Mail sturen

CEO-fraude: wees alert en voorkom dat uw geld wordt overgemaakt naar internetcriminelen

Een relatief nieuwe vorm van internetoplichting zien wij steeds vaker voorbijkomen, namelijk: spear phishing, ook wel bekend als CEO-fraude. Deze vorm van internetoplichting kan veel geld kosten voor uw bedrijf als er iemand van binnen het bedrijf de fout in gaat. Criminelen worden steeds slimmer op het web en zetten steeds vaker gelikte aanvallen in om grote bedragen geld te ‘stelen’ via een slinkse manier. Maar hoe doen ze dat en wat houdt CEO-fraude precies in? Dat leggen wij uit in deze blog samen met een leuk voorbeeld.

Wat houdt CEO-fraude in?

CEO-fraude is een gerichte phishing-aanval op een bedrijf. Een phishing-aanval is een vorm van internetfraude. Phishing-aanvallen komen vaak binnen via e-mail en proberen het personeel van een bedrijf te lokken naar een door hen opgezette website om het uitgekozen personeel te laten inloggen met een gebruikersnaam, wachtwoord of zelfs met een creditcardnummer. Vervolgens gebruikt de aanvaller deze informatie om geld te stelen.

Bij CEO-fraude doet de aanvaller een gerichte aanval waarbij het bedrijf grondig onder de loep wordt genomen. De aanvaller doet zich voor als de directeur van het bedrijf en vraagt of er ‘even snel’ geld overgemaakt kan worden. Maar hoe kan de aanvaller zich voordoen als CEO van een bedrijf? Dat komt doordat de aanvaller grondig onderzoek doet naar het door hem uitgekozen bedrijf.

Hoe gaat de aanvaller te werk?

Openbare bronnen

De aanvaller doet onder andere onderzoek naar het bedrijf via openbare bronnen. Op veel websites van bedrijven staat het hele team vermeld met naam en functie. Hiermee kan de aanvaller in principe al redelijk snel aanvallen sturen waarbij er aan bijvoorbeeld José van de administratie gevraagd wordt of de factuur van een willekeurig bedrijf uit de buurt betaald kan worden. Maar zo biedt het internet nog meer mogelijkheden voor de aanvaller om informatie boven water te halen. Het is namelijk ook vrij eenvoudig om het e-mailadres van de CEO te Googlen om vervolgens de activiteiten van de baas te onderzoeken. Via deze manier kan eenvoudig de tone-of-voice gekopieerd worden zodat de mails die gestuurd worden ook nog eens in de schrijfwijze van de baas worden verzonden. Hoe meer informatie de aanvaller kan achterhalen, hoe beter de aanval wordt.

Social engineering

Maar ook social engineering wordt ingezet om informatie te verzamelen. ‘’Social engineering of social hacking, is een techniek waarbij een aanvaller een aanval op een computersysteem probeert te ondernemen door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken.’’

De aanvaller kan social engineering via verschillende manieren inzetten. Zo kan de aanvaller het bedrijf opbellen en vragen naar de financiële administratie om via deze weg informatie te verkrijgen die nodig is om de CEO-fraude te kunnen plegen. Een e-mailadres wordt vaak nogal snel overhandigd. De aanvaller heeft het e-mailadres nodig van de directeur om een aanval te kunnen uitvoeren. En als de aanvaller zelfs de directeur van het bedrijf zover krijgt om een mail te sturen naar hem (de aanvaller), dan is het voor de aanvaller makkelijk om de e-mail – inclusief handtekening – exact te kopiëren van de baas. Dit kan vaak al in een simpele vraag dat gericht is aan de directeur.

Maar de aanvaller kan ook andere informatie boven water halen door te vragen naar de directeur van het bedrijf. ‘’Nee, de directeur is op vakantie’’ is al een aanhaalpunt wat men kan gebruiken. De aanvaller kan dan denken ‘’misschien moet de directeur wel zaken regelen vanaf zijn vakantieadres. Wat kan ik gebruiken om bijvoorbeeld José van de administratie geld te laten overmaken?’’. Een out-of-office-melding kan ook al dergelijke informatie geven. Deze fouten kunnen veel geld kosten want de aanvaller ziet dit en maakt hier misbruik van. Ook hier in de regio zijn voorbeelden bekend van bedrijven die hier ingetrapt zijn.

Technische trucs

Verder worden er ook technische trucs ingezet door de aanvaller zodat de aanval zo legitiem mogelijk overkomt. Zo doen ze bij het verzenden van een e-mail vaak twee e-mailadressen invullen, het ‘van-mailadres’ en het ‘reply-to-mailadres’. Hiermee kan de aanvaller de e-mail namaken alsof de directeur zelf een mail heeft gestuurd. Het ‘van-mailadres’ is zichtbaar bij het openen van de mail, maar zodra er geklikt wordt op ‘’beantwoorden’’ dan wordt het ‘’reply-to-mailadres’’ zichtbaar en deze is vaak bij CEO-fraude licht afwijkend. Als dit wordt opgemerkt dan weet u dat er iets fout is. Bij een goede aanval lijken de e-mailadressen sterk op het echte e-mailadres van de directeur of collega, maar er is altijd wel verschil te zien, achter het apenstaartje. ‘’Typisch bij ceo-fraude is dat er gevraagd wordt of er snel een groot bedrag (bijvoorbeeld € 15.000) overgemaakt kan worden omdat het bedrijf anders iets misloopt. Er wordt dus een bepaalde druk gecreëerd.’’ – Jean Huveneers

Voorbeeld van CEO-fraude

In het onderstaand voorbeeld (afbeelding 1) ‘mailde’ onze directeur Roel Claessen naar onze accountmanager Sander Arfman. In outlook staat Roel Claessen vermeld en hier is zelfs de foto van Roel Claessen zichtbaar.

Maar zodra er geklikt wordt op ‘’beantwoorden’’, verandert het ‘van-mailadres’ in het ‘reply-to-mailadres’ (zie afbeelding 2). Het e-mailadres veranderde van ‘’r.claessen@xillion.