Waar oplichters zich vroeger vooral op de gewone burger richtten, komt het nu steeds vaker voor dat criminelen hun snelle babbeltruc aan de deur inruilen voor een cyberaanval op lange termijn, met uitzicht op een aanzienlijk hogere opbrengst. Een van de meest populaire oplichtingstechnieken staat bekend als CEO fraude. Wat is dit precies, en hoe werkt het? We duiken in de wereld van CEO fraude om je te leren hoe je het fenomeen herkent en hoe je jezelf en jouw organisatie er tegen wapent.

Wat is CEO fraude?

CEO fraude is een geraffineerde manier van oplichting gericht op bedrijven en grote organisaties. Oplichters doen zich voor als de CEO, de oprichter of een andere hooggeplaatste manager en proberen op deze manier geld los te peuteren. In de meeste gevallen wordt er contact opgenomen via email, met een bericht om dringend geld over te maken. Uiteraard komt dit bericht niet van de echte CEO, maar wordt er misbruik gemaakt van de machtsafstand ten opzichte van de gecontacteerde medewerker. Medewerkers met bevoegdheden om te betalen of te tekenen moeten extra waakzaam zijn voor CEO fraude. Onthoud wel dat alle lagen van een organisatie voor de criminelen een ingang kunnen zijn.

Business Email Compromise (BEC)

Maar je gaat toch niet zomaar in op zo’n verzoek? Daar heb je het mis. CEO scams zijn een vorm van Business Email Compromise (BEC). Dit zijn oplichtingspraktijken waarbij cybercriminelen via emails proberen een organisatie geld of informatie afhandig te maken. In de laatste jaren pakken criminelen CEO fraude steeds professioneler aan, waarbij ook grote bedrijven slachtoffer worden.  Volgens een onderzoek van Cybersecurity bedrijf Barracuda worden organisaties gemiddeld 700 keer per jaar doelwit van een poging om via social engineering toegang te krijgen tot de systemen of email accounts van het bedrijf. Bij 43% van de phishing-pogingen wordt het merk van Microsoft misbruikt om medewerkers zo ver te krijgen om bijvoorbeeld op een malafide link te klikken.

CEO fraude komt steeds vaker voor

Dat CEO fraude veel geld oplevert is al duidelijk. Volgens de FBI loopt de schade in de VS in de miljarden en in Nederland loopt de schade ook in de miljoenen. Bij Fraudehelpdesk was er medio juni 2020 al ruim 1000 keer melding gemaakt van CEO fraude en ruim 5 miljoen aan schade geconstateerd. De werkelijke cijfers liggen waarschijnlijk nog hoger, omdat niet alle bedrijven melding maken van het voorval, vooral wanneer het blijft bij een poging of slechts een laag schadebedrag.

Voor de COVID-pandemie kwam dit type oplichting al steeds vaker voor, maar door het vele thuiswerken van de afgelopen tijd is het voor criminelen steeds eenvoudiger om er tussen te komen. Bedrijven leunen meer dan ooit op communicatiemiddelen en chatprogramma’s als email en Slack. Dit maakt het voor de criminelen steeds aantrekkelijker om bedrijven gericht aan te vallen met een combinatie BEC scams op basis van van social engineering, het bespelen van menselijk gedrag en gewoontes.

Hoe werkt CEO fraude?

Oplichters gaan aan de slag om medewerkers van een organisatie nep-mailtjes te sturen die lijken alsof ze vanuit de organisatie zelf komen. Zo komen de nep-mailtjes bijvoorbeeld van een domein (het gedeelte na de @ in je email adres) dat visueel nagenoeg niet van het origineel te onderscheiden is. Zie jij in een oogopslag het verschil tussen voorbeeld@mediamarkt.nl en voorbeeld@mediarnarkt.nl? Het op deze manier nabootsen van het originele domein heet domain spoofing. In ernstige gevallen komen de mailtjes zelfs van het echte bedrijfsdomein af. Dat gebeurt wanneer criminelen eerst via (spear)phishing inbreken in het emailaccount van een medewerker of, in de ergste gevallen, bij het emailaccount van de directie. Hierdoor kan de crimineel zich inlezen in de structuur, communicatiestijl en lopende zaken van het bedrijf. Deze context wordt vervolgens misbruikt om het juiste slachtoffer op de juiste manier te benaderen.

