Europese organisaties doelwit van CEO-fraude

E-mail, wellicht geen veilige manier van communiceren

cybercrime e-mailE-mail is, vooral in zakelijke omgevingen, één van de belangrijkste communicatiemiddelen van dit moment. Volgens cijfers van The Radicati Group zou een gemiddelde medewerker dagelijks 122 emails ontvangen en versturen. Het bedrijfsleven wordt echter geconfronteerd met een nieuwe vorm van cybercrime, dat tegelijkertijd het vertrouwen in e-mailcommunicatie doet afnemen: Business Email Compromise (BEC). Bij deze vorm van oplichting krijgen hackers toegang tot een bedrijfsemailadres, waarmee zij een verzoek versturen voor een financiële transactie. Kort geleden waarschuwde de FBI voor een sterke toename van Business Email Compromise (BEC). En met name Europa is een populair doelwit.

De schade van bedrijven over de hele wereld zou inmiddels meer dan $2,3 miljard bedragen. Met name de Verenigde Staten en Europa zijn hierbij populaire doelwitten. Cybercriminelen discrimineren niet: doelwitten lopen uiteen van kleine bedrijven tot grote organisaties. Alles wat de daders die hierachter zitten nodig hebben bij het uitvoeren van hun aanval, is het e-mailadres van een executive (of iemand die hier dichtbij staat) en de kennis en kunde om een overtuigende valse e-mail op te stellen.

Dit soort oplichting, waarbij fraudeurs zichzelf voordoen als een high-level executive wordt ook wel ‘CEO-fraude’ genoemd en is een vorm van BEC. Europa is, samen met de Verenigde Staten, het belangrijkste doelwit.

Figure 1. CEO Fraud Region Distribution

Figure 1. CEO Fraud Region Distribution

Een dreiging voor organisaties

Gerapporteerde gevallen van succesvolle CEO-fraude laten zien hoe groot de dreiging van deze vorm van criminaliteit voor organisaties is. FACC Operations GmbH, een fabrikant van vliegtuigonderdelen, maakte eerder bekend dat het voor maar liefst $54 miljoen slachtoffer is geweest van CEO-fraude. Een andere partij die slachtoffer is geworden is het Franse Etna Industrie, waarbij ruim $542.000 werd overgemaakt naar een onbekende buitenlandse bankrekening, in opdracht van een vervalste e-mail met de naam van de CEO van het bedrijf. De reden waarom BEC-fraude zo’n dreiging vormt, is omdat het relatief weinig technische kennis of expertise vereist een dergelijke aanval uit te voeren. De e-mails bevatten geen malware.  Met ‘simpele’ technieken voor social engineering wordt het slachtoffer in de val gelokt.

Wapenen tegen BEC

Dergelijke e-maildreigingen zonder een malware-component (dat wil zeggen een link of bijlage) zoals dat het geval is bij CEO-fraude, is veelal lastig op te sporen. Voor een traditionele e-mailbeveiligingsoplossing valt er immers niets te signaleren of blokkeren, omdat het “legitieme correspondentie” betreft. Daarnaast wordt de e-mail rechtstreeks naar het doelwit gestuurd – en gecombineerd met andere activiteiten, zoals een telefoontje. Hierdoor zal de ontvanger ervan de kwaadwillende bedoelingen die erachter schuil gaan nog minder vermoeden.

Een aantal tips:

  • Hoewel het bij BEC om zeer verfijnde aanvallen gaat, is het niet onmogelijk om je hier als organisatie tegen te beschermen. Het is van belang dat de organisatie over bescherming beschikt, die verder gaat dan enkel de traditionele e-maildreiging, maar juist in staat is dergelijke CEO-fraude zonder kwaadaardige playloads te blokkeren.
  • Een andere belangrijke component in de strijd tegen BEC is educatie en voorlichting. Alle medewerkers, van CEO tot administratie-afdeling, moeten weten dat deze vorm van oplichting bestaat en wat zij moeten doen wanneer zij dit signaleren.
  • Ook een verificatiesysteem waar personeel direct contact op kan nemen met de CEO of senior medewerkers kan helpen deze vorm van fraude te voorkomen. Denk daarbij aan een dubbel verificatiesysteem waarin elke belangrijke beslissing moet worden geverifieerd en gecontroleerd op minimaal twee momenten.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.