Hacker die zich voordoet als iemand anders.

CEO-fraude, de grote misleiding!

Volgens de FBI heeft CEO-fraude de laatste jaren 50 miljard dollar gekost. CEO-fraude staat ook wel bekend als Business Email Compromise (BEC). Het is een vorm van oplichting waarbij criminelen zich voordoen als hoge functionaris, bijvoorbeeld als CEO (Chief Executive Officer) van een bedrijf. Zo misleiden ze medewerkers, leveranciers of financiële afdelingen van hetzelfde bedrijf of andere organisaties om geld over te maken naar frauduleuze rekeningen.

Hoe gaat CEO-fraude in zijn werk?

Bij CEO-fraude proberen criminelen toegang te krijgen tot interne mailboxen van een bedrijf, waarna ze opdrachten geven om rekeningen te betalen. Uiteraard zijn dit overboekingen naar een rekening waar de criminelen bij kunnen. Hiervoor gebruiken ze mailadressen die erg lijken op interne adressen, maar het niet zijn. Bijvoorbeeld door gebruik te maken van tekens uit niet-westerse talen, die bijna niet te onderscheiden zijn van normale letters. Zoals bij rаbobаnk.nl, waarbij de а een niet-standaard teken is (hier de Cyrillische kleine letter A). Een andere methode die veel gebruikt wordt voor CEO-fraude is het domweg spoofen van een intern mailadres.

In vijf stappen van je geld af

De CEO-manier van oplichting bestaat meestal uit de volgende vijf stappen.

Stap 1: Verkrijgen van informatie
De oplichters proberen eerst informatie te verzamelen over het doelbedrijf, zijn werknemers en de relaties tussen verschillende afdelingen. Dit wordt gedaan via onlineonderzoek, social engineering of zelfs door het hacken van e-mails.

Stap 2: Spoofing
De oplichters maken een e-mailaccount of een e-maildomein aan dat lijkt op dat van een hoge functionaris, zoals de CEO. Ze gebruiken vaak subtiele variaties in de domeinnaam of een soortgelijk ogend e-mailadres.

Stap 3: E-mailbericht
De oplichters sturen e-mails naar financiële medewerkers van het bedrijf met een urgent verzoek om een geldoverdracht te initiëren. Deze e-mails bevatten meestal overtuigende taal en kunnen beweren dat het geld nodig is voor een vertrouwelijke transactie, een belangrijke investering of een dringende zakelijke kans.

Stap 4: Manipulatie en druk
De e-mails kunnen psychologische druk uitoefenen op de ontvangers door te benadrukken dat discretie vereist is en dat het bedrijfsbelang op het spel staat. Dit maakt het moeilijker voor medewerkers om de legitimiteit van het verzoek in twijfel te trekken.

Stap 5: Geldoverdracht
Als de oplichting succesvol is, maakt de medewerker geld over naar de opgegeven bankrekening. Deze bankrekening is meestal van de oplichters zelf of van hun handlangers. Zodra het geld is overgemaakt, is het moeilijk terug te halen.

Leveranciersfraude

Een andere manier is dat criminelen zich voordoen als leverancier. Zo proberen zij facturen te laten betalen naar een andere rekening dan normaal. Uiteraard vaak met een bericht waar een zekere urgentie uit blijkt, een aanmaning of iets dergelijks. In zo’n geval komt de e-mail via gehackte mailboxen van de betreffende leverancier of via een gespooft mailadres.

Voor dit soort fraude moeten criminelen een aantal dingen doen. Ten eerste moeten ze een plausibele factuur sturen, liefst van een reguliere leverancier. Ten tweede moet die factuur aan de juiste persoon of afdeling gericht zijn, zodat het betaalverzoek legitiem lijkt. Ten derde moeten ze de ontvanger overhalen om het verschuldigde bedrag naar een ander rekeningnummer over te maken. Om dit te laten lukken, is dus vrij veel kennis van het betaalproces van het slachtoffer nodig. Soms is deze informatie te verkrijgen uit gehackte mailboxen, soms staan dit soort gegevens gewoon openbaar op de website van het bedrijf of de leverancier.

