Udviklingen af cyberkriminelle og social engineering-krav

Hvert sjette minut anmelder en australier en cyberforbrydelse. Alene i 2024 udgjorde de anmeldte tab som følge af svindel svimlende 2,74 milliarder australske dollar. Heraf udgjorde Business Email Compromise (BEC), også kendt som social engineering-svindel, 91,6 millioner australske dollar. Disse tal understreger både den stigende omfang og sofistikering af cyberkriminalitet – og de voksende udfordringer, det medfører for forsikringsselskaber, virksomheder og enkeltpersoner.

Fra hættetrøjer til virksomhedsstrukturer

Når vi forestiller os en cyberkriminel, kommer billedet ofte fra film: en ensom skikkelse i en hættetrøje, der arbejder i mørket foran en lysende skærm. Selvom disse skurke stadig eksisterer, ser den moderne cyberkriminelle meget anderledes ud.

I dag opererer mange inden for strukturerede organisationer, der afspejler legitime virksomheder. Kriminelle rekrutteres, får løn og modtager endda bonusser og ferie. Rekrutteringsprocesserne foregår på det mørke internet, hvor cyberkriminelle skal fremvise referencer og bestå færdighedstests, ligesom i erhvervslivet. 

Statsstøttede grupper, især i Nordkorea og Rusland, tager dette til et helt nyt niveau ved at investere massivt i teknologi og forskning for at forbedre deres evner. Denne udvikling har gjort det muligt for dem at iværksætte stadig mere komplekse og overbevisende svindel i stor skala.

Fremkomsten af sofistikeret social engineering

For ti år siden bestod social engineering-angreb typisk af klodsede e-mails fyldt med stavefejl, vage instruktioner og uoverensstemmende e-mailadresser. Disse svindelnumre var relativt lette at gennemskue.

I dag bruger cyberkriminelle datamining, open source-research og stjålne forretningsoplysninger til at udforme langt mere overbevisende angreb. Ved at gennemsøge platforme som LinkedIn identificerer kriminelle finansfolk med beføjelse til at flytte penge og tilpasser deres kommunikation i overensstemmelse hermed. Disse e-mails afspejler nu legitim korrespondance og anvender den rette tone, det rette sprog og endda kælenavne, der bruges i virksomheden.

I nogle tilfælde tilbringer kriminelle flere uger inde i et kompromitteret netværk, hvor de studerer arbejdsgange, leverandørforhold og kommende fakturaer for at udarbejde meget målrettede svindelforsøg. Resultatet: færre advarselsflag og større chance for succes.

AI's og deepfakes rolle

Kunstig intelligens har dramatisk fremskyndet udviklingen inden for social engineering. Deepfake-teknologi gør det nu muligt for kriminelle at replikere stemmer og endda ansigter på ledende medarbejdere på en overbevisende måde.

I en meget omtalet sag godkendte en medarbejder i et multinationalt selskab i Hongkong en betaling på 200 millioner HKD (ca. 39,5 millioner AUD) efter at have deltaget i et Zoom-møde med det, der så ud til at være den øverste ledelse. Det eneste problem? Ledelsen var AI-genererede deepfakes.

Deepfakes er ikke længere de klodsede, robotagtige forfalskninger, som de var for få år siden. I dag er de meget realistiske, hvilket gør det svært – selv for uddannede fagfolk – at se forskel. Kombineret med stjålne stemmeoptagelser og videoklip, der kan hentes fra internettet, kan kriminelle nu skabe meget overbevisende efterligninger.

Set fra et kravsperspektiv udgør dette en betydelig udfordring. Svindel via tale- og videosamtaler efterlader kun få spor på papir, hvilket gør det vanskeligt at verificere. Desuden er ofrene måske ikke klar over, at de er blevet snydt, før langt senere, hvilket mindsker sandsynligheden for at kunne inddrive pengene via bankerne.

Nye trusler: AI-agenter

Den næste front i cyberkriminalitet forventes at være AI-agenter – autonome systemer, der er i stand til at ræsonnere, lære og træffe beslutninger uden menneskelig indgriben. I modsætning til nutidens AI-assistenter, der kræver kommandoer, kan AI-agenter handle uafhængigt.

