Bol.com trapte in de val van internetoplichters en was 750.000 euro lichter. Een paar dagen geleden meldde de politie dat een financieel dienstverlener 1,5 miljoen verloor door ceo-fraude. Bizarre bedragen, per stuk veel heftiger dan ransomware. Maar geen toeval. Volgens de FBI is deze vorm van cybercriminaliteit de schadelijkste van allemaal en kostte zij de Amerikaanse economie in de voorbije drie jaar tijd 26 miljard dollar.
Business email compromise (bec) is de internationaal redelijk geaccepteerde term voor deze vorm van oplichting. In Nederland duikt vooral de term ceo-fraude op, ook als het in wezen meer de cfo betreft. De naam die je eraan geeft, is een semantische discussie en doet er niet veel toe. Punt is dat we het bij dit soort gevallen over hetzelfde probleem hebben: oplichterij via e-mail. Hoe je hier tegen te beschermen?
Anatomie van een BEC aanval
Om die vraag te beantwoorden, is het goed om eerst te weten hoe een bec-aanval doorgaans verloopt.
Dat gaat vaak in hoofdlijnen via de volgende stappen.
De aanvaller krijgt toegang tot het account van een medewerker, bijvoorbeeld door gelekte logingegevens of malware. In het account van die medewerker gaat de aanvaller vervolgens op zoek naar informatie die draait om uitvoering van betalingen: wie stuurt het betaalverzoek, wie ontvangt ze, met welke e-mail onderwerp, layout? Tot slot gebruikt de aanvaller de informatie uit de vorige stap om een misleidende e-mail te sturen die zo goed mogelijk lijkt op de normale procesgang, met als doel geld naar een rekening van de aanvaller over te laten maken
User awareness
In het voorbeeld van Bol.com en Brabantia gaat veel aandacht uit naar de lage taalniveau in de misleidende e-mail. Het zou aan de hand van spelfouten direct duidelijk moeten zijn dat hier iets niet aan klopt. Ook verzocht de aanvaller het bankrekeningnummer aan te passen naar een rekening in Spanje, wat opmerkelijk is voor een bedrijf dat Brabantia heet.
Het is waar: dit specifieke geval zou redelijk makkelijk herkend kunnen worden op basis van de inhoud. Trainen van medewerkers en zo de user awareness vergroten, kan daarom nooit kwaad. En daarbij aangemerkt dat het in de regel niet alleen neerkomt op de factor ‘kennis’ om de menselijke factor in te zetten tegen een digitale dreiging. Een bredere strategie gericht op gedragsverandering is van belang.
Tegelijkertijd is het gevaarlijk alleen te vertrouwen op gebruikersbewustzijn in het betalingsproces tegen deze dreiging. Er zijn genoeg voorbeelden waar de taal veel betrouwbaarder was. Want denk je nu echt dat achter die 26 miljard aan schade niet een criminele wereld schuil gaat die best een fatsoenlijke e-mail op kan stellen?
In het voorbeeld van 29 april, waarbij een financieel dienstverlener 1,5 miljoen euro verloor aan deze vorm van oplichting, geeft de politie weinig details. Maar je kunt wel aflezen aan het nieuwsbericht dat de aanval in dit geval wel gerichter in elkaar zat en dus moeilijker van echt te onderscheiden zal zijn geweest.
Dus naast user awareness is het raadzaam om ook naar technische maatregelen te kijken om de organisatie beter te beschermen tegen bec.
5 technische tips
De tips zijn te plotten op de aanvalsstappen hierboven.
Bescherming tegen bec-aanvalsstap 1 – toegang
- Tip 1: Tweestapsverificatie
Aanvallers kunnen gelekte inloggegevens van een medewerker gebruiker om toegang te krijgen tot hun e-mailinbox. Wanneer tweestapsverificatie aanstaat, zal dit niet lukken met alleen het gelekte wachtwoord en is deze route dus zo goed als afgezet.
- Tip 2: Blokkeer App Consent
Wie gebruikmaakt van Microsoft Office365 en (dus) Azure AD, kent de webapps die toegang vragen tot een Microsoft-account. Bijvoorbeeld om afspraken in uw agenda te zetten of in Teams. Dergelijke web-apps kunnen ook kwaadaardig zijn en het doel hebben toegang te krijgen tot het account van een medewerker. Om te vermijden dat medewerkers per ongeluk dergelijk apps toegang geven, is het raadzaam om App Consent alleen via beheerders te laten lopen. En om gegeven ‘app-toestemmingen’ ook regelmatig te controleren.