Let op: ze zijn slim!

CEO-fraude is succesvol vanwege de geloofwaardige imitatie van hogere bedrijfsfunctionarissen, de dringende aard van de verzoeken en het gebruik van psychologische manipulatie. Criminelen zijn heel inventief en geduldig om dit soort fraude te laten slagen. Ze bestuderen een slachtoffer vaak langere tijd, zodat ze e-mails helemaal in de stijl van het slachtoffer kunnen schrijven. Dat geldt ook voor mogelijke leveranciers die ze willen imiteren. Die grondige aanpak maakt het vaak heel lastig om dit soort mails te doorzien.

Bedrijven moeten waakzaam zijn en beveiligingsmaatregelen treffen om medewerkers te beschermen tegen deze vorm van oplichting. Het implementeren van strikte verificatieprocedures voor geldoverdrachten, training van medewerkers in het herkennen van verdachte verzoeken en het verbeteren van de algehele cyberbeveiliging zouden daarvan onderdeel moeten uitmaken.

Wat kun je als bedrijf doen om CEO-fraude te voorkomen?

Het uiteindelijke doel van de criminelen is dat je geld overmaakt naar een rekening die zij beheren. Als je die stap kunt tegenhouden, dan mislukt de fraude. Er zijn verschillende momenten in het oplichtingsproces waarop je die kans hebt. Bijvoorbeeld door te voorkomen dat de criminelen de juiste informatie krijgen om de betaling legitiem te doen lijken. Denk hierbij aan het niet openbaar maken van leveranciers op de eigen website of genoemd worden als klant op de website van de leverancier.

Voorkomen begint ook met ervoor te zorgen dat de interne mailboxen niet gehackt kunnen worden. Goed patch management (op de mailservers, maar ook op eventuele firewalls) is dan ook het advies. Dit verkleint de kans op vulnerabilities en verhoogt de bescherming. Maar ook het gebruik van een sterke authenticatie op die mailboxen (2-weg verificatie) en geen hergebruik van wachtwoorden is belangrijk. Daarnaast zorgt implementatie van DKIM, DMARC en SPF ervoor dat ontvangers kunnen verifiëren dat e-mails ook echt afkomstig zijn van de eigen mailserver(s) en niet gespooft zijn. Helaas heb je geen controle over de mailboxen van leveranciers en blijven externe mails altijd een risico.

Wat je wel zelf in de hand hebt, is het betalingsproces binnen het bedrijf. Medewerkers zouden alleen facturen moeten betalen, waar ook een bevestiging van de geleverde dienst of goederen tegenover staat. Een leveranciersfactuur met een gewijzigd rekeningnummer moet direct een alarmbel doen rinkelen, waarbij controle altijd vereist is. Niet via e-mail uiteraard, voor het geval criminelen toegang hebben tot mailverkeer, maar gewoon even bellen dus!

Conclusie

Door een goed patchbeleid, het niet lekken van informatie en een bewust betalingsproces kun je als bedrijf het verlies van grote bedragen zoveel mogelijk voorkomen. Ventus IT Professionals kan jouw bedrijf hierbij helpen. Neem daarom gerust contact op!

Robert Elsinga
security expert

Ben je geïnteresseerd in IT-security en op zoek naar een nieuwe uitdaging? Neem dan zo snel mogelijk contact met ons op om te horen wat Ventus jou kan bieden.
-> Bekijk de mogelijkheden voor professionals

Wil je als opdrachtgever weten welke expertise Ventus op het gebied van IT-security in huis heeft? Neem dan vrijblijvend contact met ons op om de mogelijkheden te bespreken.
-> Bekijk de mogelijkheden voor opdrachtgevers