Bluffakturor
Det troligen allra vanligaste bedrägeriet är bluffakturor, dvs fakturor som skickas från någon som inte har utfört en tjänst eller sålt en produkt till ett företag. Det är relativt vanligt att sådana fakturor betalas, antingen av en vikarie på plats under sommaren eller av ordinarie personal som inte tar sig tiden att kontrollera fakturan innan den försvinner in i betalningsflödet.
Det finns många sätt att skydda sig mot den här typen av bedrägeri och ett av de viktigaste är att ge eventuella sommarvikarier tydliga instruktioner om vilka fakturor som ska betalas och hur fakturor ska och kan kontrolleras. Om man ger alla leverantörer besked om hur fakturorna ska specificeras ökar chanserna att känna igen en faktura som avviker från mängden.
Många leverantörer har standardiserade fakturor och kanske inte kan anpassa dem efter företagets önskemål, och då gäller det att den manuella kontrollen fungerar. På en seriös faktura finns kontaktuppgifter som kan kontrolleras och en seriös faktura bör också ha en tydlig specifikation på vad fakturan gäller. Leverantören kan kontrolleras mot leverantörsregistret och om leverantören saknas där, bör den interna kontakten på fakturan kontaktas för dubbelkoll. En faktura som det står ”timmar. 1000 kr” på bör kontrolleras både internt och externt, dvs kan någon internt bekräfta att beställningen gjorts och arbetet utförts och kan leverantören bekräfta vad som faktiskt gjort och vem som beställt arbetet.
Kontrollerna är enkla att göra, men tar lite arbetstid att genomföra. Risken är störst under sommaren, då bedragarna räknar med att det är vikarier på plats för att utföra arbetet. Då är det som sagt extra viktigt att se till att vikarien har som tydlig uppgift att kontrollera alla fakturor, framför allt från företag som inte finns i leverantörsregistret.
Bedragare ändrar betalningsuppgifter som skickas via epost
Bedrägeriet går ut på att skicka felaktiga betalningsuppgifter till en kund, så att betalningen går in på bedragarens konto istället för till leverantören. Bedragaren skaffar sig tillgång till tex en säljares e-postkonto och kan därmed läsa säljarens alla e-postmeddelande. När det är dags att avsluta en affär begär ofta kunden uppgifter om betalning, framför allt vid internationella betalningar, när inte enkelt bankgiro kan användas.
Ofta skickar företaget i Sverige uppgifter om betalningen till kunden som en PDF och inkluderar bankuppgifter, IBAN, SWIFT och annat som behövs vid betalningen. Bedragaren som har tillgång till e-postkontot får därmed också tillgång till PDF-filen med företagets logo och alla uppgifter och kan då redigera filen. Efter redigering skickas filen till kunden, med uppgifter om att den föregående filen var felaktig.
När kunden bekräftar den nya filen tar bedragaren bort det e-postmeddelandet i säljarens inkorg så att inga misstankar om bedrägeriet uppstår. Betalningen genomförs till fel konto och efter några veckor börjar kunden fråga efter de beställda och betalda produkterna som inte kommit. Detta gör att bedragaren har god tid på sig att se till att pengarna försvinner från mottagarkontot, vilket i sin tur gör det nästan omöjligt att nå framgång i att försöka få tillbaka pengarna.
I ett bedrägeri av denna typ i Sverige nyligen hade bedragaren ett konto i SEB, samma bank som företaget självt hade, vilket gjorde att kunden inte blev misstänksam. På grund av banksekretess vägrade banken att berätta för företaget som blivit bedraget vem som ägde kontot och polisen tog många veckor på sig att starta en undersökning. Försäkringsbolaget ville inte heller befatta sig med ärendet, eftersom företaget ansågs ha varit oförsiktig med sina e-postkonton. Enligt polisen är det vanligaste i sådana här fall att målvakten som står för kontot i den svenska banken omedelbart distribuerar pengarna som tagits emot på många olika konton i Sverige och utomlands, vilket gör spårningsarbetet för polisen mycket omfattande.
För att skydda sig mot det här bedrägeriet är det viktigt med tvåfaktorsautentisering av alla e-postkonton på företaget. Genom att ha det blir det mycket svårare eller närmare omöjligt för en bedragare att komma åt företagets epost och kan därmed inte på ett lätt sätt skicka felaktiga betalningsuppgifter till en kund vid rätt tillfälle.
Ett ytterligare sätt att skydda sig är att bekräfta betalningsuppgifter via mer än en kanal, dvs skicka uppgifter via epost och sedan ringa kunden och bekräfta uppgifterna. Telefonnumret som ska ringas ska då vara detsamma som listas på kundens hemsida, för att minimera risken att telefonnumret som man fått från kunden kommer från en bedragare som tagit sig in i kundens e-postkonton.
För betalningar inom Sverige är risken mindre, eftersom sådana oftast görs via bankgiro och man kan se vem som äger bankgirot när betalningen genomförs. Vid internationella betalningar är det betydligt svårare eftersom man inte går någon som helst bekräftelse på att bankuppgifterna är korrekta.
