zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Drie voorbeelden van CEO-fraude in Nederland

Hoe bereidt u zich het beste voor op een impersonisatie-aanval?

4 december 2019 -  Steeds meer organisaties worden slachtoffer van CEO-fraude. De gevolgen zijn niet mis: denk aan miljoenenroof of verlies van grote hoeveelheden persoonsgegevens. Sander Hofman, securityexpert bij Mimecast, vertelt u alles wat u moet weten over deze oprukkende vorm van cybercriminaliteit. 

"Bij CEO-fraude, ook wel een impersonatieaanval genoemd, doet een aanvaller zich voor als iemand anders, vaak als de directeur of een andere hooggeplaatste medewerker van een bedrijf," zegt Hofman. "De aanvaller wekt vertrouwen met een e-mail die afkomstig lijkt van de betreffende leidinggevende. In de mail wordt bijvoorbeeld gevraagd met spoed een grote som geld over te maken naar een klant, vanwege een openstaande factuur. In werkelijkheid staat de bankrekening op naam van de cybercrimineel. Op min of meer gelijke wijze ontfutselen aanvallers bijvoorbeeld ook persoons- of creditcardgegevens."



Een ander voorbeeld van een impersonatieaanval is ‘whaling’. Bij deze techniek wordt een frauduleuze mail gestuurd naar topfunctionarissen, zoals de CEO of CFO. Het doel hierbij is om gevoelige of financiële data te verkrijgen. De afzender is zogenaamd een collega of een vriend, zodat de cybercrimineel vertrouwen wekt. Met het vermelden van persoonlijke informatie over de ontvanger probeert de hacker zijn geloofwaardigheid te vergroten.

Ernstig en groeiend probleem

Impersonatieaanvallen zijn een ernstig probleem, en groeien bovendien sterk in aantal. Uit een onderzoek blijkt dat in het afgelopen kwartaal deze aanvalsvariant liefst 269 procent vaker werd waargenomen dan in het kwartaal daarvoor. 85 procent van de onderzoeksdeelnemers had in 2018 een impersonatieaanval meegemaakt. Dat had voor bijna driekwart een directe businessimpact. Denk aan financiële schade of klantenverlies.

Met deze methoden weten cybercriminelen tonnen of zelfs miljoenen euro’s buit te maken, zo blijkt uit de volgende drie praktijkvoorbeelden:

1. Feyenoord

Een geruchtmakende fraudezaak vond in 2014 plaats bij Feyenoord. In dat jaar verkocht de Rotterdamse voetbalclub verdediger Stefan de Vrij aan de Italiaanse club Lazio. De clubs kwamen overeen de transfersom in vier delen te betalen. Maar bij de laatste fase van de betaling ging het mis, vertelt Hofman. "In 2018 ontving Lazio een e-mail met het verzoek het laatste termijnbedrag van 2 miljoen euro over te maken naar de Rotterdamse club. Het vermelde rekeningnummer was echter in handen van cybercriminelen. Feyenoord heeft dat laatste termijnbedrag dan ook nooit gezien."

2. Elco Netherlands

Ook het Noord-Brabantse Elco Netherlands, een fabrikant van printplaten, werd slachtoffer. Het bedrijf leed als gevolg van CEO-fraude bijna 800.000 euro schade. Genoeg om de deuren definitief te doen sluiten. "Cybercriminelen hackten in november 2018 de e-mailadressen van de CEO en de functionaris van de financiële administratie." legt Hofman uit. "Ze hebben vervolgens een e-mailadres aangemaakt dat sterk op dat van de CEO leek. Via dat mailadres stuurden ze een niet van echt te onderscheiden e-mail naar de financiële functionaris. Het verzoek in de e-mail: maak ruim 223.000 euro over naar een gefingeerde bankrekening in China, en een bedrag van in totaal 548.760 euro naar een gefingeerde bankrekening in Roemenië. De financiële functionaris gehoorzaamde, waarna het bedrijf failliet werd verklaard."

3. Pathé

Ook de Nederlandse tak van de bioscoopketen Pathé liep in de val. Algemeen directeur Dertje Meijer en financieel directeur Edwin Slutter kregen in maart 2018 een e-mail die afkomstig was van een directielid van het Franse hoofdkantoor. Althans, daar leek het op. Hofman: "Het duo werd meerdere malen verzocht geld over te maken voor de financiering van een bedrijf in Dubai. Het zou gaan om een lening: na de deal zou het geld netjes worden teruggestort."

Het verzoek wekte argwaan bij Meijer en Slutter, maar ze bleven desondanks gehoorzamen aan de verzoeken. In totaal maakten de fraudeurs op deze manier liefst 19,2 miljoen euro buit. Een deel daarvan werd geleend bij het Franse hoofdkantoor, waarna alle alarmbellen afgingen en de fraude aan het licht kwam. Pathé leeft voort, maar het duo werd ontslagen.

