In mijn vorige blogpost heb ik uitgelegd wat "Business E-mail Compromise" is en welke de belangrijkste rode vlaggen zijn die je aandacht zouden moeten trekken. In deze blogpost, kun je een aantal praktische adviezen lezen om je kwetsbaarheid te verminderen en geen slachtoffer van deze fraude te worden en ook hoe EASI hiertegen beschermd is.
Praktisch preventieadvies
Preventie steunt op 3 pijlers:
1. Communicatie
Bedrijfsbrede bewustwording en “feedback loops” dienen blootstelling aan social engineering te verminderen. Iedere medewerker moet zich bewust zijn van deze vorm van fraude, vooral degenen die betalingsopdrachten kunnen uitvoeren. Een nauw onderling contact / transparantieniveau in het bedrijf is de sleutel voor het kweken van alertheid.
EASI bewaart graag een familiegeest in het kader van de huidige expansie, en moedigt assertiviteit aan als de belangrijkste kwaliteit om dit soort gebeurtenissen te voorkomen. Het nauwe contact tussen collega's laat geen ruimte voor dubieuze situaties.
2. Procedures
Stel veiligheidsvoorschriften en betalingsprocedures vast en pas ze strikt toe, in het bijzonder de regels over de volmachten tot ondertekening, ongeacht welke omstandigheden.
EASI’s boekhoudsoftware Adfinity hanteert een authenticatiesysteem in twee stappen voor betalingen. Een strikte naleving van de controle en goedkeuring van facturen en betalingen werkt.
3. Bescherming
Houd rekening met volgende richtlijnen:
- Beveilig je computer met een paswoord, een up-to-date antivirusscanner en een veilige WiFi verbinding. Als vooruitstrevend IT-bedrijf is EASI toonaangevend wat betreft veiligheid, volgt updates op de voet en bewaakt de algemene veiligheidspositie.
- Geef geen kwetsbare bedrijfsinformatie vrij (hiërarchische structuur, bevoegdheden, afwezigheden, beschikbare cash, enz.). Plaats de namen van de verantwoordelijke managers niet op de website van het bedrijf samen met hun e-mailadres. Alle informatie die je deelt kan in je eigen nadeel worden gebruikt. EASI voorkomt dat fraudeurs optreden met een gevoelige kennis over het bedrijf en is voorzichtig over wat er in het openbaar wordt gepost.
- Controleer bij twijfel / geringste verdenking de identiteit van de tegenpartij, de bron van de telefoontjes, en de nauwkeurigheid van het e-mailadres of probeer te ontdekken welk IP-adres wordt gebruikt. Je kunt ook proberen om andere communicatiekanalen in te stellen - zoals telefoongesprekken - om te controleren met de persoon die de opdracht gaf om zo om een extra integriteitscontrole in te voeren.
- Wees extra voorzichtig wanneer een betaling moet worden uitgevoerd op een rekeningnummer dat nog niet eerder is gebruikt. Controleer rekening en telefoonnummers via internet zoekmachines om zo veel mogelijk bevestiging op te halen.
- Geef niet toe aan de druk. Praat met je collega of leidinggevende, zelfs wanneer de grootst mogelijke discretie is vereist. Als je twijfelt, is het beter om tijd te nemen en te controleren. Nauwkeurigheid prevaleert boven snelheid in dit soort situaties.
- Open nooit een bijlage of klik nooit op een link in een e-mail die je niet vertrouwt. Je zou kwaadaardige software kunnen activeren, waardoor schade berokkend wordt zonder dat je deze procedure kan stopzetten. Onderbreek elke installatie waar je niet zeker van bent door je computer uit te schakelen of de stekker uit te trekken.
- Benoem een centrale vertrouwenspersoon in je bedrijf. Onderzoeken/vragen van onbekende tegenpartijen (per mail of per telefoon) moeten worden overgedragen aan een Pr-verantwoordelijke en verdachte e-mails moeten worden gemeld (zeker niet beantwoorden).
Stuit je op een echte poging/ frauduleuze praktijk?
- Waarschuw de politie. Zij zullen het rapporteren aan de bevoegde eenheid voor fraude en cybercrime.
- Indien u de betaling hebt uitgevoerd: neem contact op met uw bank om de overschrijving te annuleren en / of (een deel van) het overgeschreven geld te recupereren.
- Waarschuw de onschuldige personen die in de frauduleuze praktijken genoemd worden, om hen in staat te stellen de nodige stappen te zetten.
- Dien klacht in.
Conclusie
BEC-mails zijn toegenomen in aantal en verscheidenheid gedurende de afgelopen 10 jaar. Algemeen kan worden gesteld dat het einde van deze praktijk nog niet in zicht is - de social engineering kracht die de naam van de CEO's draagt is te groot.
Bewustwording en systemen zijn onmisbaar om zich hiertegen te verdedigen. Medewerkers moeten op dit soort e-mails attent worden gemaakt, en een aantal tips krijgen over het soort zaken die op een mogelijke frauduleuze praktijk wijzen. Organisaties moeten er ook voor zorgen dat er heel duidelijke procedures zijn om het betalingsverkeer of de vraag naar gevoelige informatie te controleren, in het bijzonder via e-mail.
Bent u beschermd tegen deze digitale aanvallen?
