När bedragaren lånar en betrodd relation
Företag, kommuner, regioner och myndigheter utsätts ofta för bedrägerier där angriparen inte behöver kapa ett bolag formellt. Det räcker att imitera en trovärdig relation: en kund, en leverantör, en chef, en pågående affär eller ett riktigt bolags identitet.
Misstänker du bedrägeri? Polisanmäl direkt.
Om ni misstänker att organisationen har blivit utsatt för bedrägeri ska händelsen anmälas till Polisen omgående. Det är sedan utredare och åklagare som ska bedöma brottsmisstanken, bevisningen och nästa steg.
Vänta inte på att intern utredning, leveranskontroll eller försäkringsfråga ska bli färdig innan ni anmäler. Spara underlag, men låt inte osäkerhet om rubricering eller modus hindra en polisanmälan.
Ring 114 14
Används för polisanmälan när brottet inte pågår just nu och Polisen inte behöver vara på plats direkt.
Ring 112 vid pågående brott
Används om brottet händer nu, om gärningsperson kan stoppas eller om Polisen behövs snabbt på plats.
Kontakta bank och speditör
Vid betalning eller leverans: försök stoppa transaktion, kolli, utlämning eller ändrad leveransadress direkt.
Det här är inte alltid bolagskapning
Varningskollen använder begreppet bolagsimitation för fall där bedragaren inte ändrar uppgifter hos Bolagsverket, utan i stället imiterar ett riktigt bolag genom snarlik domän, falsk e-post, kapad kontaktväg eller manipulerad leveransdialog.
Det avgörande är inte bara om organisationsnumret stämmer. Den avgörande frågan är om kontaktvägen verkligen tillhör den kund, leverantör eller motpart som den påstår sig tillhöra.
Grundregel
Kontrollera kontaktvägen – inte bara bolaget.
Ring tillbaka via tidigare känd växel, tidigare avtal, tidigare faktura, etablerad kundkontakt eller annan oberoende kontaktväg. Använd inte bara telefonnummer, e-postadress eller länk som finns i den nya beställningen.
Samma bedrägerifamilj i olika skepnader
VD-bedrägerier, BEC, man in the email och kreditbedrägerier med snarlik domän bygger på samma princip: bedragaren placerar sig i en relation som redan är betrodd. Skillnaden ligger i hur mycket förarbete som har gjorts.
Enkel imitation
Någon utger sig för att vara chef, vd eller beslutsfattare och kräver snabb åtgärd.
Relationell imitation
Någon låtsas vara kund, leverantör eller samarbetspartner i en affärsrelation.
Teknisk närvaro
Bedragaren har läst verkliga e-posttrådar och kliver in när affären ska faktureras.
Identitetsimitation
Ett riktigt bolag imiteras med snarlik domän, falsk e-post och styrd leveransdialog.
Två särskilt viktiga modus
Kreditbedrägeri med snarlik domän
Bedragaren registrerar en domän som liknar ett riktigt bolags domän. Registreringen kan se ut att höra till det riktiga bolaget, och webben kan till och med skickas vidare till bolagets riktiga webbplats.
E-postadresser på den snarlika domänen används sedan för att beställa varor på kredit. Leveransen styrs därefter om, eller hämtas upp innan det riktiga bolaget märker något.
Man in the email och BEC
Bedragaren kan ha tillgång till en verklig e-postmiljö, eller följa en verklig affär på annat sätt. När rätt tillfälle uppstår skickas en ny faktura, ett nytt kontonummer eller en ändrad betalningsinstruktion.
Eftersom meddelandet kan hänvisa till en riktig konversation är det ofta svårt att upptäcka med en ytlig kontroll.
10 kontroller innan varor eller pengar lämnar organisationen
-
1
Kontrollera om e-postdomänen är tidigare känd. Jämför med tidigare avtal, tidigare order, tidigare fakturor och bolagets etablerade kontaktvägar.
-
2
Var vaksam på snarlika domäner. Kontrollera extra vid bindestreck, extra ord, felstavning, annan toppdomän eller domän som inte tidigare använts.
-
3
Lita inte enbart på organisationsnummer. Ett korrekt organisationsnummer visar bara vilket bolag som imiteras. Det visar inte att kontaktpersonen företräder bolaget.
-
4
Ring tillbaka via oberoende kontaktväg. Använd växel, tidigare kundkontakt eller annan känt säker väg. Ring inte bara numret i den nya beställningen.
