Zo verkleint u de kans slachtoffer te worden van Business Email Compromise
Cybercriminelen maken steeds vaker gebruik van Business Email Compromise (BEC), beter bekend als CEO-fraude. Dit is een vorm van phishing waarbij de identiteit van een persoon met een hoge functie binnen een organisatie wordt misbruikt, meestal met als uiteindelijke doel de organisatie geld afhandig te maken. Wanneer een organisatie slachtoffer wordt van een serieuze BEC-campagne kan het al gauw tien- tot honderdduizend euro verliezen, zo blijkt uit onderzoek van Verizon. Er zijn voorbeelden bekend waarin een BEC-aanval nog veel meer heeft gekost. Zo werd in 2019 bioscoopketen Pathé het slachtoffer van BEC waarbij de daders het bedrijf ruim 19 miljoen euro afhandig maakten. Serieuze bedragen dus. Hoe gaat een BEC-aanvaller te werk en hoe zorgt u ervoor dat uw organisatie zich wapent tegen dit soort e-mails?
Hoe gaat BEC in zijn werk?
BEC is een vorm van social engineering (de kunst van het manipuleren, beïnvloeden of misleiden van anderen), waarbij een cybercrimineel zorgvuldig een of meerdere personen uit een organisatie kiest uit wiens naam hij een phishing-e-mail stuurt. Meestal richt hij zich op C-level en vaak de CEO, dat is de reden waarom BEC ook wel bekend staat als CEO-fraude. Omdat vaak wordt verzocht om een bedrag naar een bepaald rekeningnummer over te maken, is het niet vreemd dat een financieel medewerker groot risico loopt om slachtoffer te worden van BEC. Soms wordt de afdeling Finance zelfs overgeslagen en rechtstreeks contact gezocht met een andere collega op bestuursniveau, zoals ook bij Pathé het geval was. HR-medewerkers worden er dan weer vaak uitgepikt voor e-mails waarin wordt gevraagd om bepaalde documenten die persoonlijke informatie over een medewerker bevatten zo snel mogelijk toe te sturen. De phishing-e-mails om ‘even de login- gegevens te delen’ van ‘dat ene account’ waar de CxO ‘nu!’ toegang tot wil hebben, belanden juist weer bij de IT-medewerker. Die zou beter moeten weten, maar zeker onder grote tijdsdruk worden phishing-mails ook bij de afdeling IT wel eens over het hoofd gezien. Onderzoek wijst uit dat het in wezen zelfoverschatting is te denken dat u een phishing-e-mail, die nauwelijks van echt te onderscheiden is, (op tijd) herkent.
Schade door BEC helpen voorkomen
Of het nou gaat om het verliezen van een flinke smak geld (al dan niet om de crimineel af te kopen) of gevoelige gegevens die op straat belanden, de gevolgen van BEC voor een organisatie zijn niet te overzien. Helemaal voorkomen kunt u het nooit - mensen blijven immers fouten maken - maar u kunt de kans dat het uw organisatie overkomt wel verkleinen. In eerste instantie door ‘high-risk’ users in kaart te brengen en te onderzoeken welke informatie over hen publiekelijk vindbaar is, zodat het cybercriminelen niet té makkelijk wordt gemaakt in hun zoektocht naar slachtoffers. Maar ook door meer technische controles in te bouwen, variërend van e-mail filtering, multifactor authenticatie tot en met een verbeterd toegangs- en wachtwoordbeheer. Verder is het verstandig om te werken met het ‘vier-ogenprincipe’, waarbij minimaal twee personen goedkeuring dienen te geven voor het overboeken van bedragen boven een bepaalde hoogte. Phishing-e-mails houdt u daarmee niet buiten de deur, maar u verkleint wel het risico dat geld in verkeerde handen valt: twee zien immers meer dan één. Denk daarnaast aan het opstellen en bekendmaken van een duidelijk security-beleid dat medewerkers dienen na te leven en waar ook op wordt toegezien.
Het onderkennen dat uw organisatie ook slachtoffer kan worden van BEC is een belangrijke eerste stap. Het doorvoeren van de genoemde technische en organisatorische maatregelen is een heel goede tweede. Deze stappen zijn echter niet voldoende om u optimaal te beschermen: uw medewerkers moeten ook actief worden getraind zodat ze phishing e-mails (en andere digitale bedreigingen) enerzijds makkelijker en sneller leren herkennen en anderzijds weten hoe ze hiermee om moeten gaan. Het verhogen van de zogenoemde ‘security awareness’ gebeurt vaak door middel van speciale trainingen. Onderdeel van die training zijn gesimuleerde phishing e-mail-campagnes waarin medewerkers worden getest op het kennis, alertheid en reactie. Dergelijke trainingen helpen het bewustzijn onder medewerkers pas écht te vergroten. Door het inzetten van de krachtige combinatie van technologie en training maakt u de kans veel kleiner dat cybercriminelen die een BEC-aanval op uw medewerkers uitvoeren succesvol zijn.
Benieuwd of uw medewerkers phishing-e-mails op tijd herkennen? Probeer het uit met de gratis phishing-security-test van KnowBe4
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee