Statens Museum for Kunst har været udsat for såkaldt CEO-fraud. Det er lykkedes bedragere at udgive sig for at være museets direktør og få 805.000 kroner overført til flere udenlandske konti.
I vinterferien modtog flere medarbejdere på Statens Museum for Kunst (SMK) en mail. Afsenderen var tilsyneladende museets direktør, Mikkel Bogh, og mailen indeholdt en anmodning om en pengeoverførsel til en engelsk bankkonto.
»Det haster«, og »kan det være i dag?« lød det blandt andet i mailkorrespondancen.
»Der var kontakt flere gange, og det lykkedes mailskriveren at overbevise vores medarbejdere om, at det var afgørende, at overførslen fandt sted meget hurtigt,« fortæller SMKs vicedirektør og administrationschef, Anne Bak-Hansen.
Den næste dag overførte ansatte på SMK et beløb til den engelske bankkonto. De efterfølgende dage fulgte flere mail, der også så ud til at være fra Mikkel Bogh. De indeholdt lignende anmodninger, og da vinterferien lakkede mod enden, var i alt 805.000 kroner blevet overført fra SMK til flere udenlandske konti via en række pengetransaktioner.
Men det var ikke Mikkel Bogh, der havde skrevet de breve, som SMKs medarbejdere reagerede på. Det var kriminelle, der forsøgte – og havde held med – at begå såkaldt CEO-fraud, hvor kriminelle udgiver sig for at være chefen for at få medarbejdere til at tilsidesætte normale sikkerhedsprocedurer.
»Generelt benytter svindlere sig typisk af såkaldt social engineering i forbindelse med CEO-fraud. De arbejder med den menneskelige psykologi, mens de på samme tid samler en masse viden om en arbejdsplads, så de kan udgive sig for at være chefen,« siger centerleder Kim Aarenstrup fra Nationalt Cyber Crime Center under Rigspolitiet og forklarer, at svindlerne typisk bevidst optræder autoritært, når de udgiver sig for at være en direktør, så de intimiderer medarbejdere, som de på samme tid ofte sætter under et tidsmæssigt pres.
»Når folk er under pres, kan dømmekraften ofte svigte lidt,« siger Kim Aarestrup og forklarer, at det ikke er ualmindeligt, at de kriminelle orienterer sig på de sociale medier og slår til, når de kan se, at chefen er ude at rejse eller i en ferie, hvor der er en vis sandsynlighed for, at direktøren holder fri.
Mikkel Bogh var ikke på ferie eller bortrejst, da SMKs medarbejdere fik falske mail fra ham.
»Men vi er et stort hus, hvor vi ikke alle ser hinanden hver dag,« fortæller Anne Bak-Hansen, der er meget ærgerlig over bedrageriet.
»Det er bestemt ikke en sag, som vi er stolte af. Der er blevet begået menneskelige fejl, og vores regler og procedurer er ikke blevet overholdt,« siger Anne Bak-Hansen.
Da sagen stadig efterforskes af politiet, ønsker Anne Bak-Hansen ikke at udlevere korrespondencerne mellem SMKs ansatte og de kriminelle bedragere til Berlingske. Hun ønsker heller ikke at oplyse, hvor mange medarbejdere, der er blevet snydt af bedragerne.
»Men vi er jo en statslig institution, og i staten skal alle bankoverførsler altid foretages af to personer i forening. Så det drejer sig ikke om en enkelt person. Det er lykkedes bedragerne at snyde flere end én,« siger Anne Bak-Hansen.
Fredag i vinterferien gik det op for SMK, at noget var helt galt. Bedrageriet blev opdaget. Banken blev straks kontaktet, og tyveriet blev anmeldt til politiet. Det lykkedes SMK at få tilbageført 155.000 kroner. De øvrige 650.000 kroner er tabt.
Efterfølgende har SMK kigget kritisk på, om institutionens systemer og procedurer er robuste og sikre nok.
»Vi har efterfølgende skærpet kontrollen med bilagsmateriale og med udenlandske transaktioner. Vi har også indskærpet, at mail fra direktøren aldrig kan stå alene,« siger Anne Bak-Hansen og fortæller, at der i forhold til de involverede medarbejdere også har været et opfølgende forløb, som hun ikke ønsker at gå i detaljer med.
»Men det er klart, at de involverede medarbejdere også er meget chokerede over forløbet. I forbindelse med CEO-fraud spiller svindlerne på, at dedikerede medarbejdere i deres ønske om at bistå direktøren kommer til at tilsidesætte regler og procedurer, som de normalt vil følge,« siger Anne Bak-Hansen.
SMK har, efter bedrageriet blev opdaget, været udsat for flere forsøg på CEO-fraud, men disse er alle blevet opdaget i tide og anmeldt til politiet.
Det økonomiske tab på 650.000 kroner bliver dækket inden for SMKs bevillingsmæssige ramme, og museet oplyser, at der ikke er planer om at aflyse udstillinger som følge af bedrageriet.
