BLOG – Wereldwijd vinden er gemiddeld 66 miljoen gerichte business email compromise (bec)-aanvallen per maand plaats. In 2023 was driekwart van de Nederlandse bedrijven hier slachtoffer van. Ofwel, deze aanvalsmethode vormt een groot risico voor de productie-industrie.
Aanvallen op de supply chain leveren cybercriminelen veel op. Drijfveren voor cybercriminelen om zich te richten op de supply chain zijn:
- Waardevol intellectueel eigendom: diefstal van patenten, beroepsgeheimen en owned bedrijfsprocessen zijn lucratief voor cybercriminelen;
- Complexe supply chains: cybercriminelen doen zich voor als leveranciers en maken misbruik van de verbonden supply chain-structuur;
- Operationele verstoring: verstoringen veroorzaken grote schade. Cybercriminelen kunnen dit ook gebruiken voor het eisen van losgeld;
- Financiële fraude: cybercriminelen manipuleren transacties om financiële fraude te plegen. Ze proberen onder andere bancaire routegegevens te wijzigen.
Proofpoint identificeerde onlangs een groep cybercriminelen die zich voordeed als legitieme leverancier. Zij namen de identiteit aan van fabrikanten die zich specialiseren in duurzame vezelverpakkingsproducten. Na het compromitteren van de leveranciersaccount, stuurde de bende een e-mail met nieuwe bankgegevens naar de fabrikant met verzoek tot betaling naar een andere bankrekening. Als de fabrikant inging op dit verzoek, werd zijn geld gestolen.
Verloop
Een bec-aanval gericht op de supply chain verloopt in twee stappen:
- Het eerste bericht: een legitieme leverancier verstuurt via zijn officiële account een eerste e-mail naar het productiebedrijf. Hierin staan details over de te betalen factuur;
- Het misleidende bericht: de daaropvolgende berichten zijn niet verstuurd door de leverancier, maar door de dreigingsactor die deze nabootst. Hoewel het lijkt alsof het bericht afkomstig is van de legitieme leverancier, is dit account ondertussen gecompromitteerd. Deze e-mail bevat een bijlage met nieuwe routegegevens voor bankbetalingen. Vervolgens stuurt de dreigingsactor een follow-up met een domein dat eindigt op ‘cam’ in plaats van ‘com’.
Voorkomen
Een effectieve oplossing is een detectiestack van artificiële intelligentie (ai)- en machine learning (ml)-methoden die helpt bij het identificeren en blokkeren van bec-dreigingen. De integratie van een domeinleeftijdsanalyse, ml-algoritmen en verificatiemechanismen creëert een allesomvattende verdediging.
Dit is áltijd een teken van cybercrime-activiteit
De implementatie van ai en ml ondersteunt bij het lokaliseren van ‘domain tells’. Zo bootste de dreigingsactor in een e-mailcampagne in de carbon copy (cc) legitieme domeinen na. Ook leken de verstuurde berichten afkomstig te zijn van medewerkers binnen de organisatie. Subtiele staaltjes van criminelen om hun frauduleuze berichten te camoufleren. Ook het nabootsen van legitieme domeinen doen ze door een paar tekens te veranderen of toe te voegen. Deze kleine veranderingen maken het voor de ontvanger lastig om de e-mail als frauduleus in te schatten.
Met generatieve-ai-tools, zoals ChatGPT, schrijven dreigingsactoren content en schonen deze op. Daarnaast helpen schrijfstijlen en tonen nabootsen om overtuigende, gerichte en geautomatiseerde phishing-berichten te verspreiden.
Een tweede detectietechniek voor het vaststellen van ‘contextual references of intent’ werd in dit geval ook gebruikt. In de e-mail naar de fabrikant waren bijlagen toegevoegd met informatie over een gewijzigde bankroutering. Dit is áltijd een teken van cybercrime-activiteit en duidt op de intentie tot het manipuleren van de routering van financiële gegevens naar een door hen gecontroleerde bankrekening.
Best practices
Voor het voorkomen van succesvolle (!) bec-aanvallen hanteert een bedrijf onderstaande best practices:
- E-mail-detectie voor aflevering essentieel: bedrijven moeten schadelijke berichten blokkeren voor deze hun doel bereiken. Zo beschermen organisaties hun werknemers en stellen ze zichzelf veilig. Het investeren in oplossingen die ai- en ml-algoritmen combineren met geavanceerde dreigingsdetectie voor het identificeren en blokkeren van dreigingen, leidt hier tot de oplossing.
- Gebruikers moeten effectieve verdedigers zijn: medewerkers, aannemers en partners zijn de laatste verdediging van een bedrijf. Een securitybewustzijnsprogramma dat hen leert over types bec-aanvallen, de oplossing en bescherming hiertegen is cruciaal. Alertheid van gebruikers voor misleidende e-mails, verdachte taken en ongebruikelijke verzoeken, verkleint het risico dat ze mogelijk creëren bij het veroorzaken van een data-lek of het aanbrengen van financiële schade.
Tot slot
Een moderne aanpak die continu dreigingen detecteert en analyseert in de e-mailketen, zowel voor als na het afleveren en tot en met de click-time, ondersteunt bedrijven bij hun end-to-end-bescherming tegen nieuwe dreigingen zoals gen-ai.
Siegfried Huijgen is securityexpert en regional director Benelux bij Proofpoint
