E-mails zijn een geweldige manier om te communiceren in deze alsmaar toenemende digitaliserende wereld. Desondanks is waakzaamheid wenselijk wanneer men via het beeldscherm in plaats van oog in oog communiceert : misschien heb je wel te maken met iemand anders dan wie je denkt!
Criminelen worden steeds handiger in het opzetten van alsmaar complexere frauduleuze e-mail praktijken. Één van deze frauduleuze praktijken noemt "Business E-mail Compromis" (BEC) en beoogt de leidinggevenden te misleiden zodat ze geld overschrijven aan fraudeurs.
Dit soort aanvallen is een subgroep van “phishing” en staat bekend onder verschillende benamingen: CEO-fraude, “spoofing”, “social engineering”, “sociale hacking”,”whaling”, enz. Één ding hebben ze gemeen; ze zijn allemaal gebaseerd op het tijdelijk aannemen van een valse identiteit. Deze groeiende bedreiging voor bedrijven is net een echt Trojaans paard.
De door deze praktijken verloren bedragen zijn niet voldoende gedocumenteerd omdat dergelijke gebeurtenissen vaak in de doofpot worden gestopt in het belang van het onderzoek of om gezichtsverlies te vermijden. Toch schat het “Federal Bureau of Investigation (FBI)” de internationale kosten op meer dan 2 miljard euro over de afgelopen 3 jaar. Ze beweren ook dat BEC in ten minste 79 landen is gemeld en dat de meerderheid van de frauduleuze transfers naar banken in China en Hong Kong lijken te gaan. Een voorbeeld dichtbij huis is de Belgische bank Crelan, die in het begin van 2016 slachtoffer werd (gerapporteerd verlies van 70 miljoen euro).
Werkwijze / Hoe werkt BEC?
De dieven willen medewerkers te slim af zijn en creëren scenario’s waarbij ze zich met succes uitgeven als iemand anders door het vervalsen van e-mails. Ze onderscheppen e-mailverkeer en bestuderen de bedrijfsstructuur om de topmanagers, accountants, boekhouders, enz., te identificeren. Om deze informatie te verzamelen, gebruiken ze openbare bronnen, sociale media, financiële overzichten (jaarrekeningen), etc.
Ze proberen een e-mailadres van een werknemer te achterhalen om een soortgelijk e-mail adres van het management te redigeren. Luie fraudeurs openen zelfs een gratis Hotmail- of Gmail-account (met naam misbruik) en starten hun blufpoker door te zeggen dat ze een privé e-mailadres gebruiken omdat het snel moet gaan. In feite is hier relatief weinig technische kennis of deskundigheid voor nodig, wat het toegankelijk maakt voor beginnende fraudeurs. Bovendien bevat de valse e-mail meestal geen malware om de spamfilter te kunnen passeren, waardoor basisveiligheidsstrategieën omzeild worden.
Ze geven zich uit als topmanagers om de gekozen doelwitten te manipuleren. De valse identiteiten nemen verschillende vormen aan, zoals (vice-) voorzitter, CEO of CFO, een senior directeur, een belangrijke aandeelhouder etc., maar ook nepbankmedewerkers, advocaten, accountants, enz., zijn reeds gemeld.
De e-mails kunnen een bedrijfslogo bevatten dat gemakkelijk van de corporate website kan worden geplukt of zeggen 'verzonden door een mobiel apparaat” om het ontbreken van een bedrijfshandtekening of de nogal' ongewone schrijfstijl te rechtvaardigen.
De inhoud van de e-mail kan variëren (een onverwacht tekort in een dochteronderneming, een overname, een “blitz take-over”, een fiscale controle, enz.), maar er is altijd een expliciete vraag om snel en discreet geld over te schrijven. Het genoemde bankrekeningnummer is vaak buitenlands of uit een belastingparadijs, waarbij de identiteit van rekeninghouders wordt verborgen.
De verzoeken worden meestal gemarkeerd met "dringend" en zijn gekenmerkt door een hoge graad van vertrouwelijkheid om de medewerkers te overtuigen, onwetende dat ze op het punt staan om onbevoegden toegang te verlenen tot bedrijfsgeld.
Als klap op de vuurpijl vinden deze aanvallen vaak plaats op vrijdag of de dag vóór een lang weekend om de alarmtijd te verlagen. Overgeschreven geld terugvorderen is onmogelijk, het geld verdwijnt meteen.
Deze frauduleuze praktijk wordt zowel gebruikt voor kleine bedrijven als voor grote organisaties, maar men kan stellen dat hoe meer tussenniveaus er zijn, hoe hoger de kwetsbaarheid, omdat de onderlinge contacten minder persoonlijk zijn. In feite rust de frauduleuze praktijk op de hoop dat de afstand tussen de financiële werknemer en de CEO zo groot is dat de integriteit van de e-mail niet wordt gecontroleerd en de betaling zonder problemen zal worden uitgevoerd. Tenslotte, wie houdt ervan de grote baas teleur te stellen, toch? Bij EASI is die afstand nooit te groot, integendeel!
Rode vlaggen
Een paar waarschuwingen zouden u moeten helpen concluderen dat er wel iets mis zou kunnen zijn:
1. Ongebruikelijke transacties in termen van hoeveelheid, reden, omstandigheden, ... vooral als er geen verband bestaat met je functieverantwoordelijkheden.
2. Het geheime/verdekte karakter, het gebruik van een geheime code, het gebruik van een privé e-mailadres of mobiele telefoon, etc.
3. Je kent de afzender niet persoonlijk en hij werd niet ondersteund door iemand die je vertrouwt
4. De ontvangen e-mail werd verzonden op een ongebruikelijk tijdstip (in plaats van tijdens de normale kantooruren) of naar een ongebruikelijke, schijnbaar willekeurige mix van mensen
5. Een dringende behoefte aan cash
6. Ongebruikelijke druk om gevoelige informatie te verkrijgen of een betaling van een hoge functionaris door te voeren
7. Transacties naar buitenlandse bankrekeningen
8. Overdracht van cash op een vrijdag of de dag voor een feestdag (om onder de radar van kritische bankmedewerkers te blijven)
9. Wijzigingen van betaalgegevens van vaste leveranciers
10. E-mails met een ingesloten hyperlink of een bijlage van iemand waarmee u meestal niet communiceert.
Over het algemeen, volg je best je intuïtie. Je zou geen oncomfortabel onderbuikgevoel moeten krijgen over het verzoek van de afzender. Leer in mijn tweede blogpost welke tegenmaatregelen zouden moeten helpen ter bescherming tegen deze frauduleuze praktijken.
