Van alle soorten cybercriminaliteit leiden zakelijke nepmails tot de meeste verzekeringsclaims. Voor het eerst ontving verzekeraar AIG in 2018 daarvan meer claims dan van ransomware en datalekken.
23 procent van de claims die AIG het afgelopen jaar naar aanleiding van cybercrime ontving, betreffen de kosten veroorzaakt door zakelijke nepmailtjes. Het is de eerste keer dat deze categorie meer claims opleverde dan ransomware (18 procent) en externe datalekken (14 procent).
Meestal zijn zakelijke nepmails het gevolg van een phishingbericht. Zo’n bericht is voorzien van een link of een schadelijke bijlage waarmee criminelen de inloggegevens van de inbox ontfutselen. Het gebeurt volgens de verzekeraar nog vaak dat mensen in phishing trappen. Criminelen doen vooraf goed onderzoek en weten precies hoe zij het slachtoffer kunnen overtuigen. Social engineering is hiervoor de gebruikelijke term.
Ceo-fraude
Zodra de criminelen toegang tot de inbox hebben, kunnen ze namens de gedupeerde e-mailtjes versturen en ontvangen. Bijvoorbeeld om betaalopdrachten te geven. Ook sturen ze steeds vaker uit naam van de directie of leverancier interne verzoeken om geld over te maken of gevoelige gegevens te delen. Dit wordt ceo-fraude genoemd en komt ook in Nederland voor, bij kleine en grote organisaties.
De ongeoorloofde toegang tot iemands zakelijke mailadres betekent ook dat criminelen erin kunnen grasduinen naar informatie over klanten, medewerkers, belastingaangiften en bedrijfsgeheimen. Die proberen ze dan online te verkopen, want financieel gewin is vaak het enige motief, aldus AIG.
Zakelijke en financiële dienstverlening
Het zijn vooral bedrijven in de zakelijke dienstverlening en in de financiële sector die bij de verzekeraar een claim neerlegden naar aanleiding van misbruik van nepmails en ceo-fraude. Volgens AIG komt dit doordat deze bedrijven relatief populair zijn bij cybercriminelen. Zij slaan hun slag het liefst waar ze het meeste geld kunnen verdienen.
AIG is een internationale verzekeringsmaatschappij die ook actief is in Nederland. De verzekeraar heeft polissen waarbij veel kosten door misbruik van zakelijke nepmails en ceo-fraude zijn gedekt. Het gaat onder meer om de kosten van forensisch onderzoek om vast te stellen of het om digitale inbraak gaat en welke gegevens zijn buitgemaakt. Ook juridische bijstand bij het melden van de inbraak is gedekt. De vergoeding voor het financieel verlies door nepmails en ceo-fraude is beperkt.
Het onderzoek van AIG betreft ruim 1100 schadeclaims die het bedrijf tussen 2013 en eind 2018 ontving in de regio EMEA. De Amerikaanse verzekeraar noemt de categorie nepmailtjes en ceo-fraude zelf ‘business email compromise’ ofwel BEC.
