Svindelforsøk mot Norad: Råd om forebygging av svindel ved utbetalinger

Norad ble i april i år utsatt for to forsøk på å manipulere en pengeoverføring. Det hele startet med en reell henvendelse. Derfor deler vi vår erfaring fra hendelsen og råd til Norads tilskuddsmottakere.

1. april mottok Norad en henvendelse fra en samarbeidspartner i utlandet med anmodning om utbetaling av 36 millioner kroner. E-posten var sendt fra samarbeidspartneren og signert av Norads kontaktperson for prosjektet. Denne e-posten var ikke forfalsket. Saksbehandler hos Norad bekreftet tilbake at beløpet ville bli utbetalt ved mottak av utbetalingsanmodning.

Ny betalingsmåte

14. april mottok Norad ved saksbehandler en ny e-post som på samme måte var signert av kontaktpersonen hos samarbeidspartner. Denne gangen med forespørsel om en ny betalingsmåte. Norad fikk spørsmål om å foreta utbetalingen av tidligere oversendt utbetalingsanmodning som en «wired payment» med utgangspunkt i de store valutasvingningene grunnet covid-19-situasjonen.

Vedlagt denne e-posten var et signert brev med nye kontoopplysninger. E-posten fremsto som troverdig og fulgte e-posttråden i den øvrige e-postkorrespondansen mellom samarbeidspartner og saksbehandler.

Saksbehandler videresendte e-posten til økonomiseksjonen med spørsmål om Norad hadde mulighet til å foreta utbetalinger på den måten som var beskrevet i e-posten. Økonomiseksjonen stusset over at det ble oppgitt en ny konto, og i samråd med denne tok saksbehandler kontakt med samarbeidspartneren for nærmere forklaring. Dette ble gjort ved å svare på e-posten som var mottatt.

Falsk e-postadresse

I e-postkorrespondansen som fulgte, ble det orientert om at organisasjonen var i gang med å revidere sitt regnskapssystem og som følge av dette var det også gjort endringer i organisasjonens bankforbindelser og konti. Saksbehandler var på dette tidspunktet ikke klar over at korrespondansen foregikk med en «falsk» e-postadresse.

Basert på annen informasjon og mistanke om svindelforsøk foretok saksbehandler likevel en grundigere gjennomgang av e-postene som var mottatt. Da oppdaget saksbehandler at avsenderadressen hadde et ørlite avvik: Det var blitt lagt til en bindestrek i e-postadressen. Saksbehandler varslet umiddelbart nærmeste leder som igjen informerte ledergruppa i Norad. Samarbeidspartner ble også varslet.

20. april mottok saksbehandler en ny e-post med utbetalingsanmodning. Anmodningen var nesten identisk med den opprinnelige (ekte), med unntak av kontonummeret. Denne gangen kom e-posten tilsynelatende fra en ansatt hos samarbeidspartners regnskapsavdeling. E-postadressen så denne gangen helt ekte ut: Det var ingen ekstra bindestrek i mailadressen. Ettersom man nå likevel var klar over at det var et svindelforsøk på gang, videresendte saksbehandler hos Norad e-posten til sin kontaktperson hos samarbeidspartner, som kunne bekrefte at den var falsk.

Anmeldelse og gransking

Svindelforsøket ble oppdaget og avverget fordi saksbehandleren og økonomiseksjonen i Norad var årvåkne og reagerte da de fikk en anelse om at noe var annerledes enn det skulle være.

Norad har informert Oslo Politikammer om forholdet og vil anmelde forholdet. Svindelforsøket granskes også hos samarbeidspartneren.

Lærdom: Risiko mot betalingsprosesser

Kriminelle anslag mot betalingsprosesser for å gjennomføre urettmessige utbetalinger eller utføre betalinger til urettmessig mottaker synes økende. Dette til tross for at teknologien på mange måter blir stadig sikrere.

Generelt i tider der kontrollene er svekket, herunder gjennom lavere bemanning, skifte av ansatte, skifte i bruk av teknologiske løsninger, endringer i interne rutiner, mindre fokus på og i gjennomføringen av kontroller mv., vil slike anslag opptre oftere.

Krisetider utnyttes av kriminelle. Det meste av svindelforsøkene vil være enkle å oppdage og avverge, og dette kan bidra til undervurdering av den reelle risikoen. Dermed er kanskje ikke kontrollene tilstrekkelige til å avverge den mer avanserte svindelen, og de ansatte er heller ikke tilstrekkelig observante eller opplært i å lese de røde flaggene. I de mest avanserte formene er det nesten ikke røde flagg å på få øye på, selv for et trenet blikk.

Opplæring nødvendig

Jevnlige og hyppige risikovurderinger knyttet til utbetalingsprosesser må gjennomføres. Virksomheten må holde seg oppdatert på kjente og nye svindelmetoder. Alle deler av virksomheten som er involvert i prosessen, må involveres i risikovurderingene og være del av internkontrollen som håndterer risikoen.

I takt med økt bruk av IT-baserte løsninger må virksomheten sikre seg mot avanserte former for ulovlig inntrengning, informasjonstyveri, sabotasje, og manipulering av intern informasjon, prosesser og ekstern kommunikasjon.

Alle ansatte må få jevnlig opplæring. De må kjenne til rapporteringsrutinene ved mistanker om at noe er feil som følge av kriminelle handlinger, enten det er forårsaket av interne eller eksterne, eller i et samarbeid mellom disse.

Bruk av e-post alene i betalingsprosesser og kommunikasjon gir ikke tilstrekkelig trygghet mot manipulering er en konkret lærdom av denne Norad-saken.

Publisert 18.05.2020
Sist oppdatert 18.05.2020