zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Drie voorbeelden van CEO-fraude in Nederland

Hoe bereidt u zich het beste voor op een impersonisatie-aanval?

4 december 2019 -  Steeds meer organisaties worden slachtoffer van CEO-fraude. De gevolgen zijn niet mis: denk aan miljoenenroof of verlies van grote hoeveelheden persoonsgegevens. Sander Hofman, securityexpert bij Mimecast, vertelt u alles wat u moet weten over deze oprukkende vorm van cybercriminaliteit. 

"Bij CEO-fraude, ook wel een impersonatieaanval genoemd, doet een aanvaller zich voor als iemand anders, vaak als de directeur of een andere hooggeplaatste medewerker van een bedrijf," zegt Hofman. "De aanvaller wekt vertrouwen met een e-mail die afkomstig lijkt van de betreffende leidinggevende. In de mail wordt bijvoorbeeld gevraagd met spoed een grote som geld over te maken naar een klant, vanwege een openstaande factuur. In werkelijkheid staat de bankrekening op naam van de cybercrimineel. Op min of meer gelijke wijze ontfutselen aanvallers bijvoorbeeld ook persoons- of creditcardgegevens."



Een ander voorbeeld van een impersonatieaanval is ‘whaling’. Bij deze techniek wordt een frauduleuze mail gestuurd naar topfunctionarissen, zoals de CEO of CFO. Het doel hierbij is om gevoelige of financiële data te verkrijgen. De afzender is zogenaamd een collega of een vriend, zodat de cybercrimineel vertrouwen wekt. Met het vermelden van persoonlijke informatie over de ontvanger probeert de hacker zijn geloofwaardigheid te vergroten.

Ernstig en groeiend probleem

Impersonatieaanvallen zijn een ernstig probleem, en groeien bovendien sterk in aantal. Uit een onderzoek blijkt dat in het afgelopen kwartaal deze aanvalsvariant liefst 269 procent vaker werd waargenomen dan in het kwartaal daarvoor. 85 procent van de onderzoeksdeelnemers had in 2018 een impersonatieaanval meegemaakt. Dat had voor bijna driekwart een directe businessimpact. Denk aan financiële schade of klantenverlies.

Met deze methoden weten cybercriminelen tonnen of zelfs miljoenen euro’s buit te maken, zo blijkt uit de volgende drie praktijkvoorbeelden:

1. Feyenoord

Een geruchtmakende fraudezaak vond in 2014 plaats bij Feyenoord. In dat jaar verkocht de Rotterdamse voetbalclub verdediger Stefan de Vrij aan de Italiaanse club Lazio. De clubs kwamen overeen de transfersom in vier delen te betalen. Maar bij de laatste fase van de betaling ging het mis, vertelt Hofman. "In 2018 ontving Lazio een e-mail met het verzoek het laatste termijnbedrag van 2 miljoen euro over te maken naar de Rotterdamse club. Het vermelde rekeningnummer was echter in handen van cybercriminelen. Feyenoord heeft dat laatste termijnbedrag dan ook nooit gezien."

2. Elco Netherlands

Ook het Noord-Brabantse Elco Netherlands, een fabrikant van printplaten, werd slachtoffer. Het bedrijf leed als gevolg van CEO-fraude bijna 800.000 euro schade. Genoeg om de deuren definitief te doen sluiten. "Cybercriminelen hackten in november 2018 de e-mailadressen van de CEO en de functionaris van de financiële administratie." legt Hofman uit. "Ze hebben vervolgens een e-mailadres aangemaakt dat sterk op dat van de CEO leek. Via dat mailadres stuurden ze een niet van echt te onderscheiden e-mail naar de financiële functionaris. Het verzoek in de e-mail: maak ruim 223.000 euro over naar een gefingeerde bankrekening in China, en een bedrag van in totaal 548.760 euro naar een gefingeerde bankrekening in Roemenië. De financiële functionaris gehoorzaamde, waarna het bedrijf failliet werd verklaard."

3. Pathé

Ook de Nederlandse tak van de bioscoopketen Pathé liep in de val. Algemeen directeur Dertje Meijer en financieel directeur Edwin Slutter kregen in maart 2018 een e-mail die afkomstig was van een directielid van het Franse hoofdkantoor. Althans, daar leek het op. Hofman: "Het duo werd meerdere malen verzocht geld over te maken voor de financiering van een bedrijf in Dubai. Het zou gaan om een lening: na de deal zou het geld netjes worden teruggestort."

Het verzoek wekte argwaan bij Meijer en Slutter, maar ze bleven desondanks gehoorzamen aan de verzoeken. In totaal maakten de fraudeurs op deze manier liefst 19,2 miljoen euro buit. Een deel daarvan werd geleend bij het Franse hoofdkantoor, waarna alle alarmbellen afgingen en de fraude aan het licht kwam. Pathé leeft voort, maar het duo werd ontslagen.

