Als doorgewinterde IT’er haalt u phishingmailtjes er vast meteen uit. Maar soms komt er een berichtje waarin alles lijkt te kloppen: de namen, de gegevens en de schrijfstijl van de afzender. Dat is kenmerkend voor Business E-mail Compromise (BEC). In deze blog kijken we hoe dat werkt. En hoe u dit soort aanvallen buiten de deur kunt houden!
Spear-phishing
Bij phishing schieten de criminelen met hagel. Ze raken altijd wel wat, ook al levert het per slachtoffer niet altijd veel op. Bij Business E-mail Compromise (BEC) ligt dat anders. Wekenlang ligt een bedrijf onder de loep. Niet alleen de website wordt uitgepluisd, maar ook sociale media en de Kamer van Koophandel. Welke mensen zitten er op hoge posten? En wie werkt er bij finance? Wat schrijven ze op Facebook, Twitter en LinkedIn? Hoe is de schrijfstijl? Hoe zitten de e-mailadressen in elkaar? Met welke andere bedrijven worden er zaken gedaan?
Op basis van al dat onderzoek kiezen de criminelen één medewerker. Dat is hun slachtoffer. En dat slachtoffer krijgt vervolgens een mail die helemaal lijkt te kloppen.
Cadeaubonnen
Vaak gaat het om iemand laag in de organisatie. Bijvoorbeeld een stagiair bij HR. Als die een mailtje of appje krijgt van de CEO zelf, zal hij niet snel met kritische vragen komen. Zeker niet als het ongeduld van het bericht af spat. Er moet iets geregeld worden, en wel nu! De adrenaline begint meteen te stromen en het beoordelingsvermogen gaat navenant omlaag.
Een voorbeeld uit de praktijk: meerdere Nederlandse bedrijven hebben de afgelopen tijd flinke bedragen verloren aan cadeaubonnen voor de Applestore of Nintendo. Dat gaat zo: een medewerker krijgt een mailtje van de CEO. Die zegt dat hij een team wil belonen in het kader van een campagne. De medewerker moet de bonnen meteen kopen en de codes aan hem appen of terugmailen.
Wat de medewerker in zijn haast niet opmerkt, is het foute afzendadres. Bijvoorbeeld blokkker.nl. In de praktijk ziet haast niemand dat daar drie k’s staan in plaats van twee.
Even later heeft de crimineel de codes in handen. Cadeaubonnen zijn anoniem inwisselbaar en binnen de kortste keren is dat ook gebeurd. Het bedrijf is een paar duizend euro armer.
19 miljoen euro
Dit soort acties zijn waarschijnlijk het werk van jonge cybercriminelen. Maar er zijn ook gevallen waarbij ervaren oplichters veel grotere bedragen buitmaken. Neem Pathé: de Nederlandse vestiging kreeg een mailtje dat afkomstig leek van de hoofddirectie in Frankrijk. Er kwam een bedrijfsovername aan. Die werd in het grootste geheim voorbereid. Daarom moest er vanuit Nederland geld worden overgemaakt.
Meerdere mailtjes en overboekingen volgden. Aan het eind van het verhaal was Pathé liefst 19 miljoen euro kwijtgeraakt!
Achter dit soort cases zitten volwassen organisaties, met experts op het gebied van psychologie, hacking en finance. Zij zijn de vijand die u als IT-verantwoordelijke buiten de deur moet zien te houden.
Cyberdreigingen zijn helaas niets nieuws meer. Maar een echt sluitende cyberaanpak is dat wel.
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.
Drie soorten
Business E-mail Compromise kent drie varianten. De eerste is CEO-fraude, zoals bij de cadeaubonnen. Een hoger geplaatst persoon geeft opdracht tot een betaling, of wil snel gevoelige informatie krijgen.
De tweede vorm is de ‘valse-factuurscam’. Een factuur lijkt afkomstig van een bekende leverancier. Maar wat de ontvanger bij finance niet merkt, is dat het rekeningnummer afwijkt.
De laatste en gevaarlijkste variant is die waarbij het account van een medewerker wordt gehackt. De criminelen kijken of er facturen klaarliggen voor verzending. Die versturen ze dan zelf, nadat ze het rekeningnummer hebben aangepast. Of ze leggen in het begeleidende mailtje uit dat het IBAN net veranderd is.
Soms gaan ze na een hack nog verder zoeken, naar informatie waarmee ze de perfecte fraude kunnen plegen: dan klopt alles, inclusief het afzendadres. Of informatie die ze in een later stadium ten gelde kunnen maken.
Onbetrouwbaar
Al deze ellende is te wijten aan hetzelfde probleem: e-mail is onbetrouwbaar. Het is ontstaan in een tijd dat netwerken alleen gebruikt werden door fatsoenlijke nerds. Niemand dacht aan veiligheidsmaatregelen.
Sindsdien zijn er pogingen gedaan om die beveiliging alsnog in te bouwen, maar dat is nooit echt gelukt. Daardoor worden we dagelijks overspoeld met spam en phishingmailtjes. Soms zelfs mailtjes die zogenaamd van u zelf afkomstig zijn.
Tips
Wat kunt u doen om te zorgen dat Business E-mail Compromise bij úw bedrijf niet plaatsvindt? Hieronder geven we negen tips. Sommige hebben betrekking op technologie, maar veilig werken is vooral een kwestie van procedures.
1. Spellingcheck
De computer spoort afwijkende spelling in adressen beter op dan de mens. Microsoft 365 kan uw mensen vaak waarschuwen als domeinnamen niet kloppen.
2. DMARC
Dit is een validatiesysteem dat controleert of een mail wel echt afkomstig is van de vermelde afzender.
3. Spoofing tegengaan
Vaak gebruiken criminelen domeinnamen die sterk lijken op die van u. Registreer dat soort namen dus zelf. Zo voorkomt u ook andere vormen van cybercrime.
4. Veilige alternatieven
Er zijn mailsystemen die wél inherent veilig zijn. Die maken gebruik van portals waar ontvangers versleutelde berichten met een wachtwoord kunnen ophalen.
5. Training
Elke medewerker die gebruik maakt van mail, moet getraind worden op het herkennen van phishing en BEC. En weten wat te doen als er iets raars binnenkomt. Zoals even bellen naar de ‘afzender’ om te checken of het wel klopt. Ook dat is een kwestie van trainen! Niet eenmaal, maar frequent en met een zekere regelmaat. Om de mensen scherp te houden, maar ook omdat de criminelen steeds weer met nieuwe listen komen.
6. Vier ogen
BEC maakt minder kans als er twee mensen naar een factuur kijken. Eén voor het inboeken en één voor het overmaken. In de financiële sector is dat normaal.
7. Beperkte bevoegdheden
Maak duidelijke regels voor wie wat mag. Cadeaubonnen worden bijvoorbeeld alleen ingekocht door het hoofd HR. De software van de bank maakt het vaak mogelijk om limieten en bevoegdheden per medewerker in te stellen.
8. Betrouwbare nummers
Zet alle rekeningnummers van leveranciers in het adresboek. Alleen die nummers mogen gebruikt worden voor overboekingen, niet de nummers in de toegezonden facturen.
9. Veiligheidsprotocol
Elke BEC-aanval is een poging om de procedures te omzeilen. Daarom moet er een systeem zijn voor afwijkende situaties! Zoals een intern meldpunt. Met mensen die weten hoe BEC werkt en niet bang zijn om door te vragen.
Naarmate phishing aanvallen professioneler en geavanceerder worden is het belangrijk om mensen hierop voor te bereiden. Veel leed kan daardoor worden voorkomen.