I en cyberkriminel sammenhæng betyder dette, at en AI-agent kan:

• Søg efter mål på internettet
• Opbyg CRM-databaser med finansielle fagfolk
• Udarbejd overbevisende korrespondance
• Send tusindvis af svindel-e-mails i stor skala

Og alt sammen uden menneskelig overvågning. Omkostningerne er minimale, rækkevidden er enorm, og selvom kun ét forsøg lykkes, kan afkastet være betydeligt.

Lovgivningsmæssige og bankmæssige reaktioner

Regeringer og finansielle institutioner reagerer. I februar 2025 blev loven om rammer for forebyggelse af svindel vedtaget i Australien, som kræver, at banker implementerer strengere kontrolforanstaltninger for at opdage, forebygge og forhindre svindel.

Udviklingen omfatter blandt andet, at Australian Banking Association har indgået Scam-Safe Accord, der omfatter en investering på 100 millioner dollars i teknologi til navnekontrol, som verificerer, om kontonavnet stemmer overens med det indtastede BSB-nummer og kontonummer. Andre initiativer omfatter øgede advarsler, tilbageholdelse af betalinger til nye bankkonti og yderligere sikkerhedsspørgsmål.

Vi forventer, at disse kontroller kan medføre operationelle udfordringer for SMV'er, som bør overvejes og, hvor det er muligt, planlægges på forhånd. Eventuelle forsinkelser i betalinger kan f.eks. forstyrre leverandørernes likviditet.  

Konsekvenser for forsikringskrav

Fra et forsikringsmæssigt perspektiv har forsikringsbetingelserne også udviklet sig. Mange forsikringer indeholder nu undtagelser eller højere selvrisici, hvis visse kontrolforanstaltninger ikke er på plads eller ikke overholdes. For eksempel kan forsikringsselskaber kræve:

• Telefonisk bekræftelse af ændringer i leverandørens bankkontooplysninger
• Opgaveadskillelse ved behandling af fakturaer
• Dokumenterede procedurer for godkendelse af betalinger

Domstolene har gentaget denne holdning. I 2025 holdt en domstol i Western Australia en virksomhed ansvarlig for at have betalt en svigagtig faktura, efter at dens verifikationsmetoder blev anset for utilstrækkelige. Forventningen er klar: Virksomheder skal træffe rimelige foranstaltninger for at beskytte sig selv.

Hvad organisationer kan gøre

På trods af angrebets sofistikerede karakter kan virksomheder reducere risikoen betydeligt ved at indføre de rette processer:

• Verifikationsprotokoller: Bekræft altid ændringer i bankoplysninger via telefon ved hjælp af uafhængige telefonnumre.
• Medarbejderempowerment: Tilskynd medarbejderne til at stille spørgsmålstegn ved usædvanlige anmodninger, selv fra "ledende medarbejdere".
• Uddannelse: Opdater medarbejderne regelmæssigt om nye trusler og advarselssignaler.
• IT-kontrol: Implementer multifaktor-godkendelse, begræns administratorrettigheder og håndhæv regelmæssige adgangskodeændringer.

I sidste ende er årvågenhed på individ- og organisationsniveau stadig det stærkeste forsvar.

Hvordan Sedgwick kan hjælpe

Fremkomsten af sofistikeret cyberkriminalitet understreger den stigende kompleksitet i håndteringen af skadesanmeldelser. Hver enkelt sag kræver en omhyggelig analyse – ikke kun af det økonomiske tab, men også af overholdelsen af forsikringsbetingelserne, verificeringsprocesserne og udsigterne til erstatning.

Hos Sedgwick har vores team af retsmedicinske revisorer den nødvendige ekspertise til at håndtere disse udfordringer. Som en af Australiens største grupper af retsmedicinske revisorer hjælper vi forsikringsselskaber, virksomheder og juridiske kunder med nøjagtig og omfattende kvantificering og løsning af cyber- og social engineering-krav. Ud over cyberkriminalitet arbejder vores specialister med en bred vifte af specialkrav og sikrer klarhed, nøjagtighed og pålidelige resultater i komplekse situationer.

Hvis du vil vide mere om, hvordan Sedgwick kan hjælpe dig med cyber-, social engineering- eller specialskadesager, kan du kontakte Beth Fieldhousepå [email protected], Lucy Tangpå [email protected]eller Emma Levettpå [email protected].