Business email compromise (bec) is de internationaal redelijk geaccepteerde term voor deze vorm van oplichting. In Nederland duikt vooral de term ceo-fraude op, ook als het in wezen meer de cfo betreft. De naam die je eraan geeft, is een semantische discussie en doet er niet veel toe. Punt is dat we het bij dit soort gevallen over hetzelfde probleem hebben: oplichterij via e-mail. Hoe je hier tegen te beschermen?
Anatomie van een BEC aanval
Om die vraag te beantwoorden, is het goed om eerst te weten hoe een bec-aanval doorgaans verloopt.
Dat gaat vaak in hoofdlijnen via de volgende stappen.
De aanvaller krijgt toegang tot het account van een medewerker, bijvoorbeeld door gelekte logingegevens of malware. In het account van die medewerker gaat de aanvaller vervolgens op zoek naar informatie die draait om uitvoering van betalingen: wie stuurt het betaalverzoek, wie ontvangt ze, met welke e-mail onderwerp, layout? Tot slot gebruikt de aanvaller de informatie uit de vorige stap om een misleidende e-mail te sturen die zo goed mogelijk lijkt op de normale procesgang, met als doel geld naar een rekening van de aanvaller over te laten maken
User awareness
In het voorbeeld van Bol.com en Brabantia gaat veel aandacht uit naar de lage taalniveau in de misleidende e-mail. Het zou aan de hand van spelfouten direct duidelijk moeten zijn dat hier iets niet aan klopt. Ook verzocht de aanvaller het bankrekeningnummer aan te passen naar een rekening in Spanje, wat opmerkelijk is voor een bedrijf dat Brabantia heet.
Het is waar: dit specifieke geval zou redelijk makkelijk herkend kunnen worden op basis van de inhoud. Trainen van medewerkers en zo de user awareness vergroten, kan daarom nooit kwaad. En daarbij aangemerkt dat het in de regel niet alleen neerkomt op de factor 'kennis' om de menselijke factor in te zetten tegen een digitale dreiging. Een bredere strategie gericht op gedragsverandering is van belang.
Tegelijkertijd is het gevaarlijk alleen te vertrouwen op gebruikersbewustzijn in het betalingsproces tegen deze dreiging. Er zijn genoeg voorbeelden waar de taal veel betrouwbaarder was. Want denk je nu echt dat achter die 26 miljard aan schade niet een criminele wereld schuil gaat die best een fatsoenlijke e-mail op kan stellen?
In het voorbeeld van 29 april, waarbij een financieel dienstverlener 1,5 miljoen euro verloor aan deze vorm van oplichting, geeft de politie weinig details. Maar je kunt wel aflezen aan het nieuwsbericht dat de aanval in dit geval wel gerichter in elkaar zat en dus moeilijker van echt te onderscheiden zal zijn geweest.
Dus naast user awareness is het raadzaam om ook naar technische maatregelen te kijken om de organisatie beter te beschermen tegen bec.
5 technische tips
De tips zijn te plotten op de aanvalsstappen hierboven.
Bescherming tegen bec-aanvalsstap 1 - toegang
- Tip 1: Tweestapsverificatie
- Tip 2: Blokkeer App Consent
Bescherming tegen bec-aanvalsstap 2 - op zoek naar informatie
- Tip 3: Blokkeer autoforwards
Bescherming tegen bec-aanvalsstap 3 - misleidend bericht
- Tip 4: Bescherm het e-maildomein in dns tegen spoofing
- Tip 5: Voeg zichtbare waarschuwingen toe aan spoofing e-mails
Reacties
@Erik, eens met je 5 technische tips die relatief eenvoudig, goedkoop en bij elkaar zeer effectief zijn. Maar dat kan je alleen aan je eigen kant regelen. Bol.com kon Brabantia niet zomaar dwingen om dat soort maatregelen te nemen. Ook eens dat er criminelen zijn die beter, ja heel veel beter zijn in phishing dan in de zaak Bol.com - Brabantia Netherlands. De instinkers worden steeds beter. En dat is een belangrijk punt voor bedrijven. Een groep criminelen kan, al dan niet met behulp van een mol of openbare informatie, zeer overtuigende e-mails of brieven sturen, met bijvoorbeeld nog een belletje er achteraan via een gespoofed telefoonnummer om druk uit te oefenen.
Hier helpen eenvoudige, goedkope en effectieve procedurele oplossingen. Vreemd genoeg worden er regelmatig grote bedragen overgemaakt, belangrijke bankrekeningnummers omgewisseld, alsof het slechts administratie handelingen zijn. Dat maakt CEO fraude o zo gemakkelijk. De CEO moet er voor zorgen dat er een sfeer is waarbij elke medewerker blijft nadenken en zo nodig durft na te vragen of een mutatie wel OK is. Een ego mag bedrijfsprocessen niet in de weg zitten.
Dag Erik,
Mooie serie maatregelen.
"E-mails vanaf domeinen die sterk lijken op dat van de organisatie of überhaupt van buiten de organisatie afkomstig zijn, zijn automatisch van een disclaimer te voorzien."
Gebeurd dat voordat de mail in de mailbox van de gebruiker terecht komt? Mijn ervaring is dat de browser vaak meer hulp aanbiedt dan een native client zoals Outlook geïnstalleerd op een computer.
Google Workspace is hier standaard al behoorlijk goed in en voorziet de gebruiker (ook als de mail al afgeleverd is) van handige toevoegingen zoals "Je hebt niet eerder met deze afzender gecommuniceerd. Wees voorzichtig met dit bericht". Gebeurdt dit ook als je Outlook op een computer als App geïnstalleerd hebt?
Wat betreft de bol.com zaak: Het is natuurlijk raar dat het proces van het wijzigen van een IBAN nummer voor betalingen afhangt van een enkel e-mailtje. Goede processen zijn in mijn ogen net zo belangrijk als overige technische en bewustwording maatregelen.
En vaak is bewustwording als een vaccin: Als je erover leest, wordt je immuun. Iemand die over WhatsApp fraude leest trapt er niet meer in.
Nog iets specifieker over bol.com. Een belangrijk aspect in de fraude is dat de emails die bol.com verstuurde naar het adres in Brabantia direct op als gelezen werd gezet en verplaatst naar een sub-map zodat de eigenaar van de mailbox deze niet zou zien. De huidige beschreven maatregelen helpen hier niet tegen. Dus alleen je eerste tip had een grote impact gehad op het bol.com / Brabantia verhaal.
Zo zie je dat als je zelf alles goed op orde hebt qua techniek, je ook afhankelijk bent van de rest van je keten.
Maar alle laagjes helpen. Dus ik sta uiteraard achter de door jou genoemde maatregelen.