Wat is CEO-fraude en hoe voorkom ik het?
Wat is CEO-fraude en hoe voorkom ik het? Dat is de vraag die we in deze video gaan beantwoorden. CEO-fraude is een vorm van phishing die zich richt op het misbruiken van een management rol. Twee vormen van CEO-fraude komen geregeld voor: de fraude van organisatie naar organisatie en interne fraude.
Bij de variant van organisatie naar organisatie gaat het vaak om transactie kaping en uitlokking. Hierbij gaat een aanvaller tussen de twee onderhandelende organisaties inzitten of doet hij zich voor als een van de twee partijen om zo geld afhandig te maken. Verderop in de video gaan we hier dieper op in. Bij de interne fraude doet de aanvaller zich voor als een manager om zo een werknemer van de organisatie over te halen een actie uit te voeren.
Hoe gaat een aanvaller te werk?
Bij CEO-fraude werken aanvallers geroutineerd en hebben ze als doel, grote vissen vangen. Om hun doel te kunnen bereiken gaan de aanvallers geavanceerd te werk. Meestal hacken ze een mailbox van de uitgekozen organisatie of maken een spelfout domein aan. Bij een spelfout domein maakt de aanvaller een domeinnaam aan die lijkt op die van de uitgekozen organisatie, maar dus in bezit is van de aanvaller. De aanvaller kan dan opdrachten tot betaling uitzetten binnen de organisatie. Dit in de hoop dat die betaling wordt uitgevoerd en geld van de organisatie op de rekening van de aanvaller terecht komt.
Een voorbeeld hiervan is dat “directie@NIFR.nl” wordt aangemaakt door een aanvaller. Vanuit dat e-mailadres worden mails gestuurd naar de financiële afdeling van NFIR met, vaak vanuit de CEO, de opdracht een betaling uit te voeren. Op het eerste gezicht valt de fout niet op maar als je de domeinnaam goed bekijkt zijn de F en de I omgedraaid.
Veel ondernemingen, maar ook stichtingen en verenigingen krijgen te maken met CEO-fraude. Het lastige aspect van CEO-fraude is dat er niet één methode bestaat die aanvallers toepassen. De aanvallers proberen zoveel mogelijk informatie over de organisatie te verzamelen, zodat ze een gerichte aanval kunnen uitvoeren die grote kans van slagen heeft. De meest bekende CEO-fraudes zijn de directie fraude en transactie kaping en uitlokking.
Directie fraude
Bij directie fraude doet de aanvaller zich voor als de directeur of directie van de organisatie. Deze informatie haalt de aanvaller meestal van LinkedIn of uit de registratie bij de Kamer van Koophandel. De aanvaller stuurt vanuit de directeur intern een email naar de medewerker die verantwoordelijk is voor de financiële transacties. In die email vraagt de directeur of de medewerker een openstaande rekening zo snel mogelijk kan betalen.
De email bevat vaak woorden waarmee een medewerker overgehaald wordt snel te handelen en de opdracht niet in twijfel te trekken. Denk hierbij aan; dat het vandaag nog moet gebeuren of dat het snel moet gebeuren. Maar ook dat de CEO op de medewerker rekent en verteld dat het geld wordt gebruikt voor een project met grote organisaties, zoals overheden en universiteiten. Dit alles om de transactie legitiem te laten lijken.
Transactie kaping en uitlokking
Bij transactie kaping en uitlokking mengt een aanvaller zich in een acquisitie traject en neemt de communicatie op een bepaald moment over. Dit gebeurt meestal op het allerlaatste moment wanneer bankrekeningnummers worden gedeeld. De aanvaller vervangt de rekeningnummers van de legitieme ontvanger van het geld, door zijn eigen rekeningnummer, zodat hij het geld zal gaan ontvangen.
Er zijn ook situaties geweest waarin de communicatie in een eerder stadium al werd overgenomen door de aanvaller. De aanvaller neemt dan het gehele acquisitie traject over, zonder dat de andere partij dat door heeft. Bij deze vorm van fraude zijn er uiteindelijk twee slachtoffers. De partij die geld over heeft gemaakt naar de aanvaller loopt financiële schade op. en de partij vanuit waar de aanvaller de communicatie heeft laten verlopen, loopt reputatie schade op.
Hoe voorkom ik CEO-fraude?
CEO-fraude voorkomen is een uitdaging, maar niet onmogelijk. Harde regels en vertrouwen op je gevoel blijken het meest effectief. Wij zullen enkele concrete organisatorische en technische maatregelen bespreken:
Organisatorische maatregelen die genomen kunnen worden zijn:
- Zorg dat de toestemming voor transacties niet via de mail verlopen, maar fysiek of telefonisch, zodat aan de hand van gezichtsherkenning of stemherkenning een extra controle wordt uitgevoerd.
- Zorg ervoor dat procedures omtrent transacties niet worden genegeerd, ook niet bij kleine bedragen .
- Voer transacties alleen uit via het vier ogen principe, zodat de transactie altijd dubbel gecontroleerd wordt.
- Maak medewerkers bewust van de eigenschappen van CE- fraude emails. De eigenschappen zijn:
- Vaak wordt er sterk nadruk gelegd op de gezagsverhouding. De betaalopdracht wordt als een bevel gegeven.
- De zogenaamde CEO benadrukt dat vertrouwelijkheid van groot belang is. De opdracht mag niet gedeeld worden met collega’s.
- De medewerker wordt geprezen en belangrijk gemaakt. Hij/zij is uitgekozen om de opdracht uit te voeren vanwege zijn/haar uitzonderlijke kwaliteiten.
- Het slagen van een actie wordt op de schouders van een bepaalde medewerker gelegd. De druk wordt zo verhoogd.
- De valse mails die deze nep-CEO’s sturen, zijn meestal ook te herkennen aan het gebruik van een vals afzendadres. Heel vaak lijkt deze wel van het domein van het bedrijf te komen, maar is bijvoorbeeld een L vervangen door een hoofdletter i.
- Geld moet snel overgemaakt worden. Bewustwording is een effectieve eerste stap!
Op technisch vlak raden we aan te zorgen dat op alle communicatiekanalen die binnen de organisatie worden gebruikt Twee Staps Authenticatie staat ingesteld. Zo kan worden voorkomen dat een hacker toegang tot een account van een medewerker kan krijgen. Hoe je dat kan doen wordt toegelicht in onze video genaamd: Hoe Stel Ik Twee Staps Authenticatie In?
Daarnaast kunt u de crimineel een stap voor zijn door spelfout domeinen alvast te reserveren voordat criminelen hier de kans voor krijgen. Denk creatief na welke varianten er gemaakt kunnen worden op basis van uw echte domeinnaam. Zit er bijvoorbeeld een “O” (OOO) in uw domeinnaam? Gebruik in het spelfoutdomein dan een “0” (Nul).
Dit was een video over Wat CEO-fraude is en hoe je het voorkomt. Wil je nog beter beveiligd zijn? Bekijk dan een van onze andere video’s!
De cybercrime alert video's zijn een co-productie van Nederlands Forensisch Incident Response (NFIR) en Platform Veilig Ondernemen Oost-Nederland.