BROTTEN MOT FÖRETAGEN

Polisens larm: Ny våg av AI-bedrägerier drabbar företagare

Björn Seeth, samordnare på Polisens nationella bedrägericentrum. Bild: Lars Hedelin, Mostphotos

Polisen larmar om skenande företagsbedrägerier. Den nya trenden där kriminella utnyttjar AI för att klona röster och imitera personer är oroväckande, anser Björn Seeth, samordnare på Polisens nationella bedrägericentrum. ”Snart kan rösten bli en värdehandling”, säger han till TN.

Efter många varningar om telefonbedrägerier, så kallad vishing, mot privatpersoner, riktar nu fler kriminella in sig på företagare, rapporterar polisen. Det stora skiftet observerades för ett år sedan då bankerna varslade om begränsande åtgärder för hur mycket en privatperson kan överföra. Under året har antalet inkomna anmälningar från företag dessutom ökat markant.

– Vi ser en stor ökning på det här området den senaste tiden. Allt från enskilda firmor till aktiebolag och föreningar. Det finns också naturliga orsaker att vända sig mot företag då de hanterar större summor, berättar Björn Seeth, samordnare på Polisens nationella bedrägericentrum.

Företagare luras på miljoner

Oavsett om bedrägerierna sker via telefon eller sms är principen densamma. Du blir kontaktad för att verifiera din identitet via mobilt bankID, DigiPass eller QR-kod för att i slutändan ge kriminella tillgång till företagskonton eller att godkänna transaktioner.

En annan metod som används är vd-bedrägerier, även kallat BEC (business email compromise), som vänder sig mot större företag.

– Det här blev stort i Europa 2015 och bygger på mer avancerade metoder. Det går ut på att välja ut en person på ekonomiavdelningen och bygga ett förtroende. När man väl har gjort sig känd i avdelningen försöker man få kontaktperson att godkänna större betalningar och övertyga dem om att det handlar om en viktig affär. I vissa fall har bedragarna kunnat begära ut överföringar på upp till 700 miljoner kronor, säger Björn Seeth.

Utger sig för att vara vd

Det som började med muntliga telefonsamtal har mer och mer övergått till förfalskade e-postadresser där bedragaren utger sig för att vara vd och begär betalningar.

– Här används spoofade e-postadresser till exempel genom att kasta om bokstäver som "r” och ”n" för att få det att se ut som ett "m" eller att använda look-alike domäner som till exempel polisen.com istället för polisen.se. Även mindre företag har drabbats av e-postmeddelanden med brådskande betalningsförfrågningar, ofta på belopp runt 35 000 euro. Det här var ett särskilt stort problem för Sverige 2016, då många blev lurade, säger Björn Seeth.

Nya trenden: Blåser företagare med AI

På senare tid har det blossat upp en ny trend av BEC-attacker. Björn Seeth beskriver det som ett slags BEC 2.0, där kriminella utnyttjar AI:s förmåga att klona röster och imitera andras identiteter.

Ett känt fall inträffade för några månader sedan på en Hongkong-filial till ett större företag.

– Då gav bedragarna en medarbetare i uppdrag att göra en överföring motsvarande 250 miljoner kronor. Till en början blev hon misstänksam, vilket naturligtvis är jättebra. Men sen fick hon ett meddelande från en överordnad som sa att det är jätteviktigt. Därefter bjöds hon in till en videokonferens där flera medarbetare och även okända ansikten dök upp. I mötet sa den överordnade återigen att överföringen måste göras och att alla är överens. Det övertygade henne att till slut skicka pengarna, säger Björn Seeth.

”Det blir hela tiden enklare att snabbare och mer precist imitera olika personers röster.”

Än är AI-tekniken inte avancerad nog för att möjliggöra systematiska bedrägerier på bred front, försäkrar han.

– De som utför de här bedrägerierna förbereder rösten via en inspelning vilket gör att det bara fungerar som monolog. Men vi kan räkna med att bedragare kommer att testa och utnyttja de här teknikerna tills det går att skapa en mer trovärdig dialogform. Det blir hela tiden enklare att snabbare och mer precist imitera olika personers röster genom att samla röstdata från plattformar som Youtube, säger Björn Seeth.

Men med det sagt rekommenderar polisen företag att förbereda sig för en ökning av den här typen av brott.

– Man måste vara extra vaksam och fråga sig: Går det att lita på rösten som ber mig att göra en gigantisk transaktion? I framtiden kan det till och med innebära att rösten blir en värdehandling, säger han.

”Om du får ett samtal eller meddelande från någon som ber dig göra något, gör det aldrig någonsin.”

Tekniken har även sina fördelar. I samma takt med att den här typen av attacker ökar kommer AI hitta sätt att identifiera den här typen av bedrägerier. Men det gynnar ändå varje företag att förbereda sig för attackerna innan det är för sent, säger Björn Seeth.

– Det handlar helt enkelt om att ha medvetenhet om vad som väntar och skapa mer kontrollrutiner. När vi inte längre kan lita blint på tekniken måste företag skapa nya rutiner för att dubbelkolla betalningar och kräva signaturer för särskilda transaktioner. Det gäller såväl bedrägerier som andra tekniker som dataintrång eller andra skadliga attacker. För många är det här självklart. Men det är ändå värt att nämna det igen.

Oavsett hur sofistikerade bedrägeriverktygen blir, återstår en viktig huvudregel för att motverka bedrägerier, avslutar Björn Seeth.

– Om du får ett samtal eller meddelande från någon som ber dig göra något, gör det aldrig någonsin.