Business E-mail Compromise (BEC)

E-mail kanaal is fraudegevoeliger dan u denkt

Het komt steeds vaker voor dat fraudeurs (middel) grote ondernemingen aanvallen via Business E-mail Compromise (BEC). Een geavanceerde vorm van phishing, dat ook wel een “man-in-the-e-mail attack” wordt genoemd. Voordat de BEC aanval plaatsvindt, heeft de fraudeur al veel voorwerk gedaan. Hij gaat op zoek naar e-mailadressen en social media profielen van medewerkers van het bedrijf dat hij in het vizier heeft. Hij speurt het web af naar bedrijfsinformatie en vindt zo nieuws over de onderneming. 

Publiekelijke informatie die voor de fraudeur zeer waardevol is. Hiermee kan hij namelijk vertrouwelijke bedrijfsinformatie lospeuteren bij medewerkers en probeert hij ze uiteindelijk over te halen geld over te maken. Dit doet hij door allerlei psychologische trucjes - Social Engineering - toe te passen.

Hoe werkt BEC?

Bij een BEC scam richten fraudeurs zich veelal op bedrijven die zelf hun betalingsverkeer doen en afhankelijk zijn van buitenlandse of externe leveranciers en klanten. Met een BEC aanval worden verschillende technieken ingezet. Bekijk welke.

  1. Imiteren e-mailadressen 
    Een e-mailadres imiteren kan door een e-mailadres te gebruiken dat minimaal afwijkt van het origineel, of door een e-mailadres te ‘spoofen’. Dat is het vervalsen van een bestaand e-mailadres. De fraudeur voert bij de afzender (‘van’) het gewenste valse e-mailadres in. Zo lijkt het net alsof de e-mail van een bekende relatie komt.  

  2. Hacken e-mailsysteem 
    Er zijn verschillende manieren waarop fraudeurs een e-mailaccount kunnen hacken. Eén van de manieren is dat een fraudeur een phishing e-mail, besmet met malware, stuurt naar zijn doelwit.  Zodra deze malware zich installeert, hebben de fraudeurs de controle over onder andere het e-mailverkeer en kunnen ze valse facturen naar leveranciers of klanten sturen en rekeningnummers op facturen aanpassen. Ook komt het voor dat ze e-mails uitsturen om te melden dat het rekeningnummer van het gehackte bedrijf is veranderd. 
     
  3. CEO-fraude 
    In het geval van CEO fraude imiteert de fraudeur een CEO, of een ander hooggeplaatste persoon in de onderneming.  De ’CEO’ stuurt vanuit een gehackte of gespoofde e-mailaccount een urgente e-mail over bijvoorbeeld een project waarvoor directe betaling is vereist. In sommige gevallen belt de ’CEO’ met de medewerker en zet hem onder druk om de betaling uit te voeren. Ook advocaten worden geïmiteerd. De fraudeurs doen dan een verzoek tot betaling van een openstaande rekening of een juridisch geschil. 
     
  4. Voice-phishing 
    In het geval van voice phishing, oftewel vishing, imiteert de fraudeur via telefoon een legitiem bedrijf met als doel het stelen van geld, persoonlijke en/of financiële informatie. En met bepaalde software kan de fraudeur met 20 minuten aan audio-opnamen de stem van iemand helemaal nabootsen en bewerken. Hij kan dan iemand letterlijk de woorden in de mond leggen.