Bescherming tegen bec-aanvalsstap 2 – op zoek naar informatie
- Tip 3: Blokkeer autoforwards
Een aanvaller met toegang tot een e-mailaccount kan in dat account automatische doorstuurregels aanmaken. Zo zal elke of specifieke e-mail die deze medewerker ontvangt naar de aanvaller worden doorgestuurd en kan hij in zijn eigen mailbox op zoek naar precies die e-mails die bijvoorbeeld betaalinstructies bevatten. Om deze reden, maar ook om datalekken in algemene zin te voorkomen, is het raadzaam het automatisch doorsturen van e-mails naar externe e-mailadressen te blokkeren.
Bescherming tegen bec-aanvalsstap 3 – misleidend bericht
- Tip 4: Bescherm het e-maildomein in dns tegen spoofing
De aanvaller maakt het meeste kans op succes als hij uit naam van het echte e-mailadres van de organisatie een e-mail kan versturen. Dat kan voorkomen worden door in de dns-instellingen van de e-maildomein regels op te nemen voor SPF, DKIM en DMARC. Hoewel iedere eigenaar van een domein dit zou moeten instellen, heeft ongeveer een kwart van alle .nl domeinen nog steeds geen SPF-instellingen en staat dus open voor spoofing.
- Tip 5: Voeg zichtbare waarschuwingen toe aan spoofing e-mails
E-mails vanaf domeinen die sterk lijken op dat van de organisatie of überhaupt van buiten de organisatie afkomstig zijn, zijn automatisch van een disclaimer te voorzien. Zo zullen medewerkers alerter zijn wanneer zij misleid worden en wordt dus ook de kans groter dat zij het verzoek weigeren, óók als het taalgebruik goed in elkaar zit.
@Erik, eens met je 5 technische tips die relatief eenvoudig, goedkoop en bij elkaar zeer effectief zijn. Maar dat kan je alleen aan je eigen kant regelen. Bol.com kon Brabantia niet zomaar dwingen om dat soort maatregelen te nemen. Ook eens dat er criminelen zijn die beter, ja heel veel beter zijn in phishing dan in de zaak Bol.com – Brabantia Netherlands. De instinkers worden steeds beter. En dat is een belangrijk punt voor bedrijven. Een groep criminelen kan, al dan niet met behulp van een mol of openbare informatie, zeer overtuigende e-mails of brieven sturen, met bijvoorbeeld nog een belletje er achteraan via een gespoofed telefoonnummer om druk uit te oefenen.
Hier helpen eenvoudige, goedkope en effectieve procedurele oplossingen. Vreemd genoeg worden er regelmatig grote bedragen overgemaakt, belangrijke bankrekeningnummers omgewisseld, alsof het slechts administratie handelingen zijn. Dat maakt CEO fraude o zo gemakkelijk. De CEO moet er voor zorgen dat er een sfeer is waarbij elke medewerker blijft nadenken en zo nodig durft na te vragen of een mutatie wel OK is. Een ego mag bedrijfsprocessen niet in de weg zitten.
Dag Erik,
Mooie serie maatregelen.
“E-mails vanaf domeinen die sterk lijken op dat van de organisatie of überhaupt van buiten de organisatie afkomstig zijn, zijn automatisch van een disclaimer te voorzien.”
Gebeurd dat voordat de mail in de mailbox van de gebruiker terecht komt? Mijn ervaring is dat de browser vaak meer hulp aanbiedt dan een native client zoals Outlook geïnstalleerd op een computer.
Google Workspace is hier standaard al behoorlijk goed in en voorziet de gebruiker (ook als de mail al afgeleverd is) van handige toevoegingen zoals “Je hebt niet eerder met deze afzender gecommuniceerd. Wees voorzichtig met dit bericht”. Gebeurdt dit ook als je Outlook op een computer als App geïnstalleerd hebt?
Wat betreft de bol.com zaak: Het is natuurlijk raar dat het proces van het wijzigen van een IBAN nummer voor betalingen afhangt van een enkel e-mailtje. Goede processen zijn in mijn ogen net zo belangrijk als overige technische en bewustwording maatregelen.
En vaak is bewustwording als een vaccin: Als je erover leest, wordt je immuun. Iemand die over WhatsApp fraude leest trapt er niet meer in.
Nog iets specifieker over bol.com. Een belangrijk aspect in de fraude is dat de emails die bol.com verstuurde naar het adres in Brabantia direct op als gelezen werd gezet en verplaatst naar een sub-map zodat de eigenaar van de mailbox deze niet zou zien. De huidige beschreven maatregelen helpen hier niet tegen. Dus alleen je eerste tip had een grote impact gehad op het bol.com / Brabantia verhaal.
Zo zie je dat als je zelf alles goed op orde hebt qua techniek, je ook afhankelijk bent van de rest van je keten.
Maar alle laagjes helpen. Dus ik sta uiteraard achter de door jou genoemde maatregelen.