Der blev i årets første tre måneder stjålet 8,7 millioner kroner fra foreningskonti over hele landet. Kriminelle er blevet dygtige til at trawle gennem foreningers hjemmesider og sociale medier for at finde nøglepersoner, de kan svindle.
Frivillige foreninger er særligt udsat for svindel, fordi de – desværre - ofte har færre formaliserede sikkerhedsprocedurer for betalinger og bankoverførsel. Derfor er det vigtigt, at bestyrelser, kasserere og økonomiansvarlige kender de typiske svindelmetoder og ved, hvordan de bedst beskytter foreningen.
Sæt fx emnet på bestyrelsens årshjul op til en ferieperiode. De IT-kriminelle udnytter nemlig ofte perioder med lavt aktivitetsniveau som fx ferier til at svindle. Både fordi de regner med, at nøglepersoner er fraværende, hvilket gør det sværere at opdage uregelmæssigheder, og fordi foreningernes økonomiansvarlige generelt har travlt med at få betalt regninger, og derfor kan være mindre opmærksomme, inden de går på ferie.
Typiske svindelmetoder
Det er særligt tre typer af digital svindel , som man skal være opmærksom på i frivillige foreninger: Phising, direktørsvindel og telefonsvindel.
Phishing
Her udgiver IT-kriminelle sig for at komme fra en troværdig organisation eller virksomhed. Det kan fx være et pengeinstitut eller offentlige myndigheder som fx SKAT. Phishing-mails sendes til en bred gruppe af mennesker, hvor målet er at lokke dem til at overføre penge til den IT-kriminelles egen bankkonto eller trykke på et link, der kan låse foreningens filer, hvorefter der afkræves løsepenge. Phishing-mails kan også være meget målrettede og se ud som om de kommer fra en kendt samarbejdspartner eller en kollega.
Direktørsvindel via mail
Her udgiver gerningspersonen sig for at være en del af foreningen - typisk en ansat leder eller forperson - og beder kassereren (eller andre i bestyrelsen) om hurtigt at overføre penge - ofte i udenlandsk valuta eller over Mobilepay. Denne type mail kan være meget overbevisende og personligt stilet, og komme fra en mailadresse som ligner lederens eller forpersonens rigtige mailadresse. Nogle gange kan disse mails spottes, fordi de indeholder sproglige fejl eller kommer fra mailadresser, der tydeligt intet har med foreningen at gøre. De vil ofte bede modtageren om at handle hurtigt og være præget af hast, som en måde at komme igennem foreningens sikkerhedsprocedurer.
Politiet advarer frivillige bestyrelser mod svindelopkald
I foråret 2024 har Politiet set en stigning i sager, hvor kriminelle går målrettet efter at svindle frivillige foreninger.
Læs Politiets advarsel og gode råd her.
Telefonsvindel
Svindlere kan ringe og udgive sig for at være fra banken eller politiet og påstå, at der er mistænkelig aktivitet på foreningens konto. Svindleren vil typisk bede om, at I straks overfører foreningens penge til en såkaldt ”sikkerhedskonto”. Også denne type svindel kan virke meget troværdig, fordi svindleren ofte vil kende til personlige oplysninger om foreningens bestyrelse og kassereren, som de fx har fundet på foreningens hjemmeside eller sociale medier.
9 råd om sikkerhedsprocedurer i foreningen
For at mindske risikoen for svindel anbefaler politiet, at I indfører faste sikkerhedsprocedurer, når I håndterer foreningens økonomi. Her er CFSA’s råd til, hvordan I kan stå mere sikkert:
1. Tal om risiko for svindel
- Tag en drøftelse af risikoen for svindel i jeres bestyrelse og med jeres økonomiansvarlige. Oplys også medarbejdere og frivilligledere om svindel, for at sikre, at alle er opmærksomme på, at de kan blive udsat for svindel. Tag fx udgangspunkt i denne artikel.
2. Adskil roller ved betalinger
- Sørg for, at én person godkender betalinger, og en anden person udfører dem.
3. Begræns adgang til foreningens bankkonti
- Giv kun adgang til de personer, som har brug for det.
- Brug separate login-oplysninger til alle personer
4. Kræv dobbeltgodkendelse
- Indfør en "to-person godkendelse" for alle betalinger – fx over et bestemt beløb. Det kan fx være, at betalinger på over 10.000 kr. skal godkendes af mindst to personer – fx af en projektansvarlig og af foreningens forperson - inden kassereren må overføre pengene.
- Alle betalinger skal skriftligt godkendes, fx via e-mail eller en godkendelsesapp.
- Registrér alle betalinger i et regnskabssystem eller regneark.
5. Brug sikre betalingsløsninger
- Undgå så vidt muligt kontanter og private konti. Brug altid foreningens officielle betalingsløsninger (banken).
- Opdater eller bekræft altid ændringer i jeres betalingsoplysninger direkte gennem kendte kontaktkanaler. Jeres pengeinstitut vil IKKE ringe til jer for at få opdateret oplysninger. Det sker fx igennem jeres netbank. Er du i tvivl, så ring pengeinstituttet op via et nummer på deres hjemmeside – ikke via det nummer, som du er blevet ringet op fra.
6. Begræns mængden af information på foreningens hjemmeside og sociale medier
- Del kun mailadresse på jeres kasserer eller økonomiansvarlige på foreningens hjemmeside og sociale medier. Andre oplysninger kan misbruges.
7. Foretag løbende kontrol
- Gennemgå jeres bankudtog månedligt og sammenlign med regnskabet.
- Få en uvildig person fx jeres interne revisor til at gennemgå alle betalinger mindst én gang årligt.
8. Opdater procedurer og træning
- Sørg for, at bestyrelse og kasserer løbende er informeret og trænet i nye svindelmetoder. Tjek fx sikkerdigital.dk med råd, vejledning og værktøjer til at sikre jer mod digital svindel.
- Gennemgå og opdater jævnligt jeres sikkerhedsprocedurer. Fx ved at sætte denne liste ind i bestyrelsens årshjul.
- Sørg for at alle i bestyrelsen, aktivitetsledere, udvalgs-forpersoner mv. kender foreningens sikkerhedsprocedurer, og ved hvem i organisationen, de kan spørge, hvis de er i tvivl om fx en mail, de har modtaget.
9. Vær opmærksom på svindelmetoder
- Vær skeptisk over for mails med uopfordrede anmodninger om at udlevere personlige oplysninger eller uventede mails eller opkald om at overføre penge, især dem, der haster.
- Tjek altid afsenderens mailadresse grundigt. Nogle gange er det kun et punktum eller et enkelt bogstav, der afviger fra den rigtige mailadresse.
- Tryk aldrig på links i mistænkelige mails.
- Lad dig ikke påvirke, hvis du bliver bedt om at handle hurtigt eller om at holde informationer hemmelige for andre i din bestyrelse. Det er typiske tricks svindlere brugere til at presse dig mest muligt.
- Banker, politi mv. vil aldrig bede dig om at overføre penge til en såkaldt ”sikkerhedskonto”.
Er du kommet til at overføre penge?
Kontakt straks banken og anmeld hændelsen til politiet.
Er du i tvivl om et muligt svindelforsøg?
Ring til Cyberhotline for digital sikkerhed på tlf. 33 37 00 37. Se mere på sikkerdigital.dk/cyberhotline.