Actueel

Actuele ontwikkelingen

We houden je graag op de hoogte van de laatste ontwikkelingen op het gebied van security awareness, informatiebeveiliging en privacy. Mis niets van onze blogs, diensten en events door je in te schrijven voor onze periodieke updates.

arrow-down

Het is de hoogste tijd om ons te wapenen tegen CEO-fraude


Onlangs was het was weer raak. Een financieel dienstverlener werd slachtoffer van CEO-fraude. Er werd ruim anderhalf miljoen euro buitgemaakt. De directeur heeft aangifte gedaan, maar of het bedrijf het geld ooit nog terugziet? Waarschijnlijk niet.

Een medewerker van het bedrijf ontving een e-mail die van de directeur afkomstig leek, waarin werd gevraagd om een rekeningnummer te wijzigen waar geld naar toe zou worden overgemaakt dat bedoeld was voor de aandeelhouders. Een klassiek geval van CEO-fraude.

Het is hoog tijd om ons te wapenen tegen deze doordachte vorm van cybercrime. Wat is CEO-fraude, waarom is het zo effectief en wat kunnen we er tegen doen? Je leest het in deze blog.

04 mei photo


Wat is CEO-fraude?

Bij CEO-fraude, ook wel whaling genoemd, stuurt de oplichter een e-mail namens een hooggeplaatste persoon van een organisatie (vaak de CEO of CFO) naar een medewerker met een frauduleuze betaalopdracht of een verzoek om een rekeningnummer te wijzigen. De oplichter creëert urgentie en noodzaak, zoals een aankomende overname of uitbetaling aan een belangrijke klant. Vanwege dit karakter wordt gevraagd om af te wijken van de reguliere procedure.

Vaak maken criminelen gebruik van e-mail spoofing, gebruiken ze sterk lijkende e-mailadressen of hebben ze toegang tot het e-mailaccount, bijvoorbeeld door inloggegevens via phishing te hebben verkregen.

CEO-fraude is een vorm van Business Email Compromise (BEC). Onder Business Email Compromise vallen onder ander ook salarisfraude en leveranciersfraude:

  • Salarisfraude: bij salarisfraude stuur een crimineel een frauduleuze e-mail naar HR of de salarisadministratie met het verzoek om betaalgegevens te wijzigen of bij te werken. Op die manier wordt het salaris niet overgemaakt naar een legitieme bankrekening maar naar de rekening van de oplichter.
  • Leveranciersfraude: bij leveranciersfraude doet een crimineel zich voor als een leverancier waarmee een organisatie regelmatig zaken doet. De crimineel stuurt een verzoek om de bankgegevens bij te werken voor de betaling van openstaande facturen. Onlangs kwam naar buiten dat Bol.com eind 2019 750.000 euro over naar oplichters overmaakt die Brabantia hadden gehackt. De oplichters verstuurden vanuit het e-mailaccount van Brabantia een e-mail met het verzoek om bankrekeningnummers te wijzigen. Sappig detail: de e-mail stond bol van de spelfouten. Bol.com vond dat zijn werknemers voldoende reden hadden om aan te nemen dat de wijzigingen van het rekeningnummer klopte. De rechter heeft nu echter bepaald dat Bol.com alsnog Brabantia moet betalen.

Bekijk onze video om te zien hoe CEO-fraude in zijn werk gaat. Deze video is onderdeel van een trainingsmodule in ons security awareness platform.


Simpele actie, grote schade

Met name bij CEO-fraude en leveranciersfraude gaat het vaak om tonnen of miljoenen euro’s. Het meest bekende recente voorbeeld is dat van bioscoopketen Pathé, waarbij 19 miljoen euro werd buitgemaakt. Het meest pijnlijke is dat de Nederlandse directie het target was. Criminelen deden zich voor als directeuren van het Franse hoofdkantoor en stuurden meerdere keren e-mails naar de Nederlandse directie met het verzoek om geld over te maken voor overnames. De Nederlandse topfunctionarissen zijn na de ontdekking van deze misser ontslagen.

