Een e-mail van de directeur op vrijdagmiddag: ‘Marleen, kun jij met spoed tienduizend euro overmaken naar onze Chinese leverancier?’. Het zou zomaar kunnen zijn dat financieel medewerker Marleen direct een overboeking doet naar het Chinese bankrekeningnummer dat de directeur erbij vermeld heeft. Het begin van een heleboel ellende.
Tegenwoordig ontvangt één op de zes medewerkers met enige regelmaat een gespoofte e-mail. Het kan een bericht zijn als hierboven: zogenaamd afkomstig van de hoogste baas (of een andere niet-direct leidinggevende) met het verzoek geld over te maken of gevoelige informatie te verstrekken richting een zakenrelatie. In werkelijkheid gaat het geld naar een rekeningnummer van cybercriminelen. Deze vorm van social engineering staat bekend als ceo-fraude en komt steeds vaker voor.
Ingenieuze trucs
Uit een onderzoek van het Britse bedrijf Mimecast (dat onder meer e-mailbeveiliging levert) blijkt dat het aantal pogingen tot ceo-fraude afgelopen kwartaal met 80 procent is toegenomen ten opzichte van het eerste kwartaal van dit jaar. Het onderzoek is relevant omdat Mimecast ruim 140 miljoen e-mails beoordeelde, verzonden naar klanten wereldwijd. Daar zaten veertigduizend gespoofte e-mails tussen die de inbox van gebruikers hadden bereikt. Een aanzienlijke deel van die berichten bevatte geen malware, maar leek gewoon heel erg op een authentieke e-mail van een directeur (met het verzoek om geld over te maken of een wachtwoord door te geven). Het is het bewijs dat ingenieuze trucs van cybercriminelen ook de beste beveiliging kunnen omzeilen.
De enorme toename van het aantal pogingen tot ceo-fraude geeft aan dat cybercriminelen hier meer succes mee behalen dan met andere vormen van social engineering. Ook in Nederland moeten organisaties op hun hoede zijn, waarschuwt de politie. Zo werden afgelopen juni in korte tijd meerdere bedrijven in Nieuwerkerk aan den IJssel het slachtoffer van ceo-fraude. Ook de Nederlandse Vereniging van Banken maant tot voorzichtigheid. Omdat betalingen in het geval van ceo-fraude worden uitgevoerd door een gelegitimeerd persoon binnen de organisatie, wordt de schade niet vergoed door bank of verzekeraar. De verloren bedragen lopen uiteen van tienduizend euro tot meer dan honderdduizend euro per geval.
Voorzorgsmaatregelen
Hoe kunnen organisaties zich hiertegen wapenen? Het is verstandig om in elk geval de volgende voorzorgsmaatregelen te nemen:
- Laat betalingen vooraf altijd door een tweede medewerker (liefst een leidinggevende) controleren.
- Check bij buitenlandse overboekingen of het opgegeven rekeningnummer wel hoort bij het land waar de crediteur vandaan komt.
- Neem telefonisch contact op met de directeur of leidinggevende van wie het verzoek zou komen (uiteraard niet middels een telefoonnummer in de verdachte e-mail) om een afwijkende betalingsopdracht te verifiëren.
- Zorg dat er een procedure is om verdachte e-mails te melden bij de it-afdeling.
- Stel medewerkers op de hoogte van deze vorm van cybercriminaliteit. Leer ze middels voorbeelden en testjes hoe ze verdachte e-mails kunnen herkennen en rapporteren.
