Financiële cyberfraude is een reële dreiging voor iedere organisatie
Wereldwijd hebben cybercriminelen een nieuw en lucratief 'verdienmodel' gevonden: financiële fraude. Daarmee zijn al miljarden buitgemaakt. Deze maand kwam het Financial Crimes Enforcement Network (FinCEN) van het Amerikaanse ministerie van Financiën met het bericht dat er alleen in de VS al 300 miljoen dollar per maand op deze manier wordt gestolen. Ook in Nederland zijn er slachtoffers. Het bekendste voorbeeld is wel het incident vorig jaar bij Pathé, waarbij 19 miljoen euro is buitgemaakt en waardoor twee topmensen hun baan verloren. Maar wie denkt dat dit soort cybercriminaliteit alleen grote organisaties treft, heeft het mis. Eerder dit jaar is de Nederlandse onderneming Elco failliet gegaan nadat het bedrijf via financiële fraude 800.000 euro had overgemaakt naar gefingeerde bankrekeningen in China en Roemenië.
Maar hoe werkt het eigenlijk?
Bij financiële cyberfraude (ook wel bekend als 'CEO-fraude') gaan cybercriminelen als volgt te werk: ze doen zich in een nep-email aan de financiële afdeling voor als de directeur of een bestuurder met het verzoek om met spoed, een flink bedrag over te maken naar de rekening van een partner of leverancier. Omdat de afzender schijnbaar een directeur is en er blijkbaar haast is met de opdracht, is er een goede kans dat de ontvanger hiervoor valt. Zeker als daarbij ook nog eens geappelleerd wordt aan het vertrouwen dat deze 'directeur' schenkt aan de betreffende medewerker.
Criminelen doen hun huiswerk
De criminelen doen hun huiswerk. Ze verzamelen eerst uitgebreide informatie over het bedrijf, evenals persoonlijke gegevens van de directeur en de financieel medewerker. Via websites en social media accounts is er vaak heel veel bruikbare informatie te vinden. Dat beperkt zich niet alleen tot zakelijke informatie, maar ook andere info die de ontvanger moet helpen overtuigen dat de email legitiem is. Denk bijvoorbeeld aan het vragen naar de uitslag van een sportwedstrijd waar de medewerker in heeft gespeeld of een recente vakantie. Sommige criminelen gaan zelfs zo ver dat ze een collega telefonisch benaderen met allemaal – schijnbaar onschuldige – vragen.
De volgende stap is het opstellen van een overtuigende e-mail, die vervolgens wordt verzonden vanaf een e-mailadres dat sterk lijkt op het officiële e-mailadres van het bedrijf, met bijvoorbeeld één afwijkende letter. Dit is iets waar medewerkers vaak niet op beducht zijn. Een andere en zorgwekkende ontwikkeling is de toename in zogenaamde 'laterale phishing'. Daarbij wordt eerst op de een of andere manier toegang verschaft tot het e-mail account van een medewerker van een andere afdeling van het bedrijf. Daarna wordt de frauduleuze e-mail vanaf dit adres verstuurd, zodat er helemaal niets bijzonders aan te zien is. Vooral Office 365-accounts zijn het slachtoffer van dit soort 'account take-overs'.
Effectief beleid en meer bewustzijn
Hoe kunnen ondernemingen zich nu beste beschermen tegen deze vorm van fraude? In tegenstelling tot bekende vormen van cybercriminaliteit bevatten deze mails geen malware of een link naar een kwaadaardige website. Het zijn juist deze zaken die veel e-mailbeveiligingsoplossingen detecteren en vervolgens kunnen blokkeren. Kunnen bedrijven wel degelijk stappen nemen om zich hiertegen te beschermen. Neem bijvoorbeeld in het bedrijfsbeleid op dat er nooit grote bedragen overgemaakt mogen worden zonder dat deze persoonlijk of telefonisch worden geverifieerd bij de (vermeende) opdrachtgever. Daarmee kan al een hoop ellende voorkomen worden. En omdat de meeste van deze frauduleuze e-mails zogenaamd zijn verstuurd door de 'directeur', moet vooral bij e-mails afkomstig van deze personen extra worden opgelet. Als die directeur een ongewoon verzoek per e-mail doet, zou een medewerker niets moeten doen voordat is geverifieerd of deze opdracht wel juist is.
Slimme technologie helpt een handje
Gelukkig zijn er ook intelligente e-mailbeveiligingsoplossingen die geheel automatisch en effectief financiële fraude, spearphishing en andere frauduleuze e-mails kunnen identificeren en blokkeren. Daarbij worden bijvoorbeeld met behulp van AI-technieken de afzender en de inhoud van mailberichten geanalyseerd. Ongewone verzoeken of vervalste e-mailafzenders worden al tegengehouden voordat ze in de mailbox van de ontvangers terechtkomen.
Daarnaast is het sterk aan te raden om medewerkers regelmatig te trainen op het herkennen van dergelijke financiële fraude-mails of andere phishing mails. Ons eigen recente onderzoek naar e-maildreigingen blijkt namelijk dat bijna driekwart van de organisaties zegt dat hun medewerkers niet goed in staat zijn om verdachte e-mails te herkennen. De meest effectieve aanpak daarbij is het inzetten van een geautomatiseerd trainingsprogramma dat bij alle medewerkers – ook het management! – regelmatig het bewustzijn rond deze risico's versterkt en ook daadwerkelijk test. Juist bij een geautomatiseerde trainingsoplossing kan er voor worden gezorgd dat ook de nieuwste methodes en technieken van criminelen aan bod komen.
Het blijft een kat-en-muisspel tussen de criminelen, en de methodes en oplossingen om ze tegen te houden. Het belangrijkste is en blijft waakzaamheid en bewustzijn rond deze risico's. In combinatie met slimme technologie kunnen bedrijven zo met een gerust hart zaken blijven doen.
Door: Alain Luxembourg (foto), regional director Benelux voor Barracuda