Laten we een voorbeeld bekijken:

Het mailtje kan in principe echt zijn: er moet geld overgemaakt worden naar Engeland. Vaak weet de oplichter ook dat de organisatie een vestiging of leverancier in Engeland heeft zitten, dus het verzoek is plausibel. Het wordt daarnaast op een autoritaire manier aangekondigd, en er zit haast achter het verzoek. Door de vraag die volgt kan de oplichter op zijn minst meer inzichten in de betalingsprocedures krijgen, maar deze hoopt natuurlijk dat de ontvanger alleen om de betalingsinformatie en een makkelijk te vervalsen factuur vraagt. De oplichter valt hier wel sneller door de mand door vanaf een simpel gmail adres te mailen, in plaats van een misleidend domein. Zo zijn er nog veel meer voorbeelden van scripts die door criminelen worden uitgewisseld en gebruikt.

Dat slimme criminelen zo de jackpot binnen kunnen halen werd duidelijk na een succesvolle BEC scam bij bioscoopketen Pathé en de Rotterdamse voetbalclub Feyenoord.

CEO fraude bij Pathé

Bij Pathé was het niet een lage medewerker die er intrapte, maar is het de tweekoppige directie geweest die de nep-communicatie voor echt heeft aangezien. De twee directeuren werden zogenaamd door de directie van het Franse moederbedrijf gesommeerd om geld beschikbaar te stellen voor een bedrijfsovername in het buitenland.

De directeuren roken wel onraad, maar de aangeleverde overname documenten leken legitiem en de handtekeningen kwamen overeen met wat ze eerder hadden gezien. De betaling was urgent en moest uiteraard strikt geheim blijven en daarom ging de directie mee in het verzoek om van de standaardprotocollen af te wijken. De Nederlandse directie moest zelfs geld uit de internationale cashpool van Pathé opnemen om aan de aanvragen te blijven voldoen. Pas toen de echte Franse directie kwam navragen waarom ze zoveel geld nodig hadden kwam de fraude aan het licht. De totale schade? 19 miljoen euro.

CEO fraude bij Feyenoord

Pathé is niet het enige grote slachtoffer; ook voetbalclub Feyenoord heeft in 2014 een deel van een transferbedrag van een speler nooit terug gezien omdat de betalende club in een nep-mail was getrapt. Het lukte de criminelen om een verzoek tot betaling precies op het goede moment naar de juiste persoon te versturen, compleet met nieuw rekeningnummer wat in handen was van de oplichters. De club maakte vervolgens het bedrag van 2 miljoen euro over naar de frauduleuze rekening.

CEO fraude in de toekomst

BEC technieken worden gebruikt voor verschillende doeleinden. Sommige cybercriminelen proberen een paar duizend euro af te troggelen, andere pakken het grootser en professioneler aan. Zo blijkt dat er soms zelfs al gebruik wordt gemaakt van vishing. Vishing is een combinatie van de Engelse woorden Voice en Phishing. Op deze manier is een Brits energiebedrijf is namelijk ruim 2 ton afhandig gemaakt door op basis van geluidsfragmenten een deepfake te maken van de stem van de CEO.

In een telefoongesprek vroeg de nep CEO van het moederbedrijf aan de directeur van het Britse dochterbedrijf of hij dit geld naar het account van de cybercriminelen kon overmaken. Het gebruik van dit soort geavanceerde middelen is nu nog relatief duur en ingewikkeld, maar zal in de toekomst ook voor de huis-tuin-en-keuken crimineel beschikbaar worden.

