De verschillende vormen van Business E-mail Compromise

De crimineel heeft uw bedrijf in het vizier en speurt het web af op zoek naar e-mailadressen en sociale mediaprofielen van medewerkers. Zo vindt de fraudeur bedrijfsinformatie en nieuws over uw onderneming: publieke informatie die voor criminelen zeer waardevol is. Zo kunnen zij het taalgebruik steeds beter laten aansluiten bij de taal van het bedrijf dat zij als doelwit hebben.

De fraudeur doet zich vaak voor als iemand anders. Bijvoorbeeld door een e-mailadres te creëren dat sprekend lijkt op dat van de CEO, of door een bestaand e-mailadres te vervalsen. Of hij steelt het wachtwoord van een e-mailaccount via een gerichte phishing- of malwareaanval en logt met dit wachtwoord in op een e-mailaccount. Zo lijkt het net alsof de e-mail van een bekende komt. Het doel van de fraudeur is om vertrouwelijke bedrijfsinformatie los te peuteren en medewerkers over te halen geld over te maken; natuurlijk naar bankrekeningnummers die hij beheert. BEC heeft een aantal varianten, de drie meest voorkomende beschrijven we hieronder. 

Valse-factuurscam

U krijgt per e-mail een factuur van een leverancier met wie u al een tijd samenwerkt. Wel moet u het bedrag overmaken naar een ander rekeningnummer dan normaal. In dit geval naar dat van de fraudeur.

CEO-fraude

De fraudeur doet zich voor als een hooggeplaatste medewerker van uw bedrijf, vaak een CEO. Deze ‘CEO’ stuurt een urgente e-mail, bijvoorbeeld over een project waar direct een betaling voor nodig is. Ook kan de ‘CEO’ verzoeken om vertrouwelijke informatie over uw bedrijf prijs te geven. Vaak zijn de e-mailadressen “gespoofed”; het e-mailadres bevat kleine onopvallende variaties op het legitieme e-mailadres. Zoals abnarnro in plaats van abnamro. 

E-mailaccount hacken en e-mail versturen

De fraudeur hackt het e-mailaccount van een medewerker en gaat hierin op zoek naar een factuur die verstuurd moet worden naar een partij waarmee u een relatie heeft. De fraudeur past het rekeningnummer op deze factuur aan, of vraagt de financiële afdeling van uw bedrijf om dit te doen. Zo komt de betaling bij de fraudeur terecht.

Het komt ook voor dat de fraudeur een bericht meestuurt met de factuur die nog uitgestuurd moet worden. Hierin staat dan dat het rekeningnummer recent is gewijzigd, met het verzoek of het bedrag naar dit nieuwe nummer kan worden overgemaakt. Soms stuurt de fraudeur vanuit een gehackt account berichten naar klanten van uw bedrijf, met de mededeling dat een eerdere betaling is mislukt. Er wordt gevraagd om het geld op een ander rekeningnummer te storten.

• We delen kennis en ervaring, bijvoorbeeld met andere banken en politie.
• We proberen frauduleuze betalingen te herkennen.
• We proberen gestolen geld terug te halen.
• We heffen rekeningen van oplichters op.
• We geven u informatie over veilig bankieren, ook samen met andere banken.

We hebben veel tips beschreven in onze white paper De belangrijkste cybersecurity-bedreigingen. De belangrijkste tips om geen slachtoffer te worden van een Business E-mail Compromise zijn:

• Geef medewerkers tips over het controleren van een e-mailadres bij een betaalopdracht. Soms wijkt een vals e-mailadres één letter af van het origineel, waardoor medewerkers deze fout eenvoudig over het hoofd zien.
• Leg rekeningnummers van onder andere leveranciers vast in het adresboek en maak alleen naar deze rekeningnummers over. Stel een procedure op hoe dit rekeningnummer gewijzigd kan worden.
• Stel regels op over wie een betaalopdracht mag uitvoeren, en volg deze regels altijd op. Probeer uitzonderingen op betaalprocedures altijd te vermijden. Zorg ervoor dat er altijd meerdere handtekeningen moeten worden gezet bij een betaalopdracht. Functiescheiding en dubbele autorisatie zijn hier prima tools voor; twee mensen zien altijd meer dan één. En voor een fraudeur is het moeilijker om twee medewerkers te misleiden. U kunt in ABN AMRO Internet Bankieren en Access Online eenvoudig zelf bevoegdheden en limieten per medewerker instellen.
• Criminelen proberen bestaande procedures te omzeilen door druk uit te oefenen. Zorg ervoor dat medewerkers weten wat ze moeten doen als een betaalverzoek per e-mail afwijkt van de regels. Door wie ze opdrachten dan extra moeten laten controleren. Geef aan dat medewerkers dan via een ander kanaal contact opnemen met bijvoorbeeld een CEO of leverancier, bijvoorbeeld via de telefoon. En laat ze de bekende contactgegevens gebruiken, niet de contactgegevens uit de e-mail.
• Richt een intern meldpunt in voor vreemde e-mails en verzoeken tot overboeking. Benoem iemand die dit soort e-mails verifieert en zo nodig direct actie onderneemt.

In de whitepaper Cybersecurity vertellen we u wat de meest voorkomende vormen van cybercrime zijn en wat u kunt doen om uw organisatie te beveiligen.

Zelf cybermaatregelen treffen of fraude melden?

Ongeveer 1 op de 5 ondernemers krijgt te maken met cybercriminaliteit. Zo’n cyberincident kan grote gevolgen hebben voor de bedrijfsvoering, klanten, leveranciers of reputatie. Het treffen van passende maatregelen is daarom van belang voor elke onderneming.

• Leer meer over de 4-in-1-cyberoplossing Cyber Veilig & Zeker en verlaag jouw cyberrisico's.
• Bekijk slimme tools, handige artikelen en cyberwebinars op onze Veilig ondernemen-pagina.
• Meld fraude bij ons, ook bij twijfel, waarna onze helpdesk je direct verder helpt.