Internetsporen.nl
headeroplichting

CEO Fraude

“Kun je snel €100.000,- overmaken?” Groet, CEO. Dit is een voorbeeld van een verzoek dat zomaar eens kan gaan om CEO-fraude. CEO-fraude is een veel besproken en aanhoudend fenomeen. Zeker met de komst van het corona virus en het op afstand werken is deze vorm van criminaliteit toegenomen (bron: RTL Nieuws). Enkele voorbeelden van slachtoffers van deze vorm van cybercrime zijn Pathé en Wehkamp en er blijven nieuwe gevallen opduiken. Het komt dus met regelmaat voor en kost zowel het bedrijfsleven als particulieren veel geld. In veel gevallen van CEO-fraude gaat het om phishing mails die in naam van de CEO zijn verstuurd, maar er zijn ook andere, minder bekende vormen.

Bij CEO-fraude of factuurfraude proberen criminelen grote bedragen afhandig te maken van een bedrijf. Dit kan op de volgende wijze gebeuren:

  1. Door het hacken van bedrijfsgegevens wordt een e-mailadres aangepast (via corrupte software of via zwakke plek in computersysteem). Mail wordt gestuurd vanuit CEO/directeur naar klant of intern met de opdracht om geld over te maken.

    Eén van die vormen is dus mogelijk wanneer een cybercrimineel toegang heeft weten te krijgen tot de mailbox van een medewerker van een bedrijf. Dit door bijvoorbeeld op een listige wijze de inloggegevens van de mailomgeving te ontfutselen bij de ontvanger die toch net even op het foute linkje klikte. Eenmaal binnen plaatst de cybercrimineel een zogenoemde ‘forward’-regel. Dit houdt in dat een cybercrimineel een extra regel toevoegt aan de mailinstellingen. Deze regel zorgt er bijvoorbeeld voor dat alle inkomende mails van de gebruiker worden doorgezonden naar de cyberboef. De gebruiker merkt hier niets van. De cybercrimineel kan vervolgens ongemerkt de mail meelezen en rustig wachten tot er iets voorbijkomt van zijn gading. Denk hierbij aan een factuur met een aannemelijk bedrag dat aangepast zou kunnen worden of mails rondom de interne bedrijfscultuur. Doet een mooie gelegenheid zich voor? Dan is dat het moment voor hem/haar om zijn/haar plannen uit te voeren. Oftewel stiekem te communiceren met anderen zonder dat zij door hebben dat de afzender/ontvanger in dit geval niet de echte persoon achter het e-mailadres is. Een andere actie zou kunnen zijn om betalingen te manipuleren waarbij geld wordt overgemaakt naar een aangepaste rekening.
  2. Door social engineering:
    1. Criminelen doen bijvoorbeeld eerst onderzoek naar wie de baas is en/of wie bij de financiële administratie werken.
    2. Er is vaak sprake van druk om snel te betalen, niet met anderen hierover te praten.

Hoe herkent u een valse e-mail?

  • Het e-mailadres is vaak net iets anders, bijvoorbeeld politi.nl in plaats van politie.nl
  • De e-mail bevat vaak korte zinnen (want die zijn makkelijk te vertalen via vertaalprogramma’s)
  • In de e-mail staat een ander (vaak buitenlands) rekeningnummer dan waar de rekening normaal naar over wordt gemaakt.
  • In de e-mail wordt een oproep tot actie gedaan. Ook als deze van een collega lijken te komen. CEO-fraude is onder meer te herkennen doordat in de mail nadruk gelegd wordt op vertrouwelijkheid, de oproep als heel belangrijk wordt bestempeld of een bepaalde druk (bijv. tijdsdruk) wordt uitgeoefend.

TIPS:

  • Moet het geld naar een ander rekeningnummer worden overgemaakt in een ander (vreemd) land? Controleer dit bij de ontvangende partij met een voor u bekend telefoonnummer of e-mailadres.
  • Maak geen gebruik van het e-mailadres of het telefoonnummer genoemd in de mail. Deze hoort bij de crimineel of een andere partij in het complot.
  • Controleer het e-mailadres van de afzender en let op (kleine) wijzigingen.
  • Pas het vier-ogen principe toe boven een bepaald bedrag of bij spoedbetalingen waarbij sprake is van druk.
  • Probeer een Multi Factor Authenticatie toe te passen. Implementatie is niet altijd eenvoudig, maar het is zeker de moeite waard om de mogelijkheden te onderzoeken.
  • Maak het onmogelijk om via webmail regels in te stellen en het blokkeren van forwarden (doorsturen) naar externe e-mailadressen.

TOCH SLACHTOFFER?

1. NEEM TELEFONISCH CONTACT OP MET UW BANK
Laat de transactie als frauduleus registreren om mogelijk het geld te kunnen laten bevriezen

2. GEBRUIK NIET MEER HET GECOMPROMITTEERDE E-MAILDOMEIN
Het is mogelijk dat uw email gehackt is en dat de communicatie daardoor nog steeds wordt afgevangen. Communiceer via een ander kanaal (computer, telefoon, andere e-maildomein, ) totdat het zeker is dat hun mailserver/client niet is gecompromitteerd en vice versa (de ontvanger kan ook bron van hack zijn).

3. DOE INTERN TECHNISCH/FORENSISCH ONDERZOEK
Doe (of laat doen) onderzoek aan o.a. logfiles van de mailserver(s), client(s), firewalls en overige systemen. Dit al dan niet een in samenwerking met een extern Cyber Security bedrijf  

4. INFORMEER UW STAKEHOLDERS/KLANTEN
Meld uw ontvangers dat er een frauduleuze factuur is verstuurd. Benoem dat de mailserver van de ander ook gehackt zou kunnen zijn en verzoek hun om ook een intern technisch onderzoek te (laten) instellen

5. DOE AANGIFTE
Het is van belang om aangifte bij de politie te doen. Maak een afspraak via 0900-8844 en vraag om de aanwezigheid van een digitaal rechercheur bij de opname van deze aangifte van cybercrime. Verzamel de gegevens van het interne onderzoek voor de aangifte. Verder is de volgende informatie van belang: informatie van dader (naam, email(headers), rekeningnummer etc) en de geschatte schade.  

EXTRA INFORMATIE