CEO-Fraude en andere vormen van pretexting
In de afgelopen jaren is CEO-fraude een grote zorg geworden voor veel organisaties. CEO-fraude wordt vaak voorafgegaan door pretexting. Pretexting is een social engineering methode waarbij (cyber) criminelen plausibele berichten (pretexts) en context verzinnen om het vertrouwen van beoogde slachtoffers te winnen.
Wat is CEO-fraude?
Bij deze vorm van cybercriminaliteit doen aanvallers zich voor als hooggeplaatste leidinggevenden of andere werknemers met beslissingsbevoegdheden om vervolgens slachtoffers te verleiden tot het sturen van gevoelige informatie of geld naar een frauduleuze rekening. In deze blogpost verkennen we de risico's van CEO-fraude en andere vormen van e-mailvervalsing en geven we tips om deze aanvallen te voorkomen en te beperken.
De opkomst van CEO-fraude
CEO-fraude komt steeds vaker voor als het gevolg van verschillende factoren:
- Verhoogde online activiteit: Mensen werken bijvoorbeeld meer thuis, waardoor ze kwetsbaarder zijn voor dit soort aanvallen, je kan nou eenmaal niet even voor de zekerheid langs het kantoor lopen van de collega die je wat vroeg of opdroeg. Het verzoek van de imitator is bijna altijd “urgent”.
- Professionalisering van cybercriminelen: Aanvallers spelen een kat en muis spel met tegenmaatregelen en de industrie loopt altijd achter. Ze maken tegenwoordig gebruik van betrouwbare IP-adressen en zorgvuldig opgebouwde mail reputaties. Daarnaast zijn er ook hier weer hele ketens door criminelen opgebouwd, waarin de ene groep zich specialiseert in het stelen van inlogggegevens (credentials) en de andere zich specialiseert in frauduleuze berichten.
- Gebrek aan bewustwording: Veel werknemers zijn niet bekend met het fenomeen of zich mogelijk niet bewust van de risico's van CEO-fraude. Daarnaast weten ze niet hoe ze deze aanvallen kunnen herkennen, voorkomen en rapporteren.
- Procuratie afspraken: in veel organisaties liggen zijn er nog geen duidelijke procuratieafspraken gemaakt die dit soort incidenten kunnen voorkomen. Of zijn ze wel gemaakt, maar worden ze wellicht niet voldoende geforceerd.
Hoe gaat CEO fraude in zijn werk?
Er zijn meerdere manieren waarop een crimineel een persoon of een entiteit (bijvoorbeeld een leverancier) kan imiteren om vervolgens CEO-fraude te plegen. Het meest overtuigende scenario staat bekend als "business email compromise" (BEC). BEC doet zich voor wanneer een aanvaller het e-mailsysteem van een organisatie binnendringt, bijvoorbeeld door het misbruiken van eerder buitgemaakte credentials . Die inloggegevens worden verkregen door social engineering methoden zoals phishing gericht op de hooggeplaatste personen (ook wel bekend als whaling). Doordat dergelijke “whales” binnen organisaties vaak veel aanzien genieten en meer machtigingen hebben op zowel procuratie als technisch vlak, worden deze identiteiten als zeer waardevol gezien door cybercriminelen. Het is dus goed om jezelf als leidinggevende niet onnodig veel rechten te verschaffen en het “least privilige” principe te volgen en daarnaast een goede cyber hygiëne in acht te nemen.
Naast het daadwerkelijk misbruiken van een echt account wordt er vaak gebruik gemaakt van Spoofing, waarbij een naam van een collega en organisatie zo goed als mogelijk wordt geïmiteerd. Iedereen kan namelijk zeer eenvoudig zichzelf een naam geven bij het verzenden van mails, als een crimineel als afzender naam Jan Jansen – PostNL gebruikt, dan lijkt het net alsof het Jan Jansen van PostNL is. Het is dus zaak om altijd alert te zijn en om het mail domein (het adres achter de @) te controleren.
