du skal også huske at skilte med TV-overvågning.
  2. Behandling af personoplysninger om hjemmesidebesøgende (cookies), gælder jo for alle der har en hjemmeside. Jeg skrev for 1 år siden om Datatilsynet har nye retningslinjer for behandling af personoplysninger til hjemmeside ejere. Den gang afsluttede jeg artiklen med at Datatilsynet nok ikke vil give anmærkning eller bøder. Men nu er der gået 1 år, så nu kan man nok forvente, at de vil være mere strikse.
  • Persondatasikkerhed, inkl. brud på persondatasikkerheden, er jo store dele af GDPR delen generelt. Men der nævnes brud på persondatasikkerheden. Så det tolker jeg som, at man vil kontrollere, at virksomheder har styr på hændelser, der omhandler personsikkerhed. Man skal f.eks. beskrive enhver hændelse, der involverer personhenførbare oplysninger. Det mest almindelige i følge Datatilsynets opgørelse er, at der bliver sendt en mail med personoplysninger til den forkerte modtager. Men der kan være andre hændelser, der ikke nødvendigvis kræver en anmeldelse til Datatilsynet. Men du skal stadig registrere hændelsen, så det er vigtigt, at du har en fast proces til dette. Lexoforms, som er den online service mine kunders GDPR data ligger i, har netop introduceret et hændelses modul.
  • Kontrol med databehandlere Du skal huske at kontrollere dine databehandlere. Du har indgået en aftale, men du er stadig den dataansvarlige. Så derfor skal du føre tilsyn med, at tingene er som aftalt. Nogle databehandlere får udført ekstern revisions kontrol, som du skal gennemse. Andre må du sende relevante sprøgsmål til, med det formål at sikre, at den databehandler aftale i har indgået, stadig lever op til jeres aftale. Jeg har skrevet denne artikel .Skal jeg føre tilsyn med mine Databehandlere?”
  • Overførsel af personoplysninger til tredjeland Med EU’s dom om at US Privacy Shield er ikke længere er gyldigt, har vi siden 16 juli 2020 ventet på en løsning. Der har været flere møder i EU, så forventningen er stadig, at EU og USA finder en løsning. EU’s udspil er Standard Contractual Clauses (”SCC”), så alt tyder på, at EU vil fastholde sin position. Høringsfristen for denne nye aftale var 10 december 2020, du kan følge udviklingen her. Nogle US baserede firmaer har udvidet deres aftaler med at respektere SCC, desværre har jeg ikke fundet et sted med oversigt over hilse firmaer som har tilsluttet sig SCC.

Du kan læse mere her om datatilsynets fokusområder

Læs videre

Qualys VMDR — en samlet platform med Vulnerability Management, Detection, og Response

Qualys introducerede en ny samlet platform Qualys VMDR – Vulnerability Management, Detection, og Response.

  1. Identificer alle kendte og ukendte enheder på den samlede hybrid platfrom
  2. Analyser og få et samlet overblik over sårbarheder og fejlkonfigurationer
  3. Fokuser på hvad er vigtigst NU baseret på viden om trusler og risiko, reducere tusinder af sårbarheder til få der er kritiske og bør fokuseres på nu.
  4. Patch sårbarheden ved et enkelt klik på en knap.
Læs videre

Hvad spørger Datatilsynet om ved Sikker mail tilsyn

Som opfølgning på mit nyhedsbrev fredag den 22. november 2019, som også kan læses som blogindlæg Reglerne omkring sikker mail er skærpet af Datatilsynet, har jeg kigget på de spørgsmål datatilsynet har offentliggjort om tilsyn udført i forbindelse med kryptering af email.

Hvis ikke du helt har styr på den tekniske side af sikker mail, vil jeg foreslå at du læser min artikel først.

Hvad spørger Datatilsynet om ved tilsyn omkring Sikker mail?

Læs videre

Microsoft mener det med IKKE og skifte password hver 3 måned

– Da jeg i dag loggede ind på min administrative Office 365 konto, fik jeg besked om, at Microsoft ikke længere anbefaler skift af password hver 3 måned som default.

Undgå unødvendige adgangskode ændringer.

Det kan være til mere skade end gavn at kræve, at personer ændrer adgangskode med jævne mellemrum, da det fører til mere forudsigelige adgangskoder og forstyrrer arbejdet. Det anbefales, at du angiver adgangskoder, der aldrig udløber.

Læs videre