CEO fraude herkennen

Ondanks het feit dat criminelen hun best doen om het taalgebruik van de echte persoon na te bootsen, zijn er toch een aantal eigenschappen van de nepberichten die veelal overeen komen. Kom je een of meer van de oplichtingsmethodes, verhalen en smoesjes tegen in een onverwacht bericht van je CEO, manager of collega, dan moeten bij jou de alarmbellen afgaan.

Bekende technieken van business email oplichters

Als de oplichters eenmaal ingelezen zijn in de activiteiten van een organisatie kunnen ze verschillende dingen proberen, afhankelijk van de werkzaamheden van de ontvanger. Een accountmanager is meestal niet in staat om tonnen over te maken voor een overname, maar kan op eigen initiatief wellicht wel cadeaukaarten kopen voor relaties of bij de Finance afdeling een rekeningnummer later wijzigen.

Cybercriminelen proberen vaak het volgende voor elkaar te krijgen:

• Het overboeken van geld, zogenaamd voor overnames, aandeelhouders, projecten, etc
• Het aankopen van gift cards, zogenaamd voor relaties of collega’s
• Het wijzigen van betaal- en contact gegevens, zogenaamd vanwege wijzigingen of storingen bij relatie
• De betaling van spooknota’s, vaak afgestemd op lopende projecten of bestaande facturen

Controleer de email:

Het is dan ook extra belangrijk om de mailtjes die je ontvangt kritisch te onderzoeken. Let daarbij goed op het volgende:

• De afzender

Vaak proberen de criminelen vanaf een vergelijkbaar domein (het gedeelte na de @ in je email adres) contact te leggen. Controleer dus altijd de spelling van het emailadres van de afzender. In de meeste mail clients als Outlook of Gmail kan dit door op de naam van de afzender te klikken. Zo laat je je niet kisten door iemand die vanuit @mediarnarkt.nl mailt, in plaats van uit  het echte@mediamarkt.nl.

• Links in de mail

Let altijd op linkjes die in mails staan. Controleer de bestemmingswebsite en wees extra waakzaam voor ingekorte links (b.v. bit.ly links). Oplichters kunnen via deze links inloggegevens stelen of malware verspreiden. Controleer de bestemming van een link bijvoorbeeld via het Google Transparency Report of Norton Safe Web .

• Bijlagen

Ok bijlagen worden actief misbruikt. Criminelen kunnen kwaadaardige code of software in Excel of pdf bestanden verstoppen. Open dus alleen bijlagen wanneer je deze verwacht.

Controleer in de tekst:

• Autoriteit

De berichten hebben een autoritaire toon. Je krijgt het bevel om geld over te maken, een rekeningnummer te wijzigen of cadeaukaarten te kopen. Er wordt gretig misbruik gemaakt van de machtsafstand binnen de organisatie.

• Vertrouwelijkheid

De nep baas benadrukt dat je het bericht niet met collega’s of managers mag bespreken. De opdracht is namelijk een geheim of een verrassing.

• Druk

Het moet snel gebeuren, vandaag of zelfs nog voor de lunch. Daarnaast ligt het slagen van een verrassing, een overname of zelfs de toekomst van het bedrijf nu bij de ontvanger op de schouders.

• Inpalming

Tegelijkertijd wordt de ontvanger ingepalmd. Deze is de enige die genoeg wordt vertrouwd en is specifiek uitgekozen vanwege zijn of haar uitmuntende werkzaamheden.

• Geruststelling

Even bellen om de opdracht te bespreken is vaak niet mogelijk, want ‘de CEO’ zit in een belangrijke vergadering. Afhankelijk van het type scam verzint de oplichter wel een verificatie methode, zoals het nep telefoonnummer van een bestaand advocatenkantoor. Als je dan belt, bel je met de oplichters die je verzekeren dat alles in orde is.