Hoe bereidt u een organisatie voor op een impersonatieaanval?

Met een aantal maatregelen verkleint u de kans op een impersonatieaanval of beperkt u de schade wanneer onverhoopt toch een aanval plaatsvindt. Dit zijn de tips van Hofman:

 

·         Zorg voor voldoende educatie

Wanneer heeft u uw medewerkers voor het laatst naar een securitytraining gestuurd? Waarschijnlijk is het antwoord ‘nog nooit’. Slechts Elf procent van de organisaties maakt volgens een onderzoek van Vanson Bourne gebruik van bewustwordingstrainingen. Dat is zorgelijk, want bewustzijn is een belangrijk wapen tegen impersonatieaanvallen. Bij een onverwacht bericht van een onbekende afzender moeten bij de medewerkers direct alle alarmbellen rinkelen. Dat kan alleen als ze weten waar ze op moeten letten en aanvallen herkennen.

 

·         Neem technische maatregelen

Antimalwareoplossingen worden steeds beter in het herkennen van kwaadaardige bijlagen. Maar voor het herkennen van CEO-fraude is dat niet genoeg. Gespecialiseerde oplossingen voor e-mailbeveiliging herkennen verdachte zaken, zoals onregelmatigheden in de domeinnaam.

 

·         Wees voorbereid op het ergste

Ondanks alle preventieve en beschermende maatregelen is een aanval nooit helemaal uit te sluiten. Ga er dan ook vanuit dat hij een keer plaatsvindt. Wie bij zo’n incident kosten en uitval wil beperken, moet ervoor zorgen dat bedrijfskritische systemen blijven werken en toegang tot e-mail en data verzekerd is.

 

·         Houd derde partijen scherp

Veel organisaties denken dat hun e-mailprovider hen goed beschermt tegen e-mailbedreigingen. In werkelijkheid is dat vaak niet zo. Zwakke beveiliging bij derde partijen vormt vaak een toegangspunt tot het netwerk van een organisatie. Het is dan ook verstandig het veiligheids- en privacybeleid van uw leveranciers voortdurend te evalueren. Security moet een belangrijk onderdeel van service level agreements zijn. Vertrouw niet enkel en alleen op de securitylaag van de cloudprovider, maar zorg zelf voor aanvullende beschermende maatregelen.In hun jacht op geld of data vernieuwen cybercriminelen volgens Hofman continu de inhoud van hun trukendoos. "Wie niet blijft investeren in mensen, processen en technische maatregelen om daar een stokje voor te steken, loopt hopeloos achter de feiten aan," besluit hij.

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Recruiter denkt dat kandidaten vaardigheden op cv overdrijven
 Vier vereisten voor een efficiënt datacenter
 ‘Positief verband tussen stakeholdergericht leiderschap en betere financiële bedrijfsprestaties’
 
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
advertorial
Tips om meer uit e-mail te halen met een CRM-koppeling
Wil je je in 2020 meer focussen op klantengagement? Dan heb je zowel een CRM- als een email marketingsysteem nodig. In dit white paper legt Spotler uit waarom een koppeling zo waardevol is én hoe je dit goed aanpakt. Benieuwd naar de tips?
Download white paper
Lees verder
Leer in 2 dagen ontspannen en overtuigend te presenteren
Personeel inwerken met behulp van een onboard-programma
Waarom kiezen voor een agile werkwijze bij de ontwikkeling van software
Het belang van een goede online marketing partner
reacties
Onbekend maakt onbemind (1) 
Geef uw jaaromzet nog een extra boost met inzet van data  (1) 
De kunst van het complimenteren (4) 
Eén op acht werkenden vindt dat organisatie prima zonder printer kan (2) 
Helft Nederlanders ziet op tegen functioneringsgesprek (1) 
Soft Skills: programmeur moet teamspeler zijn, salesmedewerker coole kikker  (1) 
Loonafspraken voor 2020 hoger dan 2019 (1) 
top10
De top-100 snelst groeiende beroepen van de toekomst: Mensenwerk blijft groeien
Waar kandidaten zich aan storen tijdens een sollicitatiegesprek
Dit jaar nog geen advertenties op WhatsApp
IT-trends in 2020: hoe AI alle andere trends gaat beďnvloeden
Posities in zorg overheersen in top tien snelst groeiende banen
Duurzame kijk op HRM oplossing voor burn-outklachten?
Meerwaarde creëren uit menselijk kapitaal met ISO-norm
Stap uit de sprookjeswereld en stop het (digitale) zwart-wit-denken
Nederland ideale vestigingsplek dankzij digitale infrastructuur
Bedrijven plukken steeds vaker voordelen van mobiele CRM-apps
meer top 10