Supply chain is populair doelwit van cybercriminelen (en daarom lesje ‘bec’)

18 september 2024 - 17:154 minuten leestijdOpinieSecurity & Awareness
Siegfried Huijgen
Siegfried Huijgen

BLOG – Wereldwijd vinden er gemiddeld 66 miljoen gerichte business email compromise (bec)-aanvallen per maand plaats. In 2023 was driekwart van de Nederlandse bedrijven hier slachtoffer van. Ofwel, deze aanvalsmethode vormt een groot risico voor de productie-industrie.

Aanvallen op de supply chain leveren cybercriminelen veel op. Drijfveren voor cybercriminelen om zich te richten op de supply chain zijn:

  • Waardevol intellectueel eigendom: diefstal van patenten, beroepsgeheimen en owned bedrijfsprocessen zijn lucratief voor cybercriminelen;
  • Complexe supply chains: cybercriminelen doen zich voor als leveranciers en maken misbruik van de verbonden supply chain-structuur;
  • Operationele verstoring: verstoringen veroorzaken grote schade. Cybercriminelen kunnen dit ook gebruiken voor het eisen van losgeld;
  • Financiële fraude: cybercriminelen manipuleren transacties om financiële fraude te plegen. Ze proberen onder andere bancaire routegegevens te wijzigen.

Proofpoint identificeerde onlangs een groep cybercriminelen die zich voordeed als legitieme leverancier. Zij namen de identiteit aan van fabrikanten die zich specialiseren in duurzame vezelverpakkingsproducten. Na het compromitteren van de leveranciersaccount, stuurde de bende een e-mail met nieuwe bankgegevens naar de fabrikant met verzoek tot betaling naar een andere bankrekening. Als de fabrikant inging op dit verzoek, werd zijn geld gestolen.

Verloop

Een bec-aanval gericht op de supply chain verloopt in twee stappen:

  • Het eerste bericht: een legitieme leverancier verstuurt via zijn officiële account een eerste e-mail naar het productiebedrijf. Hierin staan details over de te betalen factuur;
  • Het misleidende bericht: de daaropvolgende berichten zijn niet verstuurd door de leverancier, maar door de dreigingsactor die deze nabootst. Hoewel het lijkt alsof het bericht afkomstig is van de legitieme leverancier, is dit account ondertussen gecompromitteerd. Deze e-mail bevat een bijlage met nieuwe routegegevens voor bankbetalingen. Vervolgens stuurt de dreigingsactor een follow-up met een domein dat eindigt op ‘cam’ in plaats van ‘com’.
Voorkomen

Een effectieve oplossing is een detectiestack van artificiële intelligentie (ai)- en machine learning (ml)-methoden die helpt bij het identificeren en blokkeren van bec-dreigingen. De integratie van een domeinleeftijdsanalyse, ml-algoritmen en verificatiemechanismen creëert een allesomvattende verdediging.

Dit is áltijd een teken van cybercrime-activiteit

De implementatie van ai en ml ondersteunt bij het lokaliseren van ‘domain tells’. Zo bootste de dreigingsactor in een e-mailcampagne in de carbon copy (cc) legitieme domeinen na. Ook leken de verstuurde berichten afkomstig te zijn van medewerkers binnen de organisatie. Subtiele staaltjes van criminelen om hun frauduleuze berichten te camoufleren. Ook het nabootsen van legitieme domeinen doen ze door een paar tekens te veranderen of toe te voegen. Deze kleine veranderingen maken het voor de ontvanger lastig om de e-mail als frauduleus in te schatten.

Met generatieve-ai-tools, zoals ChatGPT, schrijven dreigingsactoren content en schonen deze op. Daarnaast helpen schrijfstijlen en tonen nabootsen om overtuigende, gerichte en geautomatiseerde phishing-berichten te verspreiden.

Een tweede detectietechniek voor het vaststellen van ‘contextual references of intent’ werd in dit geval ook gebruikt. In de e-mail naar de fabrikant waren bijlagen toegevoegd met informatie over een gewijzigde bankroutering. Dit is áltijd een teken van cybercrime-activiteit en duidt op de intentie tot het manipuleren van de routering van financiële gegevens naar een door hen gecontroleerde bankrekening.

Best practices

Voor het voorkomen van succesvolle (!) bec-aanvallen hanteert een bedrijf onderstaande best practices:

  • E-mail-detectie voor aflevering essentieel: bedrijven moeten schadelijke berichten blokkeren voor deze hun doel bereiken. Zo beschermen organisaties hun werknemers en stellen ze zichzelf veilig. Het investeren in oplossingen die ai- en ml-algoritmen combineren met geavanceerde dreigingsdetectie voor het identificeren en blokkeren van dreigingen, leidt hier tot de oplossing.
  • Gebruikers moeten effectieve verdedigers zijn: medewerkers, aannemers en partners zijn de laatste verdediging van een bedrijf. Een securitybewustzijnsprogramma dat hen leert over types bec-aanvallen, de oplossing en bescherming hiertegen is cruciaal. Alertheid van gebruikers voor misleidende e-mails, verdachte taken en ongebruikelijke verzoeken, verkleint het risico dat ze mogelijk creëren bij het veroorzaken van een data-lek of het aanbrengen van financiële schade.
Tot slot

Een moderne aanpak die continu dreigingen detecteert en analyseert in de e-mailketen, zowel voor als na het afleveren en tot en met de click-time, ondersteunt bedrijven bij hun end-to-end-bescherming tegen nieuwe dreigingen zoals gen-ai.

Siegfried Huijgen is securityexpert en regional director Benelux bij Proofpoint

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Meer lezen

    Geef een reactie

    Footer