Vårt delingshjørne
Marcus Sahlin
Pettersen
6. februar 2020
Forrige uke ble Alv forsøkt svindlet.
Gjennom å utgi seg for å være meg (les Daglig leder), og begynne en mailsamtale med økonomisjefen vår, var målet å få han til å overføre et større beløp til en italiensk bank.
Du kan se mer om svindelforsøket i episode 23 av vår videoserie, som du finner her.
https://www.youtube.com/watch?v=Tymcmz8oeq4
Hovedgrunnen til at svindelforsøket ble stoppet, er at Michael (CFO) kjenner meg så godt at han følte det naturlig å ta en uformell tilnærming med en slengkommentar om turen virkelig var så dyr.
Akkurat denne situasjonen var kanskje tilfeldig, men jeg mener at vi gjennom å ha skapt et sosialt miljø i Alv, hvor alle kjenner hverandre godt, uten tvil har bidratt til å øke sikkerheten internt i selskapet.
Sosialisering som sikkerhet i 5 punkter. Jo bedre kjent, jo flere kanaler
Mail er for så vidt ganske greit å fake.
Særlig gjelder dette mail på mobil. Der er ofte mailadressen ikke synlig, og det kun er mail-aliaset som vises.
Mail-aliaser kan hvem som helst sette til det de selv ønsker og det er derfor lett å få en mail til å se ut som at den kommer fra en annen person.
Andre kommunikasjonskanaler er det verre med.
Svindelforsøket på oss ble avslørt av at økonomisjefen sendte meg en SMS for å verifisere at han virkelig skulle overføre dette beløpet. Jeg kommuniserer med han også på en rekke andre kanaler.
HVIS ALLE I ET SELSKAP KJENNER ALLE ANDRE I SELSKAPET, BLIR DET FORT VELDIG MYE VANSKELIGERE Å GJENNOMFØRE SOCIAL ENGINEERING AV ULIKE FORMATER
I løpet av en uke har jeg sikkert snakket med han på Snapchat i flere kanaler, sendt en link eller noe på messenger, sendt et passende bilde fra Instagram, kommunisert masse på slack, samt selvsagt snakket med han både på telefon og ansikt til ansikt.
Alle disse kanalene, og i alle fall kombinasjonen av dem, er mye verre for svindlere å få kontroll over, enn kun mail, som fort kan være eneste kommunikasjonskanal for kollegaer i andre selskaper, som ikke kjenner hverandre personlig.
Fysisk social engineering
Hvis alle i et selskap kjenner alle andre i selskapet, blir det fort veldig mye vanskeligere å gjennomføre social engineering av ulike formater.
De siste ukene har det vært flere tilfeller i media av svindlere som har utgitt seg for å være ansatte i forsøk på å endre lønnskontoinformasjon og annet. Dette ville vært utrolig mye vanskeligere å gjennomføre hvis alle kjente hverandre.
En annen form for social engineering er å komme seg inn i kontorlokalet til selskaper og enten stjele verdier direkte, eller stjele informasjon som igjen kan benyttes til å få tilgang til verdier.
Jo bedre alle i selskapet kjenner hverandre, jo vanskeligere er dette å gjennomføre.
Det vil være veldig unaturlig for noen i Alv å ikke hilse på en ny person som skulle komme inn i våre lokaler. Litt av dette er selvsagt på grunn av størrelsen på selskapet, men jeg mener, håper og tror at dette vil være gyldig både om vi dobler og firedobler oss i størrelse.
Vi kjenner hverandre godt og gjennom å ha samarbeidet faglig og hengt sammen sosialt, vil det føles veldig unaturlig for alle i selskapet å ikke være oppsøkende hyggelig mot eventuelle nye ansikter.
Økt sosialisering gir økt kontakt
På tross av punktene over, vil det alltid være mulig for svindlere å komme i kontakt og begynne prosessen med å få lurt noen av Alvs medarbeidere. Det er trolig ikke til å unngå.