-
5
Stoppa vid ändrat kontonummer. Nytt bankgiro, IBAN, betalningsmottagare eller ny fakturaversion ska alltid verifieras utanför e-posttråden.
-
6
Stoppa vid ändrad leveransadress. Om kunden eller speditören får ny instruktion efter order ska ärendet pausas tills motparten är verifierad.
-
7
Inför tvåpersonerskontroll vid riskorder. Stor order, ny kundkontakt, kreditköp, export, dyr utrustning eller brådskande leverans ska ha extra attest.
-
8
Misstänk brådska och sekretess. Krav på snabb hantering, undantag från rutin eller att frågan inte får diskuteras internt är varningssignaler.
-
9
Kontrollera även den egna e-postmiljön. Vid misstänkt manipulerad faktura eller e-posttråd bör IT kontrollera webbmail, vidarebefordringar och inloggningar.
-
10
Dokumentera och dela indikatorer internt. Spara e-post, domäner, telefonnummer, bankuppgifter, leveransadresser och försök till ändrade instruktioner.
Vad har ändrats?
En praktisk tumregel är att stoppa processen när något i relationen förändras. Bedragaren försöker ofta få en legitim process att fortsätta, men med en liten ändring som styr varor eller pengar till fel mottagare.
| Förändring | Typisk förklaring från bedragaren | Rekommenderad kontroll |
|---|---|---|
| Ny e-postdomän | Vi har bytt domän, bytt system eller använder ny avdelningsadress. | Jämför mot tidigare kända domäner och verifiera via gammal kontaktväg. |
| Nytt kontonummer | Vi har bytt bank, uppdaterat betalningsrutiner eller skickar ny faktura. | Ring tidigare känd kontakt och dokumentera vem som bekräftade ändringen. |
| Ny leveransadress | Projektplats, lagerbyte, akut ändring eller speditörsinstruktion. | Pausa leveransen och verifiera via tidigare känd beställare. |
| Ny kontaktperson | Kollega tar över, ordinarie person är borta eller ärendet är brådskande. | Kontakta tidigare känd person, växel eller registrerad kontakt. |
| Ny fakturaversion | Tidigare faktura var fel, annullera den och använd den nya. | Kontrollera fakturans konto, avsändardomän och affärens historik separat. |
Incidentrutin om något känns fel
1. Stoppa
Pausa betalning, kreditbeslut, orderplock och leverans tills kontaktvägen är verifierad.
2. Verifiera
Kontakta motparten via tidigare känd kanal. Använd inte uppgifter i det misstänkta meddelandet.
3. Säkra
Spara e-posthuvuden, domäner, telefonnummer, fakturor, bankuppgifter och leveransuppgifter.
4. Polisanmäl
Gör polisanmälan omgående vid misstanke om bedrägeri. Utredare och åklagare ska bedöma brottsmisstanken.
Vid genomförd felaktig betalning är tiden kritisk. Kontakta banken omedelbart och be dem försöka stoppa eller spåra transaktionen. Ring 114 14 för polisanmälan, eller 112 om brottet pågår eller Polisen behövs snabbt på plats.
Varför detta sällan syns i statistiken
Den här typen av bedrägeri kan falla mellan flera kategorier: bedrägeri, kreditförlust, leveransförlust, fakturabedrägeri, BEC, försök till bedrägeri eller intern avvikelse. Många försök stoppas tidigt, många förluster hanteras civilrättsligt och många händelser anmäls aldrig. Därför riskerar problemet att underskattas i traditionell kriminalstatistik.
Varningskollens formulering
Det som ofta kallas bolagskapning är i praktiken ofta en kapning av förtroendet för bolaget. Kontrollen behöver därför flyttas från enbart bolagets existens till den faktiska kontaktvägens autenticitet.
Källor och vidare läsning
Denna sida bygger på Varningskollens egna erfarenheter och öppna källor om BEC, företagskapning, domänregistrering och affärsrelaterade betalningsbedrägerier.
- FBI: Business Email Compromise och Email Account Compromise.
- NCSC Schweiz: Business E-Mail Compromise och manipulerade fakturor.
- NCSC UK: Business payment fraud och åtgärder vid misstänkt betalningsbedrägeri.
- Polismyndigheten: anmäl bedrägeri, kontakta bank vid ekonomisk skada och ring 112 om brottet pågår.
- Bolagsverket: information om företagskapning och skydd av företagsuppgifter.
- Internetstiftelsen: domänsökning, innehavare och verifiering av domäninnehavare.