De wondere wereld van Business Email Compromise (BEC) en hoe u zich ertegen wapent

Schade door BEC loopt dit jaar naar verwachting op tot ruim 9 miljard dollar

In het voorjaar van 2017 stelde de FBI dat Business Email Compromise-aanvallen (BEC) zijn uitgegroeid tot een miljardenindustrie ($5,3 miljard) in de Verenigde Staten. Het succes van dit type aanval is te verklaren door de relatieve eenvoud waarmee BEC-aanvallen kunnen worden uitgevoerd. Het vereist weinig kennis van specifieke tools of technologieën en draait in plaats daarvan om de psychologie van de mens en om inzicht in verschillende organisatiestructuren. Cyberaanvallen van de categorie Business Email Compromise zijn de afgelopen jaren dan ook explosief toegenomen. Op basis van inzichten die Trend Micro vorig jaar heeft verkregen in deze steeds populairder wordende categorie cyberaanvallen, is onze voorspelling dat de BEC-industrie dit jaar nog verder zal groeien en dat cybercriminelen in 2018 maar liefst $9 miljard buit zullen maken. Wat moeten organisaties doen om zich te kunnen wapenen tegen dit type aanvallen?

Hoe BEC werkt

Voordat ik die vraag beantwoord, duiken we eerst dieper de materie in. We hebben over een periode van 9 maanden (januari – september 2017) gekeken naar BEC-gerelateerde incidenten om huidige en opkomende trends te identificeren, de gebruikte tools en technieken te bestuderen en om de beschikbare data te analyseren die ons een kijkje in de wereld van BEC geeft.

Het Internet Crime Complaint Center (IC3) verdeelt BEC-aanvallen in vijf categorieën, maar tijdens ons eigen onderzoek hebben we dit verder teruggebracht naar twee hoofdtechnieken: credential grabbing en email only.

Credential grabbing
Deze techniek maakt gebruik van keyloggers en phishing kits om inloggegevens te stelen en zo toegang te krijgen tot de persoonlijke accounts van werknemers zoals bijvoorbeeld die van webmail. Credential grabbing-technieken kunnen verder worden onderverdeeld in technieken die focussen op malware en technieken die gebruik maken van phishing. Malware wordt veelal verspreid als bijlage van een e-mail en vermomt zich in de meeste gevallen als aankooporder, betaling of factuur. Bij phishing-technieken wordt ook vaak een bijlage meegestuurd, soms in de vorm van een aankooporder.

Ons onderzoek naar malware-gerelateerde (credential grabbing) BEC-aanvallen heeft ook twee belangrijke spelers op het BEC-veld geïdentificeerd: Ardamax, goedkope software die de BEC-crimineel van de benodigde basisfunctionaliteiten voorziet en LokiBot, bekende malware die steeds vaker bij BEC-aanvallen wordt gebruikt.

Email only
Bij deze techniek wordt er een email gestuurd naar een medewerker op de financiële afdeling (meestal iemand die die de mogelijkheid heeft om een betaling to doen). De mail is zo vormgegeven dat het lijkt alsof die van de CEO komt die een betalingsverzoek doet.

Email only BEC-aanvallen maken, in tegenstelling tot credential grabbing BEC-aanvallen, gebruik van social engineering-technieken. Hoewel social engineering vaker wordt gebruikt bij BEC-aanvallen, gebruiken email only-aanvallen meer geraffineerde methodes die zich richten op de menselijke psyche: de e-mails lijken echt en zijn overtuigend. Dit soort BEC-aanvallen maakt slim gebruik van de onderwerpregel en de afzender. BEC-criminelen gebruiken daarbij ook niet van echt te onderscheiden e-mailadressen van C-levels, hetzij door de inzet van clandestiene webmailproviders, hetzij door een copycat-domein te registreren dat sterk lijkt op dat van het doelwit.

Tot slot hebben we in het onderzoek meegenomen hoe BEC-spelers aan hun tools komen en dan in het bijzonder naar de phishing-websites die ze gebruiken bij hun aanvallen. Een van de populairste methodes maakt gebruik van phishing-kits (scampages). Ze hebben tevens toegang tot allerhande online zwarte markten waar ze de benodigde tools kunnen krijgen die ze nodig hebben bij hun aanvallen. Zelfs de onervaren BEC’er hoeft zich geen zorgen te maken: het internet staat vol met tutorials die de jonge cybercrimineel op weg helpen.

Uw organisatie beschermen tegen BEC-aanvallen

Gezien het feit dat BEC-aanvallen zich in de regel richten op eindgebruikers, moeten de maatregelen die uw organisatie ertegen treft zich niet enkel beperken tot de IT-afdeling. De ultieme verdediging tegen BEC-aanvallen begint en eindigt bij de eindgebruiker. Bewustwording creëren en het opleiden van werknemers is dus de eerste stap die organisaties moeten zetten om zich te wapenen tegen BEC-aanvallen. Medewerkers moeten bijvoorbeeld weten waar zij op moeten letten bij het openen van emails.

Daarnaast is het belangrijk om financiële verzoeken altijd te verifiëren, met name wanneer het om grote bedragen gaat. Ook al komt een dergelijk verzoek ogenschijnlijk van een bestuurder van de organisatie, hoeft dit niet altijd zo te zijn. Het is dus raadzaam hier een beleid voor op te stellen, ook ten opzichte van vendoren en leveranciers.

Tot slot is het belangrijkste advies dat ik kan meegeven het bouwen van een cultuur van security binnen uw organisatie. Dit zorgt ervoor dat security in de gehele organisatie wordt geborgd, zowel bottom-up als top-down.

Meer informatie

Meer weten over de uitkomsten en technische achtergronden van het onderzoek? Bekijk dan het volledige onderzoeksrapport “Tracking Trends in Business Email Compromise (BEC) Schemes”.

 

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.