På mange måter er konsulentselskaper mer utsatt for dette, sammenlignet med andre selskaper, da medarbeiderne i selskapet i store deler av en arbeidsuke er spredt rundt hos ulike kunder, og det er relativt sjeldent at man fysisk ser hverandre.
MED SÅ MANGE FYSISKE MØTEPUNKTER, GJØR DETTE SITUASJONEN VELDIG MYE VANSKELIGERE FOR EVENTUELLE SVINDLERE.
I Alv ser vi imidlertid hverandre oftere enn de fleste andre konsulentselskaper.
Annenhver fredag har vi AlvFredag, hvor hele selskapet møtes på kontoret for felles faglig påfyll og sosialisering. I tillegg skjer det svært mye aktivitet gjennom uka også. Vi har både morgentreninger på Sats fra kl 0700, felles lunsj for de som vil og kan gjennom uka, samt at det er mye frivillig aktivitet på kontoret de fleste ettermiddagene i uka.
Med så mange fysiske møtepunkter, gjør dette situasjonen veldig mye vanskeligere for eventuelle svindlere.
Det er vanskelig å fake en uformell tone
Svindlerne blir stadig mer sofistikerte.
I forsøket vi ble utsatt for, skrev svindlerne perfekt norsk og svarte konkret og naturlig på dialogen som utspilte seg.
SLIKE INTERNE REFERANSER OG LOKALE SPØKER, SKAL DET SVÆRT MYE TIL AT SVINDLERE SKAL GREIE Å ETTERLIGNE.
Likevel er det mye vanskeligere å etterligne en uformell tone og greie å henge med på interne spøker og skrivemåter. Jo bedre man kjenner hverandre, jo lettere er det å avsløre at personen i den andre enden ikke er personen den utgir seg for å være.
En formell tone er relativt lik, uavhengig av person og personlighet. Jo likere en tone er, jo lettere er den for en tredjepart å etterligne.
Det tar ikke mange setningene i verken muntlig eller skriftlig kommunikasjon mellom meg og Michael, før en intern referanse nevnes. Slike interne referanser og lokale spøker, skal det svært mye til at svindlere skal greie å etterligne.
Vennskap er tungt å svike
En ting er å greie å motstå og unngå svindelforsøk fra utenforstående. Et stadig økende problem, er imidlertid svindelforsøk, hvor interne er med på svindelen.
Hvis dette skulle skje, vil selvsagt fordelene med å kjenne hverandre godt, fort virke mot sin hensikt. Da vil intern tone og interne spøker fort kunne være nettopp det som gjør at svindlerne får tilliten de trenger for å greie å gjennomføre svindelen.
ØKT SIKKERHET OG ØKT ROBUSTHET MOT SVINDELFORSØK ER BARE EN AV FORDELENE VI MENER AT VI OPPNÅR MED SOSIALISERING
Samtidig vil det være tyngre å svindle sine venner, enn sine kollegaer. Jeg anser de fleste i Alv som mine venner, og jeg ville tatt det som et stort svik hvis noen av medarbeiderne i Alv skulle bidra i et svindelforsøk mot selskapet.
Sosialisering og å bli godt kjent med hverandre er noe vi setter høyt i Alv.
Økt sikkerhet og økt robusthet mot svindelforsøk er bare en av fordelene vi mener at vi oppnår med det fokuset. I tillegg har vi det morsommere på jobb, vi får økt aktivitet og deltagelse internt.
Alle synes det vi driver med er gøy, samtidig som den enkelte øker sin kompetanse, bidrar til at Alv bygges som selskap og samtidig bygger vi alle vennskap som strekker seg langt utenfor den normale arbeidsdagen fra 8-16.
Ingen er med på alt, men alle er med på noe. På den måten blir vi godt kjent, samtidig som vi utfordrer hverandre og vi har det morsomt på veien.
Hvis du synes Alv virker som en spennende arbeidsplass, må du gjerne ta kontakt med oss for en uformell prat.