Vaak zie je dan meteen dat het om een nepadres gaat, maar soms gaat het zo ver dat er cousin domains (sterk gelijkende domeinnamen) zijn geregistreerd om het nog moeilijker te maken voor slachtoffers. In voorgaand voorbeeld zou de malafide mail dus afkomstig kunnen zijn van
janjansen@post-nl.nl, je moet dan als collega echt je eerste bak koffie op hebben om deze te spotten . Hoewel (phishing-)training een organisatie weerbaarder kan maken, blijven dit soort technische herkenningspunten heel lastig te herkennen en kan gespecialiseerde tooling een extra hulpmiddel zijn.
De gevolgen van CEO-fraude
CEO-fraude kan verwoestende gevolgen hebben voor organisaties, waaronder financieel.
In het recent uitgebrachte
DBIR rapport van Verizon komt naar voren dat de gemiddelde schade rond de 45.000 euro ligt per incident. In de praktijk komen wij ook (financieel) kleinere incidenten tegen. Bijvoorbeeld waarbij een nieuwe stagiair door “hoofd HR” is gevraagd om voor 1.000 euro aan cadeaubonnen voor te schieten en de codes door te mailen omdat iedereen zo hard heeft gewerkt. Nog vaker zien we grotere incidenten waarbij de schade in de tonnen loopt. Overgemaakt geld kan moeilijk of onmogelijk terug te halen zijn. Ook ben je vaak niet verzekerd door de cyberverzekeraar, gezien een groot deel van deze gevallen onder reguliere oplichting vallen, en niet per se onder cybercrime.
Denk daarnaast aan reputatieschade. De reputatie van een bedrijf kan aanzienlijk lijden als het slachtoffer wordt van een CEO-fraude aanval en als gevolg daarvan rekeningen niet op tijd kunnen worden voldaan. Leveranciers zullen wellicht begrip hebben voor uitstel, maar vragen zich wel af of de procuratie wel op orde is. Zijn gegevens van klanten en leveranciers wel veilig? Hoewel de soep vaak minder heet gegeten wordt wanneer het bij interne schade blijft, zullen dat toch de vragen zijn die door het hoofd kunnen gaan van relaties.
Ook werknemers kunnen het vertrouwen in de beveiligingsmaatregelen van je organisatie verliezen, wat eventueel zou kunnen leiden tot verminderde productiviteit en moreel. Voorkomen is ook hier weer, beter dan genezen!
CEO-fraude voorkomen
Er zijn technische oplossingen om relatief eenvoudig een groot deel van de mogelijke fraude pogingen af te vangen. Om te voorkomen dat jouw domein misbruikt kan worden, kun je gebruik maken van de standaarden DKIM en SPF en DMARC. Aan de andere kant moet je ervoor zorgen dat je geen inkomende mail accepteert die niet aan deze standaarden voldoen. Echter, bieden deze maatregelen geen bescherming tegen spoofing of cousin domains. Deze domeinen zijn technisch vaak gewoon in orde.
Bij StackSecure hebben we bijvoorbeeld een dienstverlening waarmee we kunnen voorkomen dat namen van (hooggeplaatste) medewerkers, belangrijke leveranciers of klanten worden gespooft/geïmiteerd. Een mail van de “CEO” richting een collega van finance met het verzoek het rekeningnummer van een leverancier aan te passen of ‘even 10k over te maken” wordt daarmee herkend en behandeld.
De techniek dicht nooit alle risico’s af en een juiste inzet van techniek staat of valt met de implementatie en het onderhoud. Wanneer de database niet goed wordt bijgehouden en een nieuwe collega wordt getarget, dan heeft de techniek geen zin.
Voor al hetgeen er toch doorsijpelt naar de medewerkers, al is het maar 1 mail per jaar, dient alsnog een voorbereiding te worden getroffen. Dit is zowel organisatorisch in de vorm van een sterk procuratiebeleid, als ook in het trainen van de collega’s zodat ze bewust worden en blijven over deze vormen van social engineering. Onthoud, BEC aanvallen werken namelijk alleen wanneer mensen erin trappen. Investeer dus zeker ook in de mens.
Slachtoffer van CEO fraude?
Als jouw organisatie (net) slachtoffer is geworden van een CEO-fraudeaanval, volg dan deze stappen:
- Meld het incident: Meld het incident bij de relevante autoriteiten en bijvoorbeeld de bank
- Beperk de schade: Beperk de schade door alle financiële transacties te bevriezen en gevoelige informatie te beveiligen.
