Oplichters die financials zover willen krijgen om geld over te maken namens een betrokken partij of bestuurslid, voerden vorig jaar de druk flink op. Pogingen tot ceo-fraude zijn in het eerste coronajaar bijna verdubbeld, zo blijkt uit cijfers van cloudbeveiligingsbedrijf Barracuda.
Criminelen doen steeds meer hun best om zich overtuigend voor te doen als een stakeholder, onder meer door accounts van collega’s te kapen of domeinen van legitieme leveranciers na te bootsen. In de maanden augustus tot en met oktober nam de cloudbeveiliger al 2,3 miljoen van deze zeer gerichte aanvallen waar wereldwijd, waarmee 80.000 organisaties op de korrel werden genomen. Bij zulke gerichte aanvallen worden zelden malafide hyperlinks, onbekende domeinen of gebrekkig taalgebruik ingezet, waardoor de e-mails sneller legitiem lijken.
Lees ook: AFM vraagt om incidentmeldingen voor inzicht impact coronacrisis
Inhaken met overtuigende boodschap
Een geijkte techniek is dat criminelen een account bemachtigen, bijvoorbeeld door werknemers via een nepmailtje inloggegevens in te laten voeren op een plek waar dat niet verstandig is, en vervolgens de tijd nemen om zich in te lezen. Gesprekken via de mail met leveranciers en interne partijen worden gemonitord zodat de oplichters op het juiste moment kunnen inhaken als legitieme stakeholder met een overtuigende boodschap.
Over 2020 maakten zogenoemde spearphisihing-aanvallen, gerichte malafide e-mails, 12 procent uit van alle phishingaanvallen. Een jaar eerder was dat nog 7 procent. Een deel van de oplossing ligt bij ICT: 13 procent van deze aanvallen komt binnen via accounts die zijn overgenomen door criminelen. Maar de oplossing is vooral een sociaal-culturele, niet zozeer een technische: oplichters maken gebruik van psychologische trucs en zwakheden in de bedrijfscultuur om financials ervan te overtuigen een slechte beslissing te nemen.
Lees ook: Meld een datalek als gevolg van hacking, phishing of malware zo snel mogelijk
Vasthouden aan procedures
Het advies van Barracuda is om werknemers te trainen op signalen waarbij het extra van belang is om voorzichtigheid te betrachten. Let bijvoorbeeld op deze zes potentiële alarmbellen bij een betaalverzoek. Bedrijven die vatbaar zijn voor ceo-fraude hebben vaak een interne cultuur waarbij procedures opzij worden gelegd zodra er haast geboden is of als er meer druk van bovenaf komt. ‘Zorg ervoor dat werknemers dure fouten vermijden door richtlijnen te ontwikkelen die procedures vaststellen om betaalverzoeken die via e-mail binnenkomen te bevestigen,’ staat te lezen in het rapport.
