Business email compromise is een soort cybercriminaliteit en vormt een snel groeiend probleem. In het verleden waren het voornamelijk grotere bedrijven die het slachtoffer werden van vormen van business email compromise zoals CEO-fraude of phishing e-mails. Maar dit verschuift nu steeds meer naar het MKB.
Bedrijven in het MKB zijn gemiddeld gezien minder goed voorbereid op deze vorm van criminaliteit. Ze zijn zich niet altijd bewust van de gevaren, ze geven het niet de juiste prioriteit of ze hebben geen budget om dit probleem aan te pakken. Toch kunnen de gevolgen zo groot zijn, soms groter dan bij ransomware-aanvallen, dat een bedrijf failliet kan gaan. Reden genoeg om je te wapenen tegen alle vormen van business email compromise. Maar wat is het precies en hoe doe je dat?
Wat is business email compromise?
Business email compromise is een vorm van cybercriminaliteit waarbij aanvallers proberen om bedrijven te misleiden en geld te stelen door frauduleuze e-mails of nepfacturen. Deze e-mails zijn vaak goed doordacht en zien eruit als legitieme communicatie.
De aanvallers doen zich voor als een vertrouwde afzender, zoals een collega of een klant. Vervolgens verleiden ze jou of andere medewerkers om geld over te maken of vertrouwelijke informatie te delen.
Wat is CEO Fraude?
CEO-fraude is een vorm van business email compromise. Bij CEO-fraude doen criminelen zich voor als de CEO of een ander hooggeplaatst persoon binnen een bedrijf. Ze sturen een e-mail naar een medewerker die verantwoordelijk is voor financiële transacties en vragen om een betaling of een overschrijving naar een externe rekening.
Hiervoor zetten criminelen vaak e-mailspoofing in. Dat betekent dat ze e-mailadressen van een bekende organisatie of persoon vervalsen, ook wel ‘spoofen’ genoemd. Spoofing is een techniek om een e-mail te versturen vanuit een adres dat niet echt van de afzender is. Dat kan eenvoudig wanneer een e-mailadres niet beveiligd is door een zogenaamde Sender Policy Framework (SPF). Op deze manier lijkt een mail goed, terwijl dat niet zo is.
Een andere manier is dat zij de mailbox van de CEO of een andere medewerker hacken en via het gehackte account mailen. Zij mailen op deze manier vanuit het echte account en zullen heel geloofwaardig overkomen op het slachtoffer. Vaak zijn er doorstuurregels ingesteld waarbij alle inkomende e-mails worden doorgestuurd naar de cybercrimineel. Deze kan dus meelezen met alle e-mails.
Versturen van nepfacturen
Criminelen sturen ook vervalste facturen naar bedrijven, in de hoop dat deze door de organisatie in kwestie betaald worden. Deze facturen lijken echt en bevatten vaak een verzoek om betaling van openstaande facturen, maar dan op de rekening van de crimineel. Ook dat leidt regelmatig tot aanzienlijke verliezen.
Bovendien kan het bedrijf gevoelige informatie zoals bankgegevens aan de aanvaller prijsgeven wanneer het probeert de nepfactuur te betalen. Dit leidt doorgaans niet alleen tot financiële verliezen, maar ook reputatieschade en kwetsbaarheid voor verdere cyberaanvallen.
Hoe komen cybercriminelen een organisatie binnen?
Voordat cybercriminelen overgaan tot het versturen van nepfacturen of CEO-fraude infiltreren ze vaak al binnen een organisatie. Ze zoeken alle informatie op die ze online kunnen vinden: van wie werkt er tot welke collega werkt op de financiële afdeling. Dit is Informatie die ze vaak op LinkedIN of andere social media kunnen vinden. Soms worden medewerkers zelf gebeld voor extra informatie.
Met de gegevens die ze verzamelen sturen criminelen vervolgens volledig op maat gemaakte mails naar (bijvoorbeeld) financiële medewerkers van een bedrijf. Dit is een phishing-techniek, genaamd ‘spear-phishing’. Ze sturen een e-mail naar medewerkers binnen het bedrijf die er echt uitziet, maar die niet echt is. Hierin verleiden ze de medewerkers om op een link te klikken of gevoelige informatie achter te laten. Denk aan inloggegevens van bedrijfsaccounts of agenda's. Een geraffineerde manier om bij een organisatie binnen te komen en informatie te verzamelen.
Doordat ze vertrouwelijke informatie hebben verzameld, zijn de nepfacturen niet te onderscheiden van echte facturen. Het is voor de crimineel meer werk, maar het leidt met regelmaat tot miljoenenschades voor bedrijven.
Voorbeelden van business email compromise
Bij het Rotterdamse staalbedrijf Jewometaal hebben criminelen via CEO-fraude 11 miljoen euro buitgemaakt. De fraudeur deed zich voor als topman van het Duitse moederbedrijf en slaagde erin om een medewerker opdracht te geven om miljoenen over te maken.
