Business email compromise (bec) is de internationaal redelijk geaccepteerde term voor deze vorm van oplichting. In Nederland duikt vooral de term ceo-fraude op, ook als het in wezen meer de cfo betreft. De naam die je eraan geeft, is een semantische discussie en doet er niet veel toe. Punt is dat we het bij dit soort gevallen over hetzelfde probleem hebben: oplichterij via e-mail. Hoe je hier tegen te beschermen?
Anatomie van een BEC aanval
Om die vraag te beantwoorden, is het goed om eerst te weten hoe een bec-aanval doorgaans verloopt.
Dat gaat vaak in hoofdlijnen via de volgende stappen.
De aanvaller krijgt toegang tot het account van een medewerker, bijvoorbeeld door gelekte logingegevens of malware. In het account van die medewerker gaat de aanvaller vervolgens op zoek naar informatie die draait om uitvoering van betalingen: wie stuurt het betaalverzoek, wie ontvangt ze, met welke e-mail onderwerp, layout? Tot slot gebruikt de aanvaller de informatie uit de vorige stap om een misleidende e-mail te sturen die zo goed mogelijk lijkt op de normale procesgang, met als doel geld naar een rekening van de aanvaller over te laten maken
User awareness
In het voorbeeld van Bol.com en Brabantia gaat veel aandacht uit naar de lage taalniveau in de misleidende e-mail. Het zou aan de hand van spelfouten direct duidelijk moeten zijn dat hier iets niet aan klopt. Ook verzocht de aanvaller het bankrekeningnummer aan te passen naar een rekening in Spanje, wat opmerkelijk is voor een bedrijf dat Brabantia heet.
Het is waar: dit specifieke geval zou redelijk makkelijk herkend kunnen worden op basis van de inhoud. Trainen van medewerkers en zo de user awareness vergroten, kan daarom nooit kwaad. En daarbij aangemerkt dat het in de regel niet alleen neerkomt op de factor 'kennis' om de menselijke factor in te zetten tegen een digitale dreiging. Een bredere strategie gericht op gedragsverandering is van belang.
Tegelijkertijd is het gevaarlijk alleen te vertrouwen op gebruikersbewustzijn in het betalingsproces tegen deze dreiging. Er zijn genoeg voorbeelden waar de taal veel betrouwbaarder was. Want denk je nu echt dat achter die 26 miljard aan schade niet een criminele wereld schuil gaat die best een fatsoenlijke e-mail op kan stellen?
In het voorbeeld van 29 april, waarbij een financieel dienstverlener 1,5 miljoen euro verloor aan deze vorm van oplichting, geeft de politie weinig details. Maar je kunt wel aflezen aan het nieuwsbericht dat de aanval in dit geval wel gerichter in elkaar zat en dus moeilijker van echt te onderscheiden zal zijn geweest.
Dus naast user awareness is het raadzaam om ook naar technische maatregelen te kijken om de organisatie beter te beschermen tegen bec.
5 technische tips
De tips zijn te plotten op de aanvalsstappen hierboven.
Bescherming tegen bec-aanvalsstap 1 - toegang
- Tip 1: Tweestapsverificatie
- Tip 2: Blokkeer App Consent
Bescherming tegen bec-aanvalsstap 2 - op zoek naar informatie
- Tip 3: Blokkeer autoforwards
Bescherming tegen bec-aanvalsstap 3 - misleidend bericht
- Tip 4: Bescherm het e-maildomein in dns tegen spoofing
- Tip 5: Voeg zichtbare waarschuwingen toe aan spoofing e-mails
Om te kunnen beoordelen moet u ingelogd zijn: