Regelmatig hoor of lees je berichten waarbij een organisatie geld heeft overgemaakt naar een cybercrimineel. De aanleiding? Een e-mail waarbij de zogenaamde leverancier aangeeft dat het rekeningnummer is gewijzigd. Of een bericht van iemand die zich voordoet als de CEO van jouw organisatie met de vraag om snel een bedrag over te maken. In de haast is een foutje snel gemaakt. Cybercriminelen spelen daarbij in op een aantal psychologische principes. Denk aan tijdsdruk of het belang van de betaling, om je te overtuigen snel actie te ondernemen. Of het verzoek komt van een persoon hoog binnen de organisatie. Wie belt de CEO om even te controleren of het verzoek echt is?
Hoe kan je mensen en informatie binnen je organisatie beschermen tegen dit soort dreigingen? Wij helpen je op weg.
Vormen van e-maildreigingen
De meeste mensen zijn wel bekend met het fenomeen phishingmails. Bovendien besteden veel organisaties tijd aan het trainen van hun medewerkers om phishingmails te herkennen. Uit het State of the Phish rapport van Proofpoint blijkt dat 9 van de 10 Nederlandse bedrijven minsten één keer slachtoffer waren van een phishingaanval. In 36% van de gevallen leidde dit tot directe financiële schade.
Zorg er daarom voor dat medewerkers doorlopend getraind worden op het herkennen van phishingmails. Mocht een medewerker toch een malafide mail openen of op een link klikken, maak het melden ervan dan makkelijk. Zorg dat alle medewerkers weten wanneer, waar en hoe ze melding kunnen maken. Daarnaast is het essentieel dat er een cultuur heerst binnen de organisatie waarin mensen ook melding durven te maken.
Naast phishing is er nog een andere methode die gebruik maakt van e-mail als aanvalsmethode: namelijk Business Email Compromise (BEC). Steeds vaker worden organisaties slachtoffer van BEC. De aanvallen worden steeds professioneler. Van het hacken of spoofen van de e-mailaccounts van CEO’s tot het nabootsen of misbruiken van e-mailacounts van leveranciers. Je kan grofweg stellen dat er twee varianten BEC zijn: CEO-fraude en factuurfraude. Kenmerkend voor BEC is dat de aanvallen zeer gericht zijn. Mensen op belangrijke posities binnen een organisatie (wij noemen ze VAP, Very Attacked Persons) worden daarbij tot doelwit gemaakt.
Van eenvoudig tot complex
Bij eenvoudige aanvallen op basis van factuurfraude hebben cybercriminelen weinig andere vaardigheden nodig dan het kunnen vervalsen van een e-mailadres. Bij meer geavanceerde BEC-aanvallen worden e-mailgesprekken gekaapt om factuurbetalingen om te leiden naar rekeningen van de cybercriminelen. Deze aanvallen hebben geen zogenoemde payload; het zijn gewoon normale e-mails. Daardoor zijn ze erg moeilijk te detecteren met standaard e-mailcontroles. Ook hier geldt dat het trainen van je mensen een belangrijke eerste stap is. Haastige spoed is zelden goed, het is belangrijk dat je mensen weten en ook de tijd nemen om te controleren of het bericht klopt. Dat kan bijvoorbeeld door contact op te nemen met de afzender via een ander kanaal. Bel bijvoorbeeld de afzender op het bij jou bekende nummer om na te vragen of het bericht klopt.
Het kapen van een e-mailgesprek vergt naast de technische kennis ook om kennis van de persoon. Doordat mensen veel informatie delen op (zakelijke) sociale media is social engineering een krachtig hulpmiddel. Het geeft informatie over de schrijfstijl en de gesprekstoon van de persoon. Formeel, informeel, taalkeuze, gebruik van emoji’s zijn allemaal elementen die belangrijk zijn om je als cybercrimineel als iemand anders voor te doen. Wees daarom bewust welke informatie je deelt op social media. De informatie over je vakantie, kinderen of hobby kan een cybercrimineel helpen om het vertrouwen van je mensen te winnen.
Dat overkomt mij niet
Ik hoor je denken: dat overkomt mij niet, mijn mensen trappen daar niet in. Of: ik heb detectie-oplossingen, dit gebeurt bij mij niet. Toch is het dan goed om te realiseren dat veel detectie-oplossingen dit soort aanvallen missen doordat bijvoorbeeld:
- Er teveel wordt vertrouwd op de domeinleeftijd als detectiefactor
- Een look-alike-domein wordt niet herkend
- Een reply-to analyse ontbreekt
Uitsluitend vertrouwen op domeinleeftijd1 kan ruis creëren en securityteams overspoelen met een hoog aantal vals-positieven. Er zijn ook oplossingen die een meerlaagse benadering gebruiken, zoals Proofpoint.
Bij een meerlaagse oplossing worden kunstmatige intelligentie (AI) en machine learning gebruikt om de belangrijkste indicators of compromise te identificeren. Denk daarbij aan e-mailpatronen die ongewoon zijn en buiten de vooraf bepaalde norm vallen. Bijvoorbeeld: er komt een e-mail binnen met een financieel verzoek. De mail zelf is niet verdacht, de tekst lijkt ook niet ongewoon. Wordt het verzoek uit de e-mail gecombineerd met een wijziging in het reply to-adres en een recent geregistreerd domein; dan gaan de alarmbellen af. Door deze data vervolgens te combineren met threat intelligence kan vervolgens worden achterhaald welke gecompromitteerde leveranciersaccounts moeten worden onderzocht.
Aanvallen worden steeds geraffineerder en de ontwikkelingen gaan razendsnel. Als organisatie kan je niet meer vertrouwen op traditionele oplossingen. Wil je volledig inzicht en je mensen beschermen tegen hedendaagse e-mail dreigingen? Dan is een oplossing die gebruik maakt van AI en machine learning noodzakelijk. Wil je nu weten waar je staat? Doe dan ons Rapid Risk Assessment.
1 Wanneer domeinleeftijd wordt gecombineerd met andere kenmerken kan het een waardevol signaal zijn voor het identificeren van potentiële kwaadaardige aanvallen.)