Je hebt het vast wel eens meegemaakt. Je opent je mailbox en ziet een mailtje van jouw baas. In de mail staat een verzoek om snel geld over te maken naar een rekeningnummer of om gevoelige informatie te delen over de organisatie. Vaak gaat er dan meteen een alarmbel af. Je hebt opgemerkt dat het mailadres onjuist is, de stijl van communiceren niet overeenkomt met eerdere mails of je baas zou simpelweg nooit zo’n verzoek bij je neerleggen via de mail.
Door scherp te blijven op verdachte mails kan je vervelende gevolgen van business email compromise voorkomen. Deze vorm van cybercrime heeft de afgelopen jaren een vlucht genomen. In 2021 werd er internationaal maar liefst 2,4 miljard dollar gestolen via business email compromise. En in 2022 steeg het aantal aanvallen met 81%. Alle reden dus om goed op je hoede te zijn.
In dit blog leggen we uit hoe business email compromise werkt en hoe je jouw organisatie ertegen kan beschermen.
Wat is business email compromise?
Bij business email compromise (BEC) doen cybercriminelen zich voor als iemand anders. Het doel? Mensen geld over laten maken of gevoelige informatie laten delen. Drie veel voorkomende vormen van business email compromise zijn:
- CEO-fraude: in dit geval doet de cybercrimineel zich voor als de CEO. De cybercrimineel verstuurt een email vanuit zijn of haar naam. Vaak staat er in de mail een verzoek om geld over te maken naar een rekeningnummer. Werknemers van de financiële afdeling zijn het vaakst het doelwit van dit type fraude.
- Factuur-fraude: de cybercrimineel doet zich voor als leverancier van een product of dienst die de organisatie afneemt. Er wordt een valse factuur gestuurd in de hoop dat een medewerker de bedrieger niet herkent en de factuur betaalt.
- Gegevensdiefstal: bij deze email-aanval richten cybercriminelen zich vaak op de afdeling personeelszaken. Zij proberen gevoelige persoonsgegevens los te krijgen om deze vervolgens te gebruiken in een nieuwe aanval, bijvoorbeeld CEO-fraude.
Hoe werkt BEC?
Bij business email compromise gaan criminelen heel gericht te werk. Vooraf aan de aanval selecteren ze één of meerdere doelwitten. Om zo betrouwbaar mogelijk over te komen bij hun doelwit, sturen criminelen de mail vanuit een bekende naam. Denk aan een CEO, CFO, belangrijke leverancier of een collega waar je nauw mee samenwerkt. Om de mail extra kracht bij te zetten wordt informatie verzameld over een plausibele situatie om contact op te nemen én wordt gebruik gemaakt van persoonlijke achtergrondinformatie. Deze informatie wordt vaak op openbare bronnen, zoals LinkedIn, gevonden. Vervolgens wordt met de juiste overtuigingstechnieken een geniepige mail gemaakt om mensen geld te laten betalen of informatie te laten delen.
Opgelet: BEC kan voorkomen met een echt én nep mailaccount
Bij een account compromise attack (ACA) slaagt een crimineel erin om toegang te krijgen tot het echte mailaccount van bijvoorbeeld een CEO of leverancier. Dit kan gebeuren via een phishing mail of een hack. Doordat de aanvaller het echte mailadres gebruikt, is het voor de ontvanger niet direct mogelijk om het mailadres te herkennen als potentiële bedreiging.
Het kan ook zijn dat er gebruik wordt gemaakt van een lookalike account. De domeinnaam lijkt dan net echt. Maar stiekem worden er trucjes toegepast waardoor er kleine verschillen zijn. Denk bijvoorbeeld aan trucs als ‘twee v’s achter elkaar typen in plaats van een w of een hoofdletter I gebruiken in plaats van een kleine letter l’. Dit is voor een lezer vaak lastig te zien waardoor het verschil nauwelijks opvalt.
Wat is een SOC en hoe beschermt het tegen BEC?
In een security operations center (SOC) monitoren security specialisten 24/7 alle computer- en netwerkactiviteiten van een organisatie. Alle meldingen van Microsoft Office applicaties, servermeldingen en notificaties van firewalls komen hier binnen. Bedrijven met voldoende kennis en capaciteit kunnen zelf een SOC inrichten, maar het is ook mogelijk om dit uit te besteden bij een gespecialiseerde externe partij. Meer weten over een SOC? Lees hier verder.
In een SOC worden binnenkomende mails ‘onder de motorkap’ in de gaten gehouden. Op basis van allerlei technische kenmerken (bijvoorbeeld verdachte domeinnamen) kunnen security specialisten ervoor zorgen dat deze mails automatisch naar een spambox worden gestuurd. Zo is de kans minder groot dat een werknemer op een verdachte mail klikt. Ook worden mails in een SOC gescand op vreemde linkjes, bijlages en onderwerpen. Naar de inhoud van de mail wordt niet gekeken. Deze informatie kan privacygevoelig zijn en zonder toestemming van de klant zal een SOC dit niet monitoren.
Een SOC kan worden gezien als een extra paar ogen dat altijd met je meekijkt of alles wel veilig verloopt. Zien we te veel verdachte signalen in een mail, dan maken we hiervan een melding bij de klant. Zij kunnen dan tijdig actie ondernemen voordat een werknemer op een geïnfecteerde link klikt, informatie deelt of misschien wel onterecht geld overmaakt. Mocht een werknemer toch per ongeluk op een verkeerde link hebben geklikt. Dan wordt dat in een SOC gesignaleerd en kunnen we ervoor zorgen dat de nodige wachtwoorden gereset worden en sessies worden beëindigd.
Wat gebeurt er als een werknemer per ongeluk geld heeft overgemaakt?
In dat geval kan ons incident response team worden ingezet. Zij staan klaar om te helpen bij een crisis. Het eerste wat het team zal doen, is zorgen dat de criminelen geen toegang meer hebben tot de systemen. Zo kan erger worden voorkomen.
Wat kan ik zelf regelen om mijn organisatie te beschermen tegen BEC?
Het belangrijkste is om je werknemers bewust te maken van de gevaren en signalen van BEC. Weten jouw werknemers bijvoorbeeld hoe ze een phishing mail kunnen herkennen. En zijn er richtlijnen over hoe werknemers omgaan met betalingsverzoeken via de mail? Door hier een actief beleid voor te hebben en regelmatig aandacht aan het onderwerp te schenken, blijft het top of mind. Zo verklein je de kans dat werknemers in de mails van cybercriminelen trappen.
SOC uitbesteden bij Computest Security
Wil je een SOC uitbesteden aan een professionele security partij? Het SOC-team van Computest kan jullie systemen 24/7 in de gaten houden.
Dit doen we voor je:
- Bewaken van jullie IT-infrastructuur – altijd en overal.
- Detecteren van dreigingen en kwetsbaarheden in realtime.
- Direct response – of het nou gaat om ransomware aanvallen, phishing of een ander incident. Het SOC-team komt direct in actie.
- Rapporteren van alle verdachte activiteiten én opgeloste problemen.
- Optimaliseren van jouw security met onze tips en tricks.
Who are you gonna call? Computest Security!
Voor meer informatie over onze diensten neem je contact op met de security experts van Computest Security via info@computest.nl of bel je naar +31887331337.