CEO-fraude, ook bekend als Executive Phishing of Business Email Compromise, is een vorm van cybercriminaliteit waarbij de aanvaller zich voordoet als een CEO, CFO of een andere bedrijfsleider. Het is een gevaarlijke vorm van aanval omdat de imitator vertrouwt op de autoriteit van de CEO om uiterst gevoelige informatie te verkrijgen of om geld te verwerven. Deze fraudeurs maken gebruik van enkele eenvoudige IT-trucs die veel schade kunnen aanrichten.
CEO-fraude komt vaker voor dan je denkt
Volgens een FBI-rapport, dat in 2020 werd gepubliceerd, ontving het Internet Crime Complaint Center (IC3) van de FBI 19.369 klachten betreffende Business Email Compromise, hetgeen neerkwam op een totaal verlies van ongeveer $ 1,8 miljard. Volgens de FBI neemt dit soort cybercriminaliteit toe, zeker nu zoveel mensen thuis werken.
In 2018 ontdekte The Boston Globe dat Save the Children, een non-profitorganisatie, ongeveer 1 miljoen USD verloor door fraude met valse e-mails. Cybercriminelen hadden het e-mailaccount van een medewerker van de organisatie misbruikt en valse facturen en documenten verzonden, waardoor de organisatie geld stuurde naar een frauduleuze entiteit in Japan.
Toyota, een leverancier van auto-onderdelen, werd in 2019 het slachtoffer van CEO-fraude en verloor 37 miljoen USD. Cybercriminelen hadden een leidinggevende van de financiële afdeling van het bedrijf misleid en overgehaald om een overboeking te doen, aldus het tijdschrift CPO.
Meer recentelijk gebruikte een cybercrimineel zelfs op kunstmatige intelligentie gebaseerde software om de stem van een chief executive na te bootsen en eiste hij een frauduleuze overschrijving van € 220.000 ($ 243.000) van een Hongaarse leverancier van een in het Verenigd Koninkrijk gevestigd energiebedrijf.
Maar niet alleen grote ondernemingen zijn een doelwit. Ook kleinere (familie)bedrijven lopen gevaar. In veel gevallen worden ook kleinere ondernemingen door deze aanvallen getroffen. Aangezien veel gevallen van online misdrijven en fraude niet worden gemeld, zijn zowel het aantal incidenten als de resulterende werkelijke verliezen waarschijnlijk veel hoger dan we momenteel weten.
In deze blogpost bespreken we hoe CEO-fraudeaanvallen werken en hoe je de tactieken van de fraudeurs gemakkelijk kunt doorzien.
Wat is CEO-fraude?
Cybercriminelen gebruiken vaak het e-mailaccount van een vertrouwde senior executive bij een bedrijf (zoals een CEO) – of een e-mailadres dat er erg op lijkt – om een werknemer te misleiden om geld over te maken of uiterst vertrouwelijke informatie te delen. De aanvaller doet zich voor als een vertrouwd persoon om te garanderen dat het doelwit doet wat hem wordt opgedragen. Veel intelligente, goedbedoelende werknemers zijn terughoudend om een verzoek van hun CEO in twijfel te trekken en zullen simpelweg aan hun verzoeken voldoen.
CEO-fraude moet niet worden verward met ‘whaling’: een phishing-aanval waarbij de cybercrimineel zich richt op een CEO of andere senior medewerkers van het bedrijf, in plaats van zich als hem voor te doen. CEO-fraude verschilt ook van phishing omdat cybercriminelen ook andere soorten social engineering-strategieën toepassen, zoals oplichting via de telefoon.
Hoe CEO-fraudeaanvallen werken
Zoals alle social engineering-aanvallen, maken CEO-fraudeaanvallen gebruik van het gevoel van vertrouwen en urgentie van mensen. Wanneer de CEO iets dringend nodig heeft, hebben werknemers niet de neiging om te twijfelen.
Er zijn twee manieren waarop cybercriminelen toegang kunnen krijgen tot het e-mailaccount van een CEO:
-
Hacking: het zakelijke e-mailaccount van de CEO hacken en gebruiken om e-mails naar werknemers te verzenden.
-
Gerichte phishing-e-mail, ook wel spear phishing genoemd (spear phishing): een e-mail verzenden vanaf een nep, bijna identiek e-mailadres als de CEO en deze imiteren.
De zeven meest voorkomende scenario's van CEO-fraude
Bewustwording is de sleutel als het gaat om preventie. Daarom hebben we een overzicht gemaakt van de meest voorkomende scenario’s van CEO-fraudeaanvallen:
-
Phishing via bankoverschrijving: een medewerker ontvangt een bericht van een gehackt of vervalst e-mailaccount van een CEO om een factuur te betalen.
-
Phishing via cadeaubonnen: de aanvaller vraagt het doelwit om cadeaubonnen voor hem te kopen (bijvoorbeeld als verrassing voor een collega).
-
Schadelijke bijlage: de e-mail bevat een bijlage met malware (phishing).
-
Geld overmaken naar een buitenlandse leverancier: deze vorm van oplichting richt zich op langdurige overboekingsrelaties met een leverancier, maar men vraagt om het geld naar een andere bankrekening over te maken.
-
Frauduleuze facturen: leveranciers van bedrijven ontvangen frauduleuze facturen van een geïmiteerde leidinggevende die, je raadt het al, hen vraagt om te worden betaald op een alternatieve bankrekening.
-
Vertrouwelijke gegevens: de cybercriminelen doen zich voor als advocaten of leidinggevenden die omgaan met vertrouwelijke en tijdgevoelige zakelijke informatie en vragen om vertrouwelijke gegevens.