Een andere geruchtmakende zaak vond in 2014 plaats bij Feyenoord In dat jaar verkocht Feyenoord verdediger Stefan de Vrij aan de Italiaanse club Lazio. De clubs kwamen overeen de transfersom in vier delen te betalen. Bij de laatste fase van de betaling ging het mis. In 2018 ontving Lazio een e-mail met het verzoek het laatste termijnbedrag van 2 miljoen euro over te maken naar de Rotterdamse club. Het vermelde rekeningnummer was echter in handen van cybercriminelen. Feyenoord heeft dat laatste termijnbedrag dan ook nooit gezien.

Waarom is CEO-fraude zo effectief?

Net zoals bij alle andere vormen van social engineering spelen criminelen bij CEO-fraude in op factoren waar mensen gevoelig voor zijn. CEO-fraude is te herkennen aan de volgende factoren:

  • Tijdsdruk en urgentie: het geld moet snel overgemaakt worden, want anders kan een belangrijke deal niet doorgaan. Regelmatig worden deze verzoeken aan het einde van de dag verstuurd om de urgentie extra kracht bij te zetten.
  • Nadruk op gezagsverhouding en autoriteit: de (betaal)opdracht wordt als bevel gegeven en komt van iemand van het hoger management. Hier tegenin gaan zou ongepast zijn.
  • Benadrukken vertrouwelijkheid: het is belangrijk om de opdracht vertrouwelijk te behandelen. Andere collega’s mogen nog niet op de hoogte worden gesteld.
  • Persoon is moeilijk bereikbaar: er wordt benadrukt dat communicatie alleen per e-mail mogelijk is. Telefonisch is de persoon niet te bereiken vanwege andere belangrijke zaken.
  • De medewerker wordt belangrijk gemaakt: het doelwit is uitgekozen om de opdracht uit te voeren vanwege zijn/haar uitzonderlijke kwaliteiten. Zonder hem/haar gaat het niet lukken.

Helaas zit het in de aard van de mens dat we graag (te) behulpzaam willen zijn. Ook al is er enige twijfel, door de combinatie tussen bovenstaande factoren zijn we toch geneigd om te willen helpen en onszelf te bewijzen.

Hoe wapen je jezelf als bedrijf tegen CEO-fraude?

Doorlopende training
Gelukkig is het steeds vaker regel dan uitzondering, maar doorlopende security awareness training is essentieel om medewerkers te trainen in het herkennen en afwenden van CEO-fraude en andere social engineering aanvallen. Een effectieve en schaalbare manier is door periodiek online trainingen aan te bieden. Hiermee maak je medewerkers alert op de signalen en maak je hen bewust dat dergelijke verzoeken altijd op een andere manier dan e-mail geverifieerd dienen te worden.

Technische maatregelen
Maak e-mail spoofing onmogelijk door de e-maildienst van je organisatie op de juiste manier te configureren. Natuurlijk sluit je hier niet alle aanvallen mee uit, maar je beperkt wel de mogelijkheden voor criminelen. Lees meer over e-mail spoofing in onze blog.

Zorg voor duidelijke procedures
Zorg dat er procedures rondom betalingen en het veranderen van betaalgegevens zijn opgesteld die altijd en voor iedereen gelden. Communiceer deze procedures duidelijk. Zorg er daarnaast voor dat dergelijke aanvragen nooit alleen via e-mail kunnen worden aangevraagd.

Creëer een meldcultuur
Een open cultuur waarin incidenten snel gemeld worden is essentieel voor een goede preventie en afhandeling. Stel een centraal meldpunt in, train medewerkers in wat te melden, hoe te melden, wat er met de melding gedaan wordt en beloon het melden. Lees meer over het creëren van een meldcultuur in onze blog.

Meer weten over training en preventie? Neem dan eens vrijblijvend contact met ons op!

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte via onze nieuwsbrief

Inschrijven

Actuele ontwikkelingen

Mis niets van onze blogs, diensten en events door je in te schrijven voor onze periodieke updates.

logo 23 mrt
Vacature | Gezocht: Junior accountmanager Lees meer
logo 01 mrt
Autoriteit Persoonsgegevens luidt noodklok vanwege explosieve toename hacks en datadiefstal Lees meer
logo 10 feb
Gratis webinar 4 maart | Mens, Organisatie en Techniek in de Informatiebeveiliging Lees meer
Nieuwsarchief