Soms is een phishing-mailtje zo geraffineerd en persoonlijk dat haast iedereen erin trapt. Als zo’n mailtje afkomstig lijkt van de CEO van het bedrijf, gaan mensen zelden een verzoek ter discussie stellen. Toch zou dat wel verstandig zijn, want de schade kan in de miljoenen lopen.
Deze vorm van oplichting wordt Business E-mail Compromise (BEC) genoemd. Hieronder kijken we hoe dat werkt. En wat u ertegen kunt doen.
Ongebruikelijk
Op het kantoor van Inigo heerst een ontspannen sfeer. De directeur is op wintersport! Hij was er hard aan toe. En de medewerkers ook, want het gaat om een typische ‘hands-on’ manager met veel ideeën.
Iedereen maakt gebruik van de rust om werk in te halen dat was blijven liggen. Ook Lies, de nieuwe medewerkster bij Finance. In hoog tempo werkt ze de facturen weg.
Hé! Nu krijgt ze toch een mail van de directeur? Hij schrijft dat hij op de skihelling nog een deal staat te regelen. Die gaat alleen door als er meteen een fors bedrag wordt overgeboekt.
Dat is ongebruikelijk. Lies kijkt eens wat beter naar de mail. Het adres van de directeur lijkt te kloppen: [email protected]. De naam van het andere bedrijf ziet er ook betrouwbaar uit: het is een vaste leverancier. Snel maar even doen dus! Want Lies zit in haar proeftijd. Ze moet er niet aan denken wat ze gaat horen als de deal door haar schuld mislukt.
Miljoenenschade
Zo gaat het maar al te vaak. Medewerkers van bedrijven worden misleid met mailtjes die afkomstig lijken te zijn van superieuren of vertrouwde zakenpartners.
Soms loopt de schade in de miljoenen. Bijvoorbeeld bij Pathé, waar de Nederlandse leiding mailtjes kreeg, zogenaamd van het Franse moederbedrijf, over een geheime bedrijfsovername waarvoor geld moest worden overgemaakt. Uiteindelijk bedroeg de schade 19 miljoen euro. Dat was tien procent van de jaarwinst.
Hoe is dat mogelijk? Door een combinatie van grondigheid en psychologie. De criminelen nemen vaak weken de tijd om een bedrijf te onderzoeken. Wie zit er op welke functie? Wat is er op sociale media over die mensen te vinden? Wat is de structuur van de e-mailadressen? Hoe is het taalgebruik binnen de organisatie? Wie zijn de zakenpartners?
Zo ontdekken de oplichters bijvoorbeeld dat de directeur op wintersport gaat. Of dat er net een nieuwe medewerkster zit bij Finance. Door tijd te investeren kunnen de oplichters met een verhaal komen waarin alle details kloppen. En het perfecte slachtoffer uitkiezen. We noemen deze vorm van phishing daarom ‘spear phishing’, namelijk heel specifiek op een persoon gericht.
Waakzaamheid verzwakken
Nu komt de psychologie om de hoek kijken. Als klassieke oplichters maken de cybercriminelen gebruik van emoties die de waakzaamheid van de ontvangers verzwakken.
Allereerst gehoorzaamheid: als de directeur een opdracht geeft, dan voert u die gewoon uit. Verder zijn er de goede relaties met collega’s of zakenpartners. Daar gaat u niet achterdochtig tegen doen.
En tenslotte gebruiken de criminelen urgentie en angst: die betaling moet nú worden gedaan, want anders krijgt u problemen!
Cybersecurity begint met bewustzijn
en met de gratis Tesorion 'Herken phishing' posters
We zijn altijd verbonden met elkaar. Via verschillende kanalen komen er berichten binnen. Herkent u phishingberichten? Natuurlijk klikt u nooit op onbekende links? Soms is het ook wel lastig om echt en nep te herkennen.
Om u en uw collega’s op weg te helpen hebben wij een poster gemaakt met handige tips. Voor de thuiswerkende collega’s hebben we een handout. Zo helpt u mee aan een cyberveilige werkomgeving en een veiliger Nederland.
Drie soorten BEC
Er zijn drie soorten Business E-mail Compromise.
- Ten eerste CEO-fraude, zoals in het boven beschreven voorbeeld. Een superieur van het slachtoffer vraagt om een betaling, of om informatie, die in verkeerde handen eveneens geld waard kan zijn.
- Ten tweede de ‘valse-factuurscam’. Er komt een factuur binnen van een vaste leverancier. Eén ding wijkt af: het geld moet worden overgemaakt naar een nieuw rekeningnummer … Dit is feitelijk een variant op de oude spookfactuur die vroeger uit de fax rolde.
- De derde variant is dat de criminelen het e-mailaccount van een medewerker weten te hacken. Ze gaan op zoek naar facturen die klaarliggen voor verzending. Dan versturen ze die zelf. Maar met een verzoek in de begeleidende mail, om een nieuw rekeningnummer te gebruiken.Helemaal gevaarlijk wordt het wanneer de criminelen via zo’n hack op het bedrijfsnetwerk komen en daar data stelen of alles gaan observeren om op een later moment toe te slaan. Dan kunnen ze hun oplichterij helemaal perfectioneren: niet alleen het e-mailadres maar ook de vorm en inhoud van de mail.
Zeven tips
Hoe zorgt u nu dat deze oplichters op úw bedrijf geen vat krijgen? Hieronder geven we zeven tips.
1. Bewustwording
Uw mensen moeten dit soort mailtjes leren herkennen. Zodat ze bijvoorbeeld zien dat er een l in plaats van een i staat in het afzendadres @Inigo.nl. En zodat ze even bellen, via een bekend nummer, om te checken of het bericht wel klopt. Uiteraard niet in een reply op de mail, want dan communiceert u met de crimineel.
Er is dus een basisniveau van kennis nodig. Dit lukt alleen met goede trainingen. En die moeten niet éénmaal per jaar worden gegeven, maar frequenter. Dat is nodig om te zorgen dat het bewustzijn niet wegzakt en omdat de methodes van de criminelen voortdurend veranderen.
2. Vier ogen
Twee weten meer dan één. In de financiële wereld is het normaal dat betalingen altijd door twee mensen worden afgehandeld: de een zet de order in het systeem en de ander betaalt.
3. Verklein de risico’s
De software van uw bank maakt het waarschijnlijk mogelijk om bevoegdheden en limieten per medewerker in te stellen. Daarmee kunt u veel problemen voorkomen.
4. Betrouwbare gegevens
Zorg dat de rekeningnummers van leveranciers en andere partners allemaal in het adresboek staan. Overboeken mag alleen langs die weg. Dus niet met de rekeningnummers die de criminelen zelf noemen.
5. Veiligheidsprotocollen
De oplichters zetten hun slachtoffer onder druk om af te wijken van de gewone procedures. Zorg daarom dat er een systeem is om afwijkende situaties veilig op te lossen. Bijvoorbeeld een intern meldpunt.
6. Ga spoofing tegen
Registreer niet alleen uw echte domeinnaam voor internet, maar ook domeinnamen die er sterk op lijken. Het kost bijna niets, maar het maakt het moeilijker voor criminelen om uw bedrijfsnaam te misbruiken. Ook voor andere vormen van cybercrime.
7. Veilige technologie
Er zijn ook technische mogelijkheden om Business E-mail Compromise tegen te gaan. Dan waarschuwt Outlook bijvoorbeeld dat de mail van buiten uw organisatie komt. En als u echt geen risico’s wilt lopen, zijn er communicatiesystemen die inherent veiliger zijn dan e-mail. Die versturen versleutelde berichten via beveiligde portals.