Nieuwe fraudevariant maakt bedrijven kwetsbaar
Vendor Email Compromise, een variant van Business Email Compromise, kan bedrijven een forse schadepost opleveren.
Nieuwe variant
Al jaren wordt e-mail gebruikt om medewerkers en leidinggevenden te misleiden om geld over te boeken. Dit komt voor in verschillende varianten waarbij in het ergste geval zelfs een volledige mailaccount wordt overgenomen. Sinds kort is er een nieuwe variant van deze zogenaamde 'account takeover' waarbij niet één bedrijf, maar complete toeleveringsketens doelwit zijn van fraudeurs.
Hoe werkt het?
Men stuurt een phishing mail naar een persoon op de financiële administratie en probeert zijn of haar inloggegevens te bemachtigen. Zodra men die informatie heeft, wordt een instelling in het mailprogramma gewijzigd waardoor alle berichten uit de mailbox van die persoon automatisch worden doorgestuurd naar de fraudeurs. Die analyseren alle berichten en verzamelen gegevens over facturen en klanten. Zodra men voldoende informatie heeft vergaard worden er vanuit het legitieme e-mailadres valse facturen verstuurd naar klanten met een aangepast IBAN (bankrekeningnummer)
Tweeledig gevaar
Uw leveranciers in binnen- en buitenland kunnen slachtoffer worden van deze praktijken waardoor u valse facturen betaalt. Andersom kan uw bedrijf worden misbruikt door uit uw naam facturen te sturen naar uw klanten met een gewijzigd IBAN. Door het gebruik van legitieme e-mailadressen is het succespercentage groot.
Wereldwijde business
Dit type fraude wordt Vendor Email Compromise (VEC) genoemd en is in korte tijd uitgegroeid tot een miljardenbusiness. Honderden bedrijven werden al slachtoffer en duizenden e-mailadressen werden misbruikt. Deze verontrustende vorm van e-mailmisbruik richtte zich aanvankelijk op Amerikaanse, Canadese en Engelse bedrijven, maar de verwachting is dat dit spoedig zal overslaan naar het vaste land van Europa.
Hoe te voorkomen?
In de praktijk blijkt het lastig voor bedrijven om zichzelf effectief tegen VEC te beschermen. De fraudeurs installeren immers geen malware, verzamelen methodisch informatie en gaan pas na enige tijd facturen naar klanten sturen. De meeste gebruikte beveiligingscontroles kunnen dit type aanval niet herkennen. Het kritieke aspect is het gewijzigde bankrekeningnummer.
Ontvangt u een factuur met een nieuw bankrekeningnummer, neem dan contact op met het bedrijf om de wijziging te verifiëren. Gebruik voor deze controle niet het telefoonnummer of e-mailadres op de factuur maar de gegevens in uw eigen administratie. Ontdekt u dit type fraude, meldt het dan direct bij de politie en informeer uw leverancier (als u valse facturen ontvangt) of waarschuw uw klanten (als zij valse facturen ontvangen die zogenaamd van uw bedrijf komen).
Meer informatie
In de whitepaper Cybersecurity vertellen we u wat de meest voorkomende vormen van cybercrime zijn en wat u kunt doen om uw organisatie te beveiligen. Download de whitepaper hier.
De complete cybersecurity-oplossing voor het mkb
Met Cyber Veilig & Zeker bent u nu en in de toekomst beschermd tegen de laatste dreigingen. Als er dan tóch nog iets gebeurt, krijgt u direct hulp bij het oplossen van het probleem en uw eventuele schade is gedekt.
Zelf cybermaatregelen treffen of fraude melden?
Ongeveer 1 op de 5 ondernemers krijgt te maken met cybercriminaliteit. Zo’n cyberincident kan grote gevolgen hebben voor de bedrijfsvoering, klanten, leveranciers of reputatie. Het treffen van passende maatregelen is daarom van belang voor elke onderneming.
- Leer meer over de 4-in-1-cyberoplossing Cyber Veilig & Zeker en verlaag jouw cyberrisico's.
- Bekijk slimme tools, handige artikelen en cyberwebinars op onze Veilig ondernemen-pagina.
- Meld fraude bij ons, ook bij twijfel, waarna onze helpdesk je direct verder helpt.
