BEC fraude: Investeer in uw bedrijf, niet in de cybercrimineel!

Grote kans dat je dan slachtoffer bent geworden van BEC (Business Email Compromise) fraude. Vrij vertaald: criminelen gebruiken je zakelijke emailverkeer om je op te lichten. BEC fraude komt in verschillende vormen voor. Maar voor nu richten we ons specifiek op drie varianten: CEO-fraude, bankrekeningfraude en digitale factuurfraude.
Bij CEO fraude krijgt een werknemer een mail van de ‘baas’ met het (dringende) verzoek om geld over te maken.

Maar het blijkt hier niet om de baas te gaan, maar om cybercriminelen. Bij bankrekeningfraude doet een cybercrimineel zich voor als een medewerker of een leverancier en mailt met het verzoek tot het wijzigen van een bankrekeningnummer, waarna het geld naar een malafide bankrekeningnummer wordt overgemaakt.
Bij digitale factuurfraude daarentegen komt er een normale factuur binnen, maar is het rekeningnummer door criminelen aangepast. Het geld gaat dan ook niet naar de leverancier/klant, maar naar de crimineel.

Enkele voorbeelden van bovenstaande vormen van fraude hebben de media gehaald. Een schrijnend geval betreft een bedrijf uit Leimuiden dat €80.000 naar criminelen heeft overgemaakt. Of bijvoorbeeld Lazio Roma, dat in 2014 een deel van de toch al niet misselijke (voor dat tijdperk althans) transfersom voor Stefan de Vrij overmaakte naar criminelen in plaats van naar Feyenoord.

Ook CEO-fraude kan relatief simpel zijn. Zo kreeg de penningmeester van een sportvereniging uit Zoetermeer een betalingsverzoek van € 3500 van de ‘voorzitter’. Gelukkig was de beste man zo slim om niet direct te betalen, maar toch even de voorzitter te bellen. Bioscoopketen Pathé had in 2018 een groter probleem nadat ze €19 miljoen over hebben gemaakt naar criminelen. Recenter heeft ook het Rotterdamse staalbedrijf Jewometaal ruim €11 miljoen ‘geïnvesteerd’ in de cybercrimineel.

Er zijn allerlei manieren om de genoemde vormen van fraude te plegen, vaak mogelijk gemaakt doordat de beveiliging van e-mail niet op orde is. Hierdoor kan de domeinnaam of het e-mailaccount van de verzender misbruikt worden, en wordt bij de ontvanger de mail niet als malafide herkend.

Zoals altijd in de wereld van informatiebeveiliging is het antwoord hierop dat er een mix nodig is van technische maatregelen om e-mail te beveiligen, organisatorische maatregelen om procedures en werkafspraken te maken, aangevuld met de menselijke component die goed gedrag moet vertonen en alert/scherp moet zijn.

Beveilig e-mail door middel van:

• Sender Policy Framework (SPF): SPF is een techniek waarmee je aangeeft welke mailservers e-mail namens de domeinnaam in kwestie mogen versturen. Daarmee kunnen andere mailservers dan ook controleren of een e-mail wel of niet is verzonden door een geautoriseerde mailserver.

• Domain Keys Identified Mail (DKIM): Met DKIM geef je aan met welke sleutels e-mails namens de domeinnaam ondertekend moeten zijn. Zie het als een soort van vingerafdruk die aan elke verzonden mail wordt toegevoegd. De ontvangende mailserver gebruikt deze ‘vingerafdruk’ om na te gaan of de e-mail afkomstig is van een vertrouwde mailserver en of er tijdens het transport niets is veranderd aan het bericht.

• Domain-based Message Authentication, Reporting & Conformance (DMARC): DMARC legt een link tussen SPF en DKIM, en geeft aan hoe de ontvangende mailserver om moet gaan met de resultaten van deze twee maatregelen.

• DNSSEC: De bovengenoemde maatregelen leunen allemaal op informatie dien in de zogeheten DNS staat opgeslagen. Wat een DNS doet en hoe dit precies werkt laten we hier even buiten beschouwing, maar zoals je je vast kan voorstellen hebben de bovenstaande maatregelen alleen zin als de DNS ook beveiligd is. Dit gaat (onder andere) door middel van DNSSEC.

• De oplettende lezer heeft door dat de technische maatregelen vooral zien op instellingen in de mailserver van de verzender, welke het mogelijk maakt voor de ontvangende mailserver om deze te controleren. Dit betekent dan ook dat het niet alleen belangrijk is dat je deze maatregelen zelf hebt genomen, maar ook dat dit het geval is bij al je klanten en leveranciers! Ga hierover dus het gesprek aan met klanten en leveranciers, en neem dit op als voorwaarde bij het aangaan van nieuwe relaties.

• Maak werkafspraken met elkaar en hanteer het 4-ogen principe bij het wijzigen van bankrekeningnummers of bij betalingen van grote(re) bedragen. Twee personen zien meer dan één!

Ook de medewerker zelf heeft een belangrijke rol om deze vormen van fraude te voorkomen. Hiervoor zullen medewerkers:

• Getraind moeten worden in het herkennen van fraude en phishing. Waar herken je deze mails aan? Wanneer kan je wel of niet klikken op links in een mail? Wat te doen als ze een mail niet vertrouwen?

• Scherp en alert moeten zijn. Wordt er ineens veel druk uitgeoefend om een betaling uit te voeren, is het taalgebruik in een mail anders dan normaal, of ‘voelt’ het simpelweg vreemd?

• Bewust gemaakt moeten worden van de interne procedures, het4-ogen-principe en deze dan ook naleven!.

Elk bedrijf is uniek. De sector, omvang, beschikbare financiële middelen, mankrachten en de risicobereidheid bepalen welke maatregelen nodig en mogelijk (kunnen) zijn. Daarom is er dan ook geen standaard recept voor de beste mix van de beveiligingsmaatregelen. Laat je adviseren bij het vinden van de optimale mix.

Oh, en nog een aantal standaard beveiligingsmaatregel die we altijd adviseren:

1. Gebruik altijd sterke wachtwoorden (nog beter: wachtzinnen!)

2. Stel 2-factor authenticatie in

3. Awareness training voor alle medewerkers over cyberrisico’s. Hierover meer in het volgende blog!

Dit blog is geschreven door Wouter Vugs vanuit Growteq, IT Businessunit van Visser & Visser. Wil je weten hoe je het best kunt investeren in de IT-beveiliging van je bedrijf? Wij denken graag met u mee. Neem contact met ons op of ga naar de website van Growteq.