Eerder werd bioscoopketen Pathé slachtoffer van CEO-fraude. Criminelen deden zich voor als directeuren van het Franse hoofdkantoor en stuurden e-mails naar de Nederlandse directie met het verzoek om geld over te maken. Hierdoor is meer dan 19 miljoen euro buitgemaakt. Het leidde overigens tot het ontslag van de twee betrokken directieleden. Terwijl het niet hun schuld was, maar zij ook het slachtoffer waren van de cybercriminelen.
Dit zijn twee geruchtmakende voorbeelden van grote bedrijven. In de praktijk blijkt echter dat het probleem steeds meer verschuift naar MKB-bedrijven. Deze bedrijven zijn vaak nog kwetsbaarder. Reden genoeg om CEO-fraude en andere vormen van business email compromise te voorkomen.
Hoe voorkom je business email compromise?
Als je business email compromise wilt voorkomen in je bedrijf, bestaan er verschillende effectieve maatregelen die je kunt nemen:
Werk met veiligheidsprotocollen binnen bedrijven
Implementeer veiligheidsprotocollen binnen je bedrijf om ervoor te zorgen dat alle medewerkers weten hoe ze op de juiste manier omgaan met bedrijfsgegevens.
Een sterk wachtwoordbeleid mag absoluut niet ontbreken. Hieronder vallen zaken als:
- Inzet van tweefactorauthenticatie
- Het gebruik van wachtwoordzinnen en sterke wachtwoorden.
- Policy met betrekking tot hoe vaak een wachtwoord gewijzigd moet worden
- Afspraken over hoe wachtwoorden opgeslagen moeten worden.
Dit maakt het voor hackers lastiger om wachtwoorden te achterhalen en binnen te dringen in het bedrijfssysteem.
Daarnaast geldt dat er een goed Incident Response Plan moet liggen voor wanneer er toch dingen fout gaan. Zodat er efficiënt gehandeld kan worden.
Maak medewerkers bewust
Het is enorm belangrijk om medewerkers bewust te maken van de risico’s en hoe ze kunnen voorkomen op valse e-mails te reageren. Verzorgt awarenesstrainingen en zorg ervoor dat medewerkers weten hoe ze verdachte e-mails moeten herkennen en melden.
Tweestapsverificatie
Gebruik tweestapsverificatie (2FA) op alle zakelijke accounts. Zo krijgen hackers moeilijker toegang tot accounts, zelfs als ze het wachtwoord hebben.
Domeinbeheer
Koop domeinnamen die lijken op je hoofddomeinnaam. Op die manier voorkom je dat criminelen phishing-e-mails versturen vanaf vergelijkbare domeinen.
Gebruik e-mail authenticatieprotocollen
Er bestaan e-mail authenticatieprotocollen zoals SPF, DKIM en DMARC die helpen om te controleren of een e-mail daadwerkelijk afkomstig is van de beweerde afzender. Zeker wanneer het gaat om de HR- of financiële afdeling is dit van groot belang.
Controleer facturen en betalingsverzoeken en implementeer een goedkeuringsproces
Wees extra alert bij facturen en betalingsverzoeken. Controleer de afzender en het bankrekeningnummer voordat je een betaling doet. Stel daarnaast een goedkeuringsproces in voor betalingen en facturen. Dit helpt ervoor te zorgen dat er geen betalingen worden gedaan zonder dat er minstens twee mensen naar hebben gekeken.
Verifieer altijd een betaling door de aanvrager van de betaling te bellen of zelfs in persoon naar toe te lopen om te vragen of het klopt.
Conclusie
Hoewel je veel technische maatregelen kunt nemen om business email compromise te voorkomen, is het in veel gevallen vooral de menselijke factor die aanvallers in staat stelt om succesvol te zijn. Aanvallers gebruiken technieken om medewerkers te manipuleren en ze te laten denken dat ze communiceren met een vertrouwde afzender, zoals een collega of klant.
Als medewerkers niet voldoende getraind zijn om verdachte e-mails te herkennen en te vermijden, kunnen ze onbewust geld overmaken of vertrouwelijke informatie delen. Zelfs een simpele vergissing, zoals het klikken op een kwaadaardige link of het beantwoorden van een vervalste e-mail heeft soms ernstige gevolgen voor een bedrijf.
Let wel: een belangrijke kanttekening is dat cybercriminelen steeds slimmer worden en iedereen het slachtoffer kan worden van hackers. Awareness rondom dit thema is extreem belangrijk. Ook een open cultuur in het bedrijf draagt bij aan het voorkomen van problemen: een medewerker kan in alle veiligheid verdachte mails melden. Want zelfs als een medewerker op een link klinkt kan er van alles gedaan worden om de schade te beperken.
Neem alle mogelijke technische maatregelen en zorg er vooral voor dat je medewerkers zich bewust zijn van het risico en dat ze weten wat ze moeten doen als ze een verdachte e-mail ontvangen.
