Politiet: Lite trolig at Norfund får igjen svindelpenger
Gigantsvindelen av Norfund følger et kjent mønster, mener politiet. De mener det er lite sannsynlig at Norfund noen gang får pengene tilbake.
Mens datainnbrudd er blitt mer vanlig i norsk næringsliv, er vellykkede svindelforsøk fortsatt uvanlig i bistandsbransjen. Men nå må aktørene i bransjen være svært årvåkne framover.
- Alle metodene som ble brukt mot Norfund er kjent fra før, sier politiadvokat Eivind Kluge i seksjon for finans- og spesiallovgivning ved Oslo Politidistrikt.
Han etterforsker saken der Norfund 12. mars i år ble svindlet for 100 millioner kroner da de skulle overføre penger til en mikrokredittinstitusjon i Kambodsja.
Ikke nok å få bekreftelse per e-post
- Jeg har ikke detaljkunnskap om hverken bank- eller bistandssektoren, så jeg vet ikke hvordan de vanligvis jobber med så store pengeoverføringer som dette. Men i etterpåklokskapens lys så kan man si at det kanskje er det uheldig å overføre så store pengebeløp uten ytterligere kontrollmekanismer. Det har Norfund vært inne på selv i en pressemeldingen, sier Kluge.
Han forteller at e-post-kommunikasjon (uten ytterligere kontroll) og etterfølgende overføring av penger er helt vanlig i internasjonalt næringsliv.
Les også:
- Norfund svindlet for 100 millioner kroner i avansert datainnbrudd
- Norad utsatt for to forsøk på nettsvindel
- Vi har hatt mange sånne saker. Man baserer seg ofte utelukkende på epost-kommunikasjon og overfører penger til en eller annen konto man får oppgitt. Og så har gjerningspersonen på en eller annen måte klart å infiltrere denne kommunikasjonen, sier han.
I næringslivet er det også ofte ønskelig at pengeoverføringer går raskt.
- Bankvesenet legger til rette for det. Det utnytter de kriminelle. Før svindelen blir oppdaget er pengene sendt og kanskje ført videre allerede, sier han.
- Millionene er trolig tapt
- Pengene fra Norfund ble i første omgang overført til Mexico. Tror du det er noe mulighet for å få disse pengene tilbake?
- Vi må jo prøve, men erfaringsmessig er det små muligheter nå. Vi har sett i andre saker at man benytter seg av en eller form for hvitvaskingsnettverk. Pengemulldyr, «money mules», er et begrep som brukes internasjonalt. Kontoene som blir brukt opprettes ofte utelukkende for å kunne transportere pengene videre på en måte slik at man ikke kan følge pengesporet. Enten fordi det går videre i mange ledd, eller fordi det tas ut i kontanter eller kjøp av varer. Det kan også være begge deler, sier Kluge.
- Hvordan jobber dere med Norfund-saken?
- Vi forsøker å opprette kontakt med det aktuelle landets politimyndigheter, og da går vi gjennom Interpol. Man må lage en formell anmodning, og det tar dessverre litt for mye tid for at det skal være noe særlig sjanse for å stanse pengene. Vi gjør et forsøk med det, men erfaringsmessig kommer vi ikke så langt med det. I beste fall finner du fram til en hvitvasker som har sendt pengene videre.
- Vi følger pengesporet og så gjør man en slags digital åstedsundersøkelse. Det holder vi på med nå på serverne der epostene har vært sendt fra. Erfaringsmessig er de kriminelle flinke til å bruke anonymiserte tjenester og opprette egne eposter bare for dette formålet. Det er dessverre slik at det er veldig lett å skjule seg på internett, sier Kluge.
Fortsatt lav bevissthet og flere angrep
En omfattende rapport publisert av det amerikanske nettsikkerhetsselskapet Proofpoint tidligere i år viser at bevisstheten om nettsikkerhet og epostkriminalitet fortsatt er svak mange steder i verden.
I en undersøkelse blant 3500 mennesker i arbeidslivet fant de at 90 prosent innrømmer at de bruker utstyr fra arbeidsgivere til private formål, og halvparten gir familie og venner tilgang tli sitt arbeidsutstyr.
Når de spurte 600 it-sikkerhetsansvarlig kom det fram at 55 prosent av organisasjonene var blitt utsatt for minst ett vellykket phishing-angrep det siste året. Phishing er en betegnelse på digital snoking eller «fisking» etter sensitiv informasjon, som passord eller kredittkortnummer.
Sikkerhetstrening
De fleste av de spurte innrømmet at bedre sikkerhetsopplæring av ansatte bidro til reduserte kyberangrep. Dette er noe Redd Barna er opptatt av.
- Det var en periode for et par år siden med ganske mange "spoofingmail", altså falske e-poster, som ser ut som om de er sendt fra ansatte. Vi har ikke gått på svindelforsøk som har fått økonomiske konsekvenser. Vi håndterer slike forsøk litt forskjellig avhengig av type og alvorlighetsgrad, sier Marta Haraldsen, leder for Transformasjon og Teknologi i Redd Barna.
Redd Barna har også sett en del forsøk på at noen utgir seg for å være «Daglig leder» og samtidig krever utbetaling av et større beløp.
- Her forhindrer våre interne rutiner at dette er mulig. For eksempel så må beløpet som skal utbetales være kjent og i linje med en eller annen budsjettpost. I tillegg må utbetalinger leveres på et bestemt skjema som skal signeres av 2 personer med riktig fullmakt, sier Haraldsen.
Redd Barna kjører it-sikkerhetskurs for alle nyansatte.
- Så har vi årlige sikkerhetskurs for ansatte for å bevisstgjøre. Vi informerer også ansatte når vi vet om slik type aktivitet. Vår erfaring er at ansatte er blitt flinke til å følge med på suspekte henvendelser med skeptisk blikk, sier Haraldsen.
Vil forebygge
Anders Østby, økonomisjef i Kirkens Nødhjelp, forteller at organisasjonen ikke har opplevd forsøk på nettsvindel, slik Norfund var utsatt for.
- Men vi er veldig bevisst på å følge med på utviklingen og holde oss oppdatert, sier han.
Østby innrømmer at det er krevende å arbeide for å unngå datainnbrudd.
- Vi vi er hele tiden oppmerksom på utviklingen innenfor dette området og innretter oss for å forebygge og hindre slik svindel. Dette er en stadig større utfordring for alle virksomheter, særlig for mindre lokale partnere, sier Østby.
Norfund har sagt at de i forbindelse med svindelsaken ønsker å være åpne slik at andre virksomheter kan lære og ta sine forholdsregler.
Høyt på agendaen
Utenriksdepartementet sier at de har risikoen for nettsvindel høyt på agendaen.
- UD har kjennskap til saker med elektronisk svindel eller forsøk på svindel, men i begrenset omfang. Slike saker blir håndtert i samarbeid med politiet, og vi har gjort tiltak for å lukke potensielle avvik i rutiner, sier pressetalsperson Siri R. Svendsen.
Hun understreker at temaet er sentralt i interninformasjon og opplæring, slik at rutinene er kjent og følges i samsvar med kravene.
- I tillegg jobber flere enheter i departementet tett sammen for å styrke det samlede forsvaret mot slike uønskede hendelser. Det jobbes også tett med bankene om disse problemstillingene, sier Svendsen til Bistandsaktuelt.
