I april skrev DN om en norsk sjokoladeimportør som hadde blitt svindlet for over 300.000 kroner da de skulle betale en leverandør i Bulgaria. Selskapet hadde fått en faktura via epost fra det som tilsynelatende var leverandøren. Kontonummeret ble endret i en hacket e-postutveksling, og pengene gikk til svindlere.

Nå viser det seg at selskapet ikke er alene om å bli svindlet med denne metoden.

Advokat Nils Christian Langtvedt i advokatfirmaet Hjort jobber med to klienter som er blitt svindlet for mellom åtte og 129 millioner kroner av organiserte kriminelle. Tilsynelatende virker en slik svindel enkel, men de økonomiske konsekvensene være store.

– De sakene dukker opp hos oss. Vi ser at det er et stort problem, og at det skjer stadig oftere, sier Langtvedt.

Situasjonen kan være vanskelig å oppdage fordi avsenders epostadresse er forfalsket – såkalt «spoofing» – slik at det tilsynelatende er en legitim intern betalingsinstruks.

Svindleren har gjerne fått tilgang til e-postutvekslingen mellom to parter, og har dermed informasjon som kontonummer, beløp som skal betales, navn og epostadresser.

– I noen tilfeller ser vi også at de kriminelle har lest epost mellom ansatte i selskapet. De kan da blande seg i kommunikasjonen etter at det er gitt en reell betalingsinstruks, og sender en manipulert instruks om å endre kontonummer for betalingen, sier Langtvedt.

Én av årsakene til at bedrifter ofte ikke får pengene tilbake, er at det er vanskelig å spore hvor de ender opp. Så snart summene sluses utenlands, er det fritt vilt.

– Pengene kanaliseres gjennom et nettverk av kontoer rundt omkring i verden. Det er vanskelig å spore og fryse midlene før de er tapt, sier Langtvedt.

– Dette er for lengst en velkjent form for bedrageri hos bankene, og i England og Nederland innføres det krav om at bankene kontrollerer at oppgitt navn på betalingsmottager stemmer over ens med kontoinnehaver, sier Nils Christian Langtvedt.
– Dette er for lengst en velkjent form for bedrageri hos bankene, og i England og Nederland innføres det krav om at bankene kontrollerer at oppgitt navn på betalingsmottager stemmer over ens med kontoinnehaver, sier Nils Christian Langtvedt. (Foto: Advokatfirmaet Hjort)

Økende problem

Svindel- og bedrageriekspert i DNB, Terje Fjeldvær, opplyser at banken så en kraftig økning i e-postsvindel i fjor.

– Vi jobber mye med såkalt e-postsvindel. I fjor opplevde vi en ganske kraftig økning i denne formen for svindel. Det er snakk om en videreutvikling av direktørbedragerier hvor vi ser mye kompromittert epost, skrev han i en epost til DN i april.

Bankenes ansvar

De to svindelofrene ønsker ikke å stille til intervju.

– Et særskilt spørsmål som oppstår der midlene er overført og anses tapt, er hvorvidt banken har en tilbakeføringsplikt eller et erstatningsansvar for tapet som er påført ved gjennomføring av transaksjonen, sier Langtvedt.

Forenklet kan man si at banken må tilbakeføre pengene dersom overføringen ikke er autorisert slik kontoavtalen fastslår. Det kan også være snakk om erstatning dersom det er manglende sikkerhet ved betalingstjenesten.

Slike saker har ikke vært oppe i norske domstoler tidligere, ifølge advokaten.

Langtvedt peker på engelske og nederlandske lovverk som gjør at bankene sitter med ansvaret for å dobbeltsjekke mottageren før de godkjenner transaksjonen.

– Et slikt regelverk i bankavtaleloven har vært etterlyst her i Norge. Ett forslag har vært oppe til diskusjon i Norge så tidlig som i 2006.

Mulig å beskytte seg

For Langtvedt er det viktig å formidle at det går an å beskytte ansatte og selskaper mot denne formen for svindel.

– For det først anbefaler vi at man oppdaterer kontrollrutinene ved betalingsoverføringer. Dette innebærer at man alltid benytter totrinnsautorisering og at man tar direkte muntlig kontakt med avsender.

Langtvedt forteller også at bedrifter bør ha IT-systemer med «anti-spoofing policy», som blant annet kan filtrere ut mistenksomme e-poster.

Ifølge Langtvedt er det viktig å reagere raskt, dersom du som ansatt i en bedrift blir utsatt for svindel.

– Man må kontakte banken for å forsøke å få transaksjonene stanset, og potensielt frosset i betalingsmottagers bank.

(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.