Business Email Compromise (BEC) is een groeiend probleem. Cybercriminelen verleiden daarmee werknemers geld over te maken door zich voor te doen als CFO. Onderzoekers wisten een aanval te onderscheppen met nepmails van de CFO van een grote sportorganisatie. De aanvallers probeerden daarbij een financieel medewerker via een e-mail te misleiden om geld over te maken.
De imitatie-CFO verzocht medewerkers om een overschrijving naar wat een verzekeringsmaatschappij leek te zijn. Hoewel de aanval werd geblokkeerd is er nog weinig bekend over de aanvallers, alleen dat ze meerdere keren toesloegen. De onderzoekers waarschuwen dat dit soort cyberaanvallen steeds vaker voorkomen en inspelen op de behoefte van mensen om goed werk te leveren voor hun leidinggevende.
Aanvalsmethodologie
Het gebruikte type cyberaanval Business Email Compromise (BEC) aanval werkte als volgt:
- De hacker creëerde eerst een vervalst account van de CFO van het bedrijf
- De hacker vindt het legitieme e-mailadres van iemand van het financiële team
- Hacker creëert een e-mail die eruit ziet alsof de CFO deze heeft doorgestuurd, met bijgevoegde instructies voor het overmaken van geld
- De CFO vraagt de werknemer om onmiddellijk geld over te maken
- Als de werknemer toehapt, komt het geld op de rekening van de hacker terecht
Voorbeeld e-mail 1
De gebruiker krijgt een e-mail van de CFO met de vraag om een betaling te doen aan een legitieme verzekeringsmaatschappij. Sluw is het feit dat de URL in het ‘from’-adres gebaseerd is op de slogan van de verzekeraar. Dit is echter duidelijk nep, aangezien het “reply-to” adres bovenaan de e-mail afwijkt van het e-mailadres van het bedrijf.
Wat hier opvalt is de roze banner die laat zien dat de e-mail niet van de getoonde afzender afkomstig is. Dit werd toegevoegd door de Office 365 van de gebruiker. Deze banner was het enige dat de gebruiker waarschuwde dat er iets mis was.
Voorbeeld e-mail 2
Dit is een bijna identieke e-mail, maar dan verzonden naar een ander bedrijf. Er zijn echter twee verschillen: Er is geen externe banner die de eindgebruiker waarschuwt voor potentieel gevaar en de “Get in touch” e-mail onderaan spelt “Silver Lining” met een extra letter n.
“Deze ‘Business Email Compromise’ aanvallen zijn populair, lastig te identificeren en moeilijk te stoppen. Eindgebruikers moeten altijd voorzichtig zijn metbetalen van facturen. Het is verstandig om altijd direct met de CFO te overleggen voordat er wordt uitbetaald”, zegt Zahier Madhar, Security Engineer Expert bij het bedrijf dat de aanval vond: Check Point Software in Nederland. “Zorg dat je de hele e-mail leest voordat je handelt, en wees alert op eventuele afwijkingen of eigenaardigheden.”
Tips voor cyberveiligheid
- Controleer altijd of de reply-to adressen overeenkomen
- Bij twijfel over een e-mail, vraag het aan de oorspronkelijke afzender
- Moedig gebruikers aan eerst bij het financiële team te informeren voordat ze iets doen met facturen
- Lees de hele e-mail; zoek naar inconsistencies, spelfouten of tegenstrijdigheden
- Zorg dat u eindgebruikers niet bombardeert met banners; gebruik ze alleen op kritieke momenten, zodat eindgebruikers ze serieus nemen.
Lees ook:
- Informatiebeveiliging: blijf kwaadwillenden een stap voor met Red Teaming
- Portfoliomanagement: de bucket list van de RvB
