Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Een halt toeroepen aan ceo-fraude

Dit artikel delen:

Computable Expert

mr. Jeffrey De Graaf
Md Emea, KNOWBE4. Expert van Computable voor het topic Security.

Een e-mail van de directeur op vrijdagmiddag: ‘Marleen, kun jij met spoed tienduizend euro overmaken naar onze Chinese leverancier?’. Het zou zomaar kunnen zijn dat financieel medewerker Marleen direct een overboeking doet naar het Chinese bankrekeningnummer dat de directeur erbij vermeld heeft. Het begin van een heleboel ellende.

Tegenwoordig ontvangt  één op de zes medewerkers met enige regelmaat een gespoofte e-mail. Het kan een bericht zijn als hierboven: zogenaamd afkomstig van de hoogste baas (of een andere niet-direct leidinggevende) met het verzoek geld over te maken of gevoelige informatie te verstrekken richting een zakenrelatie. In werkelijkheid gaat het geld naar een rekeningnummer van cybercriminelen. Deze vorm van social engineering staat bekend als ceo-fraude en komt steeds vaker voor.

Ingenieuze trucs

Uit een onderzoek van het Britse bedrijf Mimecast (dat onder meer e-mailbeveiliging levert) blijkt dat het aantal pogingen tot ceo-fraude afgelopen kwartaal met 80 procent is toegenomen ten opzichte van het eerste kwartaal van dit jaar. Het onderzoek is relevant omdat Mimecast ruim 140 miljoen e-mails beoordeelde, verzonden naar klanten wereldwijd. Daar zaten veertigduizend gespoofte e-mails tussen die de inbox van gebruikers hadden bereikt. Een aanzienlijke deel van die berichten bevatte geen malware, maar leek gewoon heel erg op een authentieke e-mail van een directeur (met het verzoek om geld over te maken of een wachtwoord door te geven). Het is het bewijs dat ingenieuze trucs van cybercriminelen ook de beste beveiliging kunnen omzeilen.

De enorme toename van het aantal pogingen tot ceo-fraude geeft aan dat cybercriminelen hier meer succes mee behalen dan met andere vormen van social engineering. Ook in Nederland moeten organisaties op hun hoede zijn, waarschuwt de politie. Zo werden afgelopen juni in korte tijd meerdere bedrijven in Nieuwerkerk aan den IJssel het slachtoffer van ceo-fraude. Ook de Nederlandse Vereniging van Banken maant tot voorzichtigheid. Omdat betalingen in het geval van ceo-fraude worden uitgevoerd door een gelegitimeerd persoon binnen de organisatie, wordt de schade niet vergoed door bank of verzekeraar. De verloren bedragen lopen uiteen van tienduizend euro tot meer dan honderdduizend euro per geval.

Voorzorgsmaatregelen

Hoe kunnen organisaties zich hiertegen wapenen? Het is verstandig om in elk geval de volgende voorzorgsmaatregelen te nemen:

  • Laat betalingen vooraf altijd door een tweede medewerker (liefst een leidinggevende) controleren.
  • Check bij buitenlandse overboekingen of het opgegeven rekeningnummer wel hoort bij het land waar de crediteur vandaan komt.
  • Neem telefonisch contact op met de directeur of leidinggevende van wie het verzoek zou komen (uiteraard niet middels een telefoonnummer in de verdachte e-mail) om een afwijkende betalingsopdracht te verifiëren.
  • Zorg dat er een procedure is om verdachte e-mails te melden bij de it-afdeling.
  • Stel medewerkers op de hoogte van deze vorm van cybercriminaliteit. Leer ze middels voorbeelden en testjes hoe ze verdachte e-mails kunnen herkennen en rapporteren.
x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Jouw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2018-09-14T14:12:00.000Z Jeffrey De Graaf
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.