- Analyseer de aanval: Analyseer de aanval om kwetsbaarheden te identificeren en implementeer maatregelen om toekomstige aanvallen te voorkomen.
- Communicatie en training: Communiceer transparant naar medewerkers, wat er heeft plaatsgevonden. Zie dit als eerste effectieve (dure) training. Bied medewerkers daarna de handvatten om vergelijkbare scenario’s in de toekomst eerder te herkennen door middel van doorlopende security awareness training.
Resumé:
CEO-fraude is een reële, actuele dreiging voor organisaties. Door de risico's van CEO-fraude te begrijpen en effectieve preventie- en beperkingsstrategieën te implementeren, kan je de organisatie beter beschermen tegen deze aanvallen.
Onderneem actie
Heb je als organisatie onlangs een incident gehad op dit gebied? Of wil je kwaadwillenden juist proactief voor zijn? StackSecure biedt consultancy, technische oplossingen, phishing simulaties en security awareness training.
Een van onze experts staat je graag vrijblijvend te woord over de technische en organisatorische en persoonlijke maatregelen om de kans op dergelijke incidenten flink te verlagen. Klik
hier voor onze contactgegevens of laat een bericht achter zodat wij contact kunnen opnemen.
Wat is CEO-Fraude?
CEO-fraude, is een soort cybercrime waarbij een aanvaller een bedrijfs e-mail systeem compromitteert of valse e-mails stuurt die lijken te komen van een legitieme executive of medewerker. Het doel van de aanval is om slachtoffers gevoelige informatie, zoals login-gegevens of financiële gegevens te ontfutselen, of zelfs geld over te laten maken naar een frauduleuze rekening.
Hoe kan ik CEO-Fraude voorkomen?
Om CEO-fraude te voorkomen, is het essentieel om een aantal basisregels te volgen. Allereerst dient de techniek op orde te zijn, gebruik een goede anti-spam oplossing en zet DKIM,SPF en DMARC in om mail veiliger te maken. Zorg voor goede procuratie afspraken en zie toe op een adequate naleving daarvan. Daarnaast is het belangrijk om medewerkers te bewust te maken van de risico's van CEO-fraude en hen te trainen op hoe ze deze aanvallen kunnen identificeren en voorkomen.
Wat zijn de gevolgen van CEO-Fraude?
De gevolgen van CEO-fraude kunnen aanzienlijk zijn voor uw organisatie. Het kan leiden tot financiële verliezen, reputatieschade en zelfs verlies van vertrouwen bij medewerkers. Bovendien kan een business e-mail compromise scenario zoals CEO-Fraude ook leiden tot een breder scala van risico's, waaronder het compromitteren van gevoelige informatie en het laagdrempeliger/mogelijk maken voor aanvallers om andere bedrijven te bestelen.
Hoe kan ik CEO-Fraude detecteren?
Om CEO-fraude te detecteren, is het belangrijk om uw e-mail systeem goed te controleren op mogelijke aanvallen. Dit kan worden bereikt door gebruik te maken van e-mail-filtering software zoals die van StackSecure. Ook is het goed om regelmatig belangrijke mailboxen te controleren op ongewone activiteiten. Bovendien is het essentieel om uw medewerkers te bewust te maken van de risico's van CEO-fraude en hen te trainen op hoe ze deze aanvallen kunnen identificeren en melden. Denk daarbij aan oplossingen zoals het StackAware plaform van StackSecure.
Wat kan ik doen als mijn bedrijf slachtoffer wordt van CEO-Fraude?
Wanneer je organisatie slachtoffer wordt van CEO-fraude, is het essentieel om snel te handelen om de schade te beperken. Dit kan worden bereikt door alle financiële transacties te stoppen en alle gevoelige informatie te veiligstellen. Daarnaast is het belangrijk om een melding te maken bij de relevante autoriteiten, zoals de bank, politie en specifieke branche gerelateerde meldpunten. Communiceer transparant naar medewerkers over het incident en kijk na of het relevant is om klanten en leveranciers te waarschuwen voor “valse” verzoeken vanuit je organisatie. Bovendien is het essentieel om een onderzoek te doen naar de aanval en alle mogelijke risico's te identificeren om toekomstige aanvallen te voorkomen.
