Fund transfer fraud
Fund transfer fraud – også kendt som overførselssvindel eller CEO-fraud/Social Engineering Fraud ( SEF) – er en form for digital bedrageri, hvor kriminelle manipulerer medarbejdere til at overføre penge eller fortrolige oplysninger. Angrebene er ofte målrettede og udnytter tillid, hierarki og travlhed i virksomheden. Formålet er som regel økonomisk gevinst, men konsekvensen kan være både økonomisk tab, tab af data og skade på virksomhedens omdømme.
Fund transfer fraud – eller overførselssvindel – er en voksende form for digital kriminalitet, hvor svindlere udgiver sig for ledere eller samarbejdspartnere for at få medarbejdere til at overføre penge. Angrebene er ofte overbevisende og velplanlagte, men med de rette sikkerhedsprocedurer kan de forhindres.
Sådan foregår fund transfer fraud
Svindlen starter ofte med, at gerningsmanden udgiver sig for at være en leder, økonomiansvarlig eller samarbejdspartner. Gennem e-mail, telefonopkald eller beskeder opfordres en medarbejder til at gennemføre en “hastende” betaling – ofte ledsaget af plausible forklaringer og et troværdigt afsendernavn.
Kriminelle bruger ofte informationer fra sociale medier, virksomhedens hjemmeside eller tidligere datalæk for at gøre kommunikationen mere realistisk. De kan fx kende lederens tone, underskrift eller mønster i e-mails, så svindlen virker ægte.
Typiske kendetegn ved fund transfer fraud
- En e-mail eller besked fra en “chef” eller “direktør”, der beder om en hurtig bankoverførsel.
- Krav om fortrolighed: medarbejderen må ikke drøfte anmodningen med andre
- Ændrede betalingsoplysninger på fakturaer fra kendte leverandører.
- Telefonopkald, hvor svindleren bekræfter “den nye konto”.
Eksempler på fund transfer fraud
- En økonomimedarbejder modtager en e-mail fra “direktøren” med besked om at overføre et beløb til en “ny samarbejdspartner” – men e-mailen er falsk.
- En leverandørfaktura bliver opsnappet og ændret, så pengene sendes til en kriminels konto.
- En svindler ringer og udgiver sig for virksomhedens bankrådgiver, der beder om bekræftelse af en “testoverførsel”.
Konsekvenser for virksomheden
Konsekvensen af et vellykket fund transfer fraud-angreb kan være betydelig:
- Direkte økonomisk tab, ofte i millionklassen.
- Brud på tillid mellem medarbejdere og ledelse.
- Risiko for datalæk eller kompromittering af interne systemer.
- Skade på virksomhedens omdømme og relationer til kunder og leverandører.
Sådan beskytter I virksomheden mod fund transfer fraud
- Verificér altid betalingsanmodninger: Særligt hvis de afviger fra normale procedurer – ring direkte til afsenderen på et kendt nummer.
- Indfør 2-trinsgodkendelse på betalinger: Kræv, at to personer godkender større overførsler.
- Træn medarbejdere i social engineering: Hjælp dem med at genkende pres, hastværk og urealistiske anmodninger.
- Brug tekniske kontroller: E-mailfiltrering, domænebeskyttelse (DMARC, DKIM, SPF) og overvågning af kontoanmodninger.
- Skab en kultur, hvor medarbejdere tør spørge: Det skal være trygt at sige “jeg vil lige dobbelttjekke”.
Ved at kombinere teknologisk sikkerhed med klare interne processer kan virksomheden markant reducere risikoen for overførselssvindel.
Få hjælp til virksomhedens cybersikkerhed
Vil I have hjælp til at kortlægge risici, lave træning for medarbejdere eller få en sårbarhedstest? Kontakt os for en snak om, hvordan vi kan hjælpe jer med en konkret handleplan tilpasset jeres virksomhed.
Spørgsmål og svar om fund transfer fraud
Fund transfer fraud – også kaldet overførselssvindel eller CEO-fraud – er, når svindlere manipulerer medarbejdere til at overføre penge eller følsomme oplysninger til en falsk konto.
Vær opmærksom på uventede betalingsanmodninger, krav om fortrolighed, ændrede kontonumre og e-mails med let ændrede domæner (fx @firma.co i stedet for @firma.com).
Ikke helt. Phishing handler om at stjæle oplysninger via falske links eller beskeder. Fund transfer fraud udnytter derimod tillid og social manipulation for at få medarbejdere til at overføre penge direkte.
Indfør procedurer for bekræftelse af betalinger, brug totrinsgodkendelse, uddan medarbejdere og implementér domænebeskyttelse (SPF, DKIM, DMARC) for at forhindre e-mail-forfalskning.
Kontakt straks banken for at forsøge at stoppe transaktionen, anmeld hændelsen til politiet og informér den it-sikkerhedsansvarlige. Derefter bør I evaluere procedurer og træning for at undgå gentagelser.