ceo-fraude

Opgepast voor CEO-fraude en andere cybercrime - ook in de zomermaanden

- 7 July 2017

Wie vandaag naar buiten kijkt, durft het bijna te geloven: de Nederlandse zomer is begonnen. Tussen de buien door dan toch. De bouwvak, schoolvakanties en het lekkere weer (elders) zorgen traditioneel voor een aantal relatief rustigere maanden. Op het gebied van (digitale) veiligheid is er helaas nooit ruimte voor vakantie.

Vanuit het Havenbedrijf Rotterdam merkten we vorig jaar bijvoorbeeld juist in deze periode een verhoogde activiteit in cybercrime, onder meer op het gebied van CEO-fraude. Wat moet je weten?

CEO-FRAUDE
CEO-fraude is een vorm van phishing of social engineering waarbij de dader een medewerker van het bedrijf benadert alsof hij/zij een directeur of andere hooggeplaatste functionaris is. Het doelwit is vaak een manager of bijvoorbeeld een medewerker van de boekhouding of financiële afdeling. Hij of zij wordt vriendelijk maar met de nodige urgentie verzocht om een betaling uit te voeren, meestal naar het buitenland en naar een vooralsnog onbekende relatie.

Wat deze vorm van fraude zo ingrijpend maakt, is ten eerste het feit dat de overboeking door een medewerker binnen de organisatie wordt uitgevoerd. Een medewerker die daar bovendien toe bevoegd is, ook al zal later blijken dat de opdracht van een fraudeur van buiten het bedrijf kwam. Dat maakt het erg lastig om –tijdig– te ontdekken, laat staan om het terug te draaien. Ten tweede zullen banken en verzekeraars de geleden schade niet vergoeden. Het buitgemaakte bedrag is immers volgens de reguliere kanalen overgeboekt.

CEO-fraude is in de praktijk lastig te voorkomen, omdat cybercriminelen bijzonder veel moeite nemen in hun voorbereiding. Organisaties die te maken krijgen met CEO-fraude, worden heel bewust uitgezocht. In tegenstelling tot bijvoorbeeld generieke phishing-campagnes of een grootschalige ransomware-actie worden er geen (honderd)duizenden personen en bedrijven tegelijkertijd benaderd in de hoop dat er een paar zullen bijten. Nee, fraudeurs doen hun huiswerk en steken vaak maanden in de voorbereiding.

VOORBEREIDING EN DETAILS
Social engineering speelt bij CEO-fraude een grotere rol dan daadwerkelijke hacking. Cybercriminelen gebruiken bijvoorbeeld allerhande informatie online om zoveel mogelijk over een organisatie of een specifiek doelwit binnen een organisatie te weten te komen. Denk aan de corporate website, maar ook aan sociale media als Facebook en LinkedIn. Wie zijn de klanten en (toe)leveranciers, welke banken, financiële instellingen en bijvoorbeeld accountants of advocaten zijn er aan het bedrijf verbonden? Om vervolgens in te zoomen op medewerker(s) en functie(s). Wie kunnen we het beste benaderen, wat is zijn of haar taak, hoe is het netwerk opgebouwd? Maar ook: hoe liggen de verhoudingen binnen het bedrijf en waar liggen de zwakke punten? Wie is er verantwoordelijk voor welk onderdeel en wat is de beste ‘ingang’ om het doelwit te benaderen?

Dat huiswerk kan nog indringender van aard zijn. Door op de zwarte markt illegaal aan informatie te komen, of juist heel direct via e-mail of telefoon. Er wordt van alles aan gedaan om aan relevante gegevens te komen, zodat fraudeurs weten wie ze kunnen benaderen, wat ze moeten zeggen en op welke knoppen ze moeten drukken.

WAAR MOET IK OP LETTEN?
CEO-fraude heeft in de basis wel wat overeenkomsten met phishing: het startpunt voor de geslachtofferde medewerker is vaak een vals e-mailtje. Een oproep van bijvoorbeeld de directeur of eindverantwoordelijke van de financiële afdeling met het verzoek met de nodige haast een bepaalde betaling uit te voeren. Omdat het van invloed is op lopende onderhandelingen, bijvoorbeeld. Of om een overeenkomst met een nieuwe klant te versnellen.

Na het eerste e-mailverkeer wordt er vaak ook nog telefonisch contact gezocht, om de urgentie te benadrukken en om extra druk te leggen. Sleutelwoorden zijn termen als ‘vertrouwelijk’, ‘spoed’ en ‘cruciaal’: er is schijnbaar van alles aan gelegen om deze betaling snel uit te voeren, en de medewerker voelt behalve die druk ook een bepaalde betrokkenheid. ‘Ik kan helpen deze deal te beklinken!’

Bovenstaande signalen beschrijven de benadering, maar ook bij het daadwerkelijke betalingsproces kunnen er bellen gaan rinkelen. De uitvoering van de betaalopdracht wijkt namelijk vrijwel altijd af van de gebruikelijke handelingen, omdat fraudeurs hun best doen de transactie lastig traceerbaar te maken. Het gaat bijvoorbeeld om een bankrekening en een klant/relatie die binnen het bedrijf niet bekend is, en zeker nog niet in het systeem voorkomt.

WAT KAN IK DOEN?
Zoals bij alle vormen van cybercrime speelt awareness een belangrijke rol, het bewustzijn van een dreiging zoals CEO-fraude. Het is belangrijk dat er binnen alle lagen van een organisaties aandacht voor is, zodat medewerkers weten waar ze op moeten letten. Deel concrete tips, en zorg dat iedereen weet waar ze zich in geval van twijfel kunnen melden.

Dat geldt vooral voor de grotere bedrijven, want: hoe meer personeel, hoe groter de kans dat niet iedereen elkaar persoonlijk kent en hoe gemakkelijker het dus voor fraudeurs is om zich voor te doen als een collega of leidinggevende.

CONCRETE TIPS
Los van bewustzijn, het juiste niveau van kennis en informatie en een werkklimaat waarin deze risico’s bespreekbaar zijn, zijn er ook concrete handelingen om de risico’s van CEO-fraude te verkleinen:

Zorg voor heldere regels in het betaalverkeer. Cybercriminelen gebruiken afwijkende omstandigheden om gebruikelijke processen te omzeilen;

Zorg dat afwijking van die regels altijd vermeden worden;

Zorg voor een duidelijk stappenplan bij twijfelgevallen, zodat medewerkers intern toestemming checken voordat bepaalde transacties uitgevoerd worden. Bijvoorbeeld bij een collega of leidinggevende, want het is voor fraudeurs een stuk lastiger om meerdere mensen te misleiden;

Wees altijd alert op e-mail van onbekende afzenders en lees ook deze tips om phishing te voorkomen.

 

OVERIG NIEUWS: MELDING BIJ CYBERAANVALLEN
De Cyber Security Raad (CSR), een adviesorgaan van het Kabinet, wil dat meer bedrijven automatisch worden gewaarschuwd bij een cyberaanval. Momenteel geldt dat alleen voor de vitale sectoren, maar volgens raadslid Ron de Mos had de schade van de Petya-aanval minder kunnen zijn als bedrijven als APM Terminals en pakketdienst TNT eerder waren gewaarschuwd, zo laat hij tegenover BNR weten.