-
Diefstal van gegevens: Een ‘topman’ verzoekt de HR-afdeling, boekhouding of auditafdeling om alle loon- of belastingaangifteformulieren of een lijst met persoonlijke gegevens te verzenden.
E-mails worden vaak gevolgd door telefoontjes van een persoon die erg betrouwbaar klinkt en die de werknemer vraagt om de betalingen te versnellen. Na betaling maken de cybercriminelen de bedragen over naar andere bankrekeningen.
Hoe CEO-fraude voorkomen?
Het is belangrijk om medewerkers van je bedrijf voorlichting te geven over cyber security en hen te informeren en bewust te maken van het belang om aandacht te besteden aan e-mailadressen, bedrijfsnamen en verzoeken waarvan ze zelfs maar een beetje achterdocht hebben.
Soms is het voldoende om goed op e-mailadressen, website-URL’s, sms-berichten of voicemaildetails te letten om te zien dat er een spelfout is gemaakt of dat een iets ander e-mailadres wordt gebruikt.
Het is ook verstandig om bedrijfsrichtlijnen te hebben als het gaat om geldoverschrijvingen. Een richtlijn zou bijvoorbeeld kunnen zijn dat werknemers multi-factor authenticatie moeten gebruiken voor betalingsverzoeken. Deze richtlijnen dienen te worden vastgelegd in een Acceptable Use Policy.
Bescherm je bedrijf tegen CEO-fraude
De CEO-imitator zal vaak proberen de werknemer onder druk te zetten door strakke deadlines te stellen. Om de CEO nauwkeurig te imiteren, doet hij vaak zeer nauwgezet en gedetailleerd onderzoek en profiteert hij van situaties waarin de betreffende leidinggevende niet gemakkelijk bereikbaar is, bijvoorbeeld omdat hij of zij op vakantie is of op een conferentie. Dus, wat kun je doen als je als werknemer een e-mail ontvangt en CEO-fraude vermoedt?
-
Wees alert bij onverwachte of onregelmatige betalingsverzoeken, ongeacht het bedrag.
-
Controleer elke overschrijving. Alle betalingsverzoeken met nieuwe of gewijzigde bankgegevens die per e-mail, brief of telefoon zijn ontvangen, moeten worden geverifieerd. Dit geldt ook voor interne e-mails met betalingsverzoeken.
-
Neem altijd contact op met de persoon waarvan je denkt dat hij de e-mail heeft gestuurd om er zeker van te zijn dat deze werkelijk van hem afkomstig is, ongeacht hoe druk jullie het allebei hebben. Als hij niet beschikbaar is en er in de e-mail om een dringend antwoord wordt gevraagd, neem dan contact op met één van zijn senior collega's. Maar verifieer dit niet per e-mail voor het geval dat zijn account is gehackt. Bel in plaats daarvan, vraag het persoonlijk of gebruik een andere vertrouwde communicatiemethode.
-
Voer in geval van twijfel de betaling niet uit, hoe urgent deze ook lijkt of wat de voorgestelde gevolg(en) ook mogen zijn.
-
Informeer al het personeel over dit soort fraude, met name degenen die betalingen doen of bestanden installeren.
-
Implementeer tweestapsverificatie voordat een betaling wordt verzonden.
-
Wees voorzichtig met de gegevens die je onthult over jouw bedrijf en belangrijke functionarissen op social media platforms en automatische out-of-office-antwoorden.
-
Overweeg om gegevens zoals referenties te verwijderen van je eigen websites of die van je leveranciers of van je social media platforms. Deze gegevens kunnen ertoe leiden dat fraudeurs weten wie je leveranciers zijn.
Dit was een overzicht van wat CEO-fraude is en wat je kunt doen om te voorkomen dat dit jouw bedrijf overkomt. Maar wat moet je doen als jouw bedrijf het slachtoffer wordt van CEO-fraude?
Dringende stappen die je moet nemen als jouw bedrijf het slachtoffer is van CEO-fraude
We hebben eerder vermeld dat een ongeautoriseerde geldoverschrijving, het lekken van vertrouwelijke informatie en een systeem dat wordt geïnfecteerd door kwaadaardige malware, allemaal onder CEO-fraude kunnen vallen.
In het geval van een frauduleuze overschrijving moet je:
-
Onmiddellijk contact opnemen met de cyberbeveiligingsafdeling van jouw bank.
-
Contact opnemen met de politie.
-
Een spoedvergadering beleggen om de raad van bestuur en het senior management te informeren over het incident, de genomen maatregelen en de te nemen acties.
-
Tot slot, jouw cyberbeveiligingsmaatregelen verbeteren en IT-beveiligingsspecialisten inschakelen.
Als er een malware-aanval plaatsvindt, moet je onmiddellijk contact opnemen met de IT-afdeling. Het IT-team van je bedrijf kan voorkomen dat de infectie zich verspreidt of dat je persoonlijke gegevens of die van het bedrijf gevaar lopen.
Als er sprake is van het lekken van vertrouwelijke informatie, kun je het beste contact opnemen met de Data Protection Officer (DPO). De DPO kent alle noodzakelijke protocollen om intern en publiekelijk te reageren, aangezien dit binnen 72 uur aan de autoriteiten dient te worden gemeld.
We hopen dat dit artikel jou en jouw team zal helpen voorkomen dat je bedrijf ooit het slachtoffer wordt van CEO-fraude. De beste manier om dit te waarborgen is door je team te trainen en hen bewust te maken van CEO-fraude.
Overweeg om dit gratis e-book te lezen dat we hebben geschreven over hoe je team je beste verdediging kan worden tegen cyberaanvallen en datalekken.