Hoe bereidt u een organisatie voor op een impersonatieaanval?

Met een aantal maatregelen verkleint u de kans op een impersonatieaanval of beperkt u de schade wanneer onverhoopt toch een aanval plaatsvindt. Dit zijn de tips van Hofman:

 

·         Zorg voor voldoende educatie

Wanneer heeft u uw medewerkers voor het laatst naar een securitytraining gestuurd? Waarschijnlijk is het antwoord ‘nog nooit’. Slechts Elf procent van de organisaties maakt volgens een onderzoek van Vanson Bourne gebruik van bewustwordingstrainingen. Dat is zorgelijk, want bewustzijn is een belangrijk wapen tegen impersonatieaanvallen. Bij een onverwacht bericht van een onbekende afzender moeten bij de medewerkers direct alle alarmbellen rinkelen. Dat kan alleen als ze weten waar ze op moeten letten en aanvallen herkennen.

 

·         Neem technische maatregelen

Antimalwareoplossingen worden steeds beter in het herkennen van kwaadaardige bijlagen. Maar voor het herkennen van CEO-fraude is dat niet genoeg. Gespecialiseerde oplossingen voor e-mailbeveiliging herkennen verdachte zaken, zoals onregelmatigheden in de domeinnaam.

 

·         Wees voorbereid op het ergste

Ondanks alle preventieve en beschermende maatregelen is een aanval nooit helemaal uit te sluiten. Ga er dan ook vanuit dat hij een keer plaatsvindt. Wie bij zo’n incident kosten en uitval wil beperken, moet ervoor zorgen dat bedrijfskritische systemen blijven werken en toegang tot e-mail en data verzekerd is.

 

·         Houd derde partijen scherp

Veel organisaties denken dat hun e-mailprovider hen goed beschermt tegen e-mailbedreigingen. In werkelijkheid is dat vaak niet zo. Zwakke beveiliging bij derde partijen vormt vaak een toegangspunt tot het netwerk van een organisatie. Het is dan ook verstandig het veiligheids- en privacybeleid van uw leveranciers voortdurend te evalueren. Security moet een belangrijk onderdeel van service level agreements zijn. Vertrouw niet enkel en alleen op de securitylaag van de cloudprovider, maar zorg zelf voor aanvullende beschermende maatregelen.In hun jacht op geld of data vernieuwen cybercriminelen volgens Hofman continu de inhoud van hun trukendoos. "Wie niet blijft investeren in mensen, processen en technische maatregelen om daar een stokje voor te steken, loopt hopeloos achter de feiten aan," besluit hij.

 
 Doorsturen   Reageer  

 

Laatste nieuws

  Tweederde van bedrijven is niet op de hoogte van de risico’s bij gebruik van SaaS-oplossingen
 70 procent financiële professionals is al bezig met blockchain en kunstmatige intelligentie
 Kerstpakket populairste extraatje onder werknemers
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
advertorial
Leer in 2 dagen ontspannen en overtuigend te presenteren
Spreekangst wordt ontrafeld en geëlimineerd. Ruim 14.000 professionals volgden eerder de 'Sneltraining ‘Spreken in het openbaar’ van Pieter Frijters. Rebels, open en ‘out of the box’. Kijk op Spreek.nl of bel 0182 631 232.
Lees verder
Meer dan 100 gratis checklists voor ondernemers. Op Brisk Magazine, internetmagazine voor ondernemers.
Collectieve zorgverzekering voor uw werknemers
Zakelijke telefoon snel laten repareren: zo ondervind je hier zo min mogelijk last van
Bijdragen aan een beter milieu als ondernemer
reacties
Nog weinig oog voor nieuwe technologie in vacatures financieel specialisten (1) 
Hoeveel tijd verlies je door 100 km/h te rijden? Wij zochten het uit (1) 
Nuttig of tijdsverspilling: wat vindt Nederland van vergaderen? (1) 
Vriendschappen op het werk belangrijker dan salaris (1) 
Zo voorkomt u keuzestress (1) 
5G in de logistiek: voorbereiden op de toekomst (1) 
Vrouwen voorop in de rum-sector (1) 
top10
Drie voorbeelden van CEO-fraude in Nederland
Hoe behoudt u medewerkers voor de organisatie?
Niet-lerende organisatie bestaat over tien jaar niet meer
Tips voor 50-plussers: zo komt u snel aan een baan!
Wat is As-a-Service nu ècht?
Werkende Nederlander: 'Alleen kans op loonsverhoging door van baan te veranderen'
Risico cyberaanvallen grotere kopzorg voor bedrijven dan krappe arbeidsmarkt
Werkgever trekt personeel over streep met ‘borrels’ en ‘pingpongen’
Een op vijf luncht het liefst alleen
Amsterdam wereldwijd op nummer twee wat betreft stedelijke mobiliteit
meer top 10