Affärsmöjligheter utomlands, ofta i Västafrika
Ett ganska vanligt bedrägeri mot europeiskt och svenska företag är att någon skapar falska affärsmöjligheter i länder med begränsad internetanvändning och med ett sämre fungerande samhälle. Den falska affärsmöjligheten kan vara kopierad från en verklig på något annat håll i världen och därmed se realistisk ut. Måltavlan (eller måltavlorna) för bedrägeriet kontaktas och uppmärksammas om affärsmöjligheten, och det kan till och med genomföras en fullständig anbudsprocess om den påhittade kunden är en offentlig myndighet eller en påhittad upphandlingsorganisation för myndigheter.
I ett bedrägeriförsök från 2022 där ett svenskt företag utsattes skapades en upphandling i Togo i Afrika och den upphandlade ”myndigheten” angavs som en samarbetsform mellan olika myndigheter i flera västafrikanska länder. Namnet på myndigheten kompletterades med fungerade telefonnummer, e-postadresser och en, för regionen, väldesignad hemsida. Företaget lämnade in ett anbud på upphandlingen, som specificerats på ett föredömligt sätt och med ett rimligt inköpsbelopp och produktvolym för marknaden. Efter ungefär sex månader fick företaget besked om att upphandlingen vunnits, att kunden skulle betala i förskott (vilket är vanligt i regionen), och att det översända köpeavtalet behövde skrivas under.
Alla dokument var välgjorda och allt såg korrekt ut. Eftersom beloppet var rimligt, kunden verkade finnas och kunden uppförde sig som en riktigt kund, både via telefon och epost, fanns det ingen anledning till oro. Kunden föreslog ett möte i Togo för att signera avtalet och erbjud sina tjänster för att hämta upp vid flygplatsen inför mötet. Som alternativ till att fysiskt komma till Togo föreslog kunden att en lokal advokat kunde anlitas för att skriva på dokumentet med fullmakt från det svenska företaget.
Oavsett fullmakt och oavsett det fysiska mötet, menade kunden att lokal legal representation behövdes för att fullfölja avtalet. Detta baserat på myndigheternas krav i Togo. Kunden föreslog dessutom en advokatfirma som skulle kunna hjälpa till och som var auktoriserad av myndigheterna i landet för sådana tjänster.
Advokatfirman som kunden rekommenderade hade en välfungerande hemsida, epost och telefonnummer. Alla kontrollerades av kunden för att vara säker på att firman fanns på riktigt och var seriös innan ett avtal med firman skulle skrivas. Firman skickade dessutom ett professionellt avtalsförslag med kostnadsuppskattning till kunden i Sverige. För att kontrollera firman försökte den svenska kunden förhandla om priset och advokatfirman skötte detta på ett professionellt och trovärdigt sätt.
Kunden i Togo hade relativt bråttom och ville få köpeavtalet signerat och vidimerat av advokatfirman inom tre veckor. Det svenska företaget ringde Togos ambassad i Berlin, vilket är den närmsta ambassaden för Togo, och frågade om upplägget och om både kunden och advokatfirman i Togo kunde kontrolleras eller bekräftas. Beskedet från ambassaden var att det gick att kontrollera, men att det skulle ta minst tre veckor på grund av långsam postgång och långsamma myndigheter.
Det svenska företaget hade vissa misstankar vid det här laget och att kunden hade bråttom i kombination med att det tog lång tid att verifiera kunden var avgörande för att misstankarna skulle utvecklas till starka misstankar om bedrägeri. Företaget anlitande en annan advokat i Togo för att undersöka både advokatfirman och kunden och fick snabbt besked om att ingendera fanns på riktigt. Kunden kontaktades med besked om att en annan advokatfirman än den som de rekommenderat hade anlitats, vilket gjorde kunden mycket upprörd. Detta bevisade bedrägeriet och kontakten upphörde.
Det bedragaren var ute efter var att det svenska företaget skulle förskottsbetala advokatarvodet (eller betala efter att ”tjänsten” utförts). Den påstådda affären var på ungefär 15 miljoner kronor och advokatarvodet var i storleksordningen 50 000 kr, vilket gjorde det mycket litet i sammanhanget. Om misstankar inte uppstått, tex efter kontakten med Togos ambassad, hade pengarna lätt kunnat betalas och sedan hade ”kunden” blivit tyst och försvunnit.
Anledningen till att länderna i Västafrika är vanliga utgångsländer för bedragarna är att både internetmognaden och kontaktmöjligheterna via telefon är begränsade, vilket gör det mycket svårt att kontrollera om en påstådd kund eller myndighet finns på riktigt. Även riktiga myndigheter har begränsade och gammeldags hemsidor, vilket gör att en bedragare snabbt och enkelt kan sätta upp en hemsida som är minst lika bra som en äkta. Genom att göra affärsmöjligheten trovärdig, och till och med sätta upp en hel upphandlingsprocess, och göra avgifterna rimliga är det lätt gjort att falla för bedrägeriet.