Hoe bereidt u zich het beste voor op een impersonisatie-aanval?
4 december 2019 -
Steeds meer organisaties worden slachtoffer van CEO-fraude. De gevolgen zijn niet mis: denk aan miljoenenroof of verlies van grote hoeveelheden persoonsgegevens. Sander Hofman, securityexpert bij Mimecast, vertelt u alles wat u moet weten over deze oprukkende vorm van cybercriminaliteit.
"Bij CEO-fraude, ook wel een impersonatieaanval genoemd, doet een aanvaller zich voor als iemand anders, vaak als de directeur of een andere hooggeplaatste medewerker van een bedrijf," zegt Hofman. "De aanvaller wekt vertrouwen met een e-mail die afkomstig lijkt van de betreffende leidinggevende. In de mail wordt bijvoorbeeld gevraagd met spoed een grote som geld over te maken naar een klant, vanwege een openstaande factuur. In werkelijkheid staat de bankrekening op naam van de cybercrimineel. Op min of meer gelijke wijze ontfutselen aanvallers bijvoorbeeld ook persoons- of creditcardgegevens."
Een ander voorbeeld van een impersonatieaanval is ‘whaling’. Bij deze techniek wordt een frauduleuze mail gestuurd naar topfunctionarissen, zoals de CEO of CFO. Het doel hierbij is om gevoelige of financiële data te verkrijgen. De afzender is zogenaamd een collega of een vriend, zodat de cybercrimineel vertrouwen wekt. Met het vermelden van persoonlijke informatie over de ontvanger probeert de hacker zijn geloofwaardigheid te vergroten.
Ernstig en groeiend probleem
Impersonatieaanvallen zijn een ernstig probleem, en groeien bovendien sterk in aantal. Uit een onderzoek blijkt dat in het afgelopen kwartaal deze aanvalsvariant liefst 269 procent vaker werd waargenomen dan in het kwartaal daarvoor. 85 procent van de onderzoeksdeelnemers had in 2018 een impersonatieaanval meegemaakt. Dat had voor bijna driekwart een directe businessimpact. Denk aan financiële schade of klantenverlies.
Met deze methoden weten cybercriminelen tonnen of zelfs miljoenen euro’s buit te maken, zo blijkt uit de volgende drie praktijkvoorbeelden:
1. Feyenoord
Een geruchtmakende fraudezaak vond in 2014 plaats bij Feyenoord. In dat jaar verkocht de Rotterdamse voetbalclub verdediger Stefan de Vrij aan de Italiaanse club Lazio. De clubs kwamen overeen de transfersom in vier delen te betalen. Maar bij de laatste fase van de betaling ging het mis, vertelt Hofman. "In 2018 ontving Lazio een e-mail met het verzoek het laatste termijnbedrag van 2 miljoen euro over te maken naar de Rotterdamse club. Het vermelde rekeningnummer was echter in handen van cybercriminelen. Feyenoord heeft dat laatste termijnbedrag dan ook nooit gezien."
2. Elco Netherlands
Ook het Noord-Brabantse Elco Netherlands, een fabrikant van printplaten, werd slachtoffer. Het bedrijf leed als gevolg van CEO-fraude bijna 800.000 euro schade. Genoeg om de deuren definitief te doen sluiten. "Cybercriminelen hackten in november 2018 de e-mailadressen van de CEO en de functionaris van de financiële administratie." legt Hofman uit. "Ze hebben vervolgens een e-mailadres aangemaakt dat sterk op dat van de CEO leek. Via dat mailadres stuurden ze een niet van echt te onderscheiden e-mail naar de financiële functionaris. Het verzoek in de e-mail: maak ruim 223.000 euro over naar een gefingeerde bankrekening in China, en een bedrag van in totaal 548.760 euro naar een gefingeerde bankrekening in Roemenië. De financiële functionaris gehoorzaamde, waarna het bedrijf failliet werd verklaard."
3. Pathé
Ook de Nederlandse tak van de bioscoopketen Pathé liep in de val. Algemeen directeur Dertje Meijer en financieel directeur Edwin Slutter kregen in maart 2018 een e-mail die afkomstig was van een directielid van het Franse hoofdkantoor. Althans, daar leek het op. Hofman: "Het duo werd meerdere malen verzocht geld over te maken voor de financiering van een bedrijf in Dubai. Het zou gaan om een lening: na de deal zou het geld netjes worden teruggestort."
Het verzoek wekte argwaan bij Meijer en Slutter, maar ze bleven desondanks gehoorzamen aan de verzoeken. In totaal maakten de fraudeurs op deze manier liefst 19,2 miljoen euro buit. Een deel daarvan werd geleend bij het Franse hoofdkantoor, waarna alle alarmbellen afgingen en de fraude aan het licht kwam. Pathé leeft voort, maar het duo werd ontslagen.
Hoe bereidt u een organisatie voor op een impersonatieaanval?
Met een aantal maatregelen verkleint u de kans op een impersonatieaanval of beperkt u de schade wanneer onverhoopt toch een aanval plaatsvindt. Dit zijn de tips van Hofman:
· Zorg voor voldoende educatie
Wanneer heeft u uw medewerkers voor het laatst naar een securitytraining gestuurd? Waarschijnlijk is het antwoord ‘nog nooit’. Slechts Elf procent van de organisaties maakt volgens een onderzoek van Vanson Bourne gebruik van bewustwordingstrainingen. Dat is zorgelijk, want bewustzijn is een belangrijk wapen tegen impersonatieaanvallen. Bij een onverwacht bericht van een onbekende afzender moeten bij de medewerkers direct alle alarmbellen rinkelen. Dat kan alleen als ze weten waar ze op moeten letten en aanvallen herkennen.
· Neem technische maatregelen
Antimalwareoplossingen worden steeds beter in het herkennen van kwaadaardige bijlagen. Maar voor het herkennen van CEO-fraude is dat niet genoeg. Gespecialiseerde oplossingen voor e-mailbeveiliging herkennen verdachte zaken, zoals onregelmatigheden in de domeinnaam.
· Wees voorbereid op het ergste
Ondanks alle preventieve en beschermende maatregelen is een aanval nooit helemaal uit te sluiten. Ga er dan ook vanuit dat hij een keer plaatsvindt. Wie bij zo’n incident kosten en uitval wil beperken, moet ervoor zorgen dat bedrijfskritische systemen blijven werken en toegang tot e-mail en data verzekerd is.
· Houd derde partijen scherp
Veel organisaties denken dat hun e-mailprovider hen goed beschermt tegen e-mailbedreigingen. In werkelijkheid is dat vaak niet zo. Zwakke beveiliging bij derde partijen vormt vaak een toegangspunt tot het netwerk van een organisatie. Het is dan ook verstandig het veiligheids- en privacybeleid van uw leveranciers voortdurend te evalueren. Security moet een belangrijk onderdeel van service level agreements zijn. Vertrouw niet enkel en alleen op de securitylaag van de cloudprovider, maar zorg zelf voor aanvullende beschermende maatregelen.In hun jacht op geld of data vernieuwen cybercriminelen volgens Hofman continu de inhoud van hun trukendoos. "Wie niet blijft investeren in mensen, processen en technische maatregelen om daar een stokje voor te steken, loopt hopeloos achter de feiten aan," besluit hij.