CEO fraude voorkomen

Er zijn verschillende maatregelen die CEO fraude en andere bec scams kunnen inperken. Het belangrijkste wapen tegen dit soort social engineering is bewustzijn. Alle lagen van de organisatie moeten op de hoogte zijn van dit soort praktijken. Hiermee voorkom je dat werknemers alles wat via de mail binnenkomt klakkeloos uitvoeren.

Tips voor medewerkers

Als medewerker heb je natuurlijk de meeste kans dat je een nep-mail binnenkrijgt. Vooral als de machtsafstand binnen de organisatie groot is lijkt zo’n mailtje algauw legitiem. Als medewerker kan je het volgende doen:

• Controleer altijd de afzender. Klik in je mailprogramma op de naam van de afzender en controleer op afwijkingen.
• Controleer altijd of een rekeningnummer uit een mail of factuur overeenkomt met wat er in de bestaande administratie bekend is.
• Blijf op de hoogte van de laatste trucs die oplichters gebruiken.
• Bespreek verdachte mailtjes en verzoeken wel met collega’s en leidinggevenden. Als iets echt geheim is zal de organisatie je een ‘Non-Disclosure Agreement’ laten tekenen.
• Probeer verzoeken met een luchtje met de persoon zelf op te pakken, ook al is de machtsafstand groot.
• Ga niet zomaar in op verhalen en smoesjes die je vragen om het gebruikelijke proces te omzeilen.

Tips voor bedrijven

Als bedrijf is het haast onmogelijk om je volledig te wapenen tegen dit soort social engineeringaanvallen. Zelfs de meest beveiligde kluis gaat open als iemand de code op een post-it op een monitor heeft staan. Naast het trainen van de medewerkers kan je het volgende doen:

• Zorg voor duidelijke protocollen, regels en dubbele verificatie voor het overmaken van hoge bedragen.
• Hanteer duidelijke richtlijnen voor het wijzigen van contact- en betaalgegevens van leveranciers en andere derden.
• Maak multi-factor authenticatie een vereiste voor zakelijke accounts. Als er dan inloggegevens worden buitgemaakt blijft het moeilijk om een account zomaar over te nemen.
• Zorg voor voldoende budget voor cybersecurity. Het is bijvoorbeeld mogelijk om een waarschuwing te tonen bij mailtjes die van een extern domein komen.
• Organiseer zelf een beveiligings-audit binnen je organisatie: veel bedrijven sturen zelf (onaangekondigd) een nep-phishing mail. Medewerkers die er toch in trappen krijgen een extra training over digitale veiligheid.

Dit moet je doen als je slachtoffer bent geworden

De criminelen gaan op slinkse wijze te werk, dus het is niet vreemd als er iemand binnen jouw organisatie in de val loopt. Onderneem in dit geval altijd de volgende stappen:

• Doe aangifte bij de politie. Verzamel zo veel mogelijk bewijs, zodat de politie de daders eventueel kan matchen met andere zaken. Meld ook de geschatte schade.
• Neem contact op met de bank. Soms kunnen zij nog actie ondernemen en transacties blokkeren of terugdraaien.
• Meld de mailtjes of andere pogingen van BEC scams altijd bij de IT-afdeling van je organisatie.
• Breng ook belangrijke derde partijen op de hoogte. Leveranciers en andere dienstverleners zijn, vooral na een inbraak in het mailsysteem, ook kwetsbaar voor vervolgaanvallen.
• Wanneer er sprake is van inbraak bij de systemen, raadpleeg dan professionals om je netwerkomgeving te controleren op eventuele achtergebleven malware.

Bron: wsj.com, voetbalprimeur.nl, linkedin.com, ic3.gov, barracuda.com, vpngids.nl

CEO fraude gerelateerde artikelen 》

Wat is social engineering 》

Meer info over CEO fraude 》

Bekijk alle vormen en begrippen 》

Actuele aanvallen overzicht per dag 》

Tips of verdachte activiteiten gezien? Meld het hier.

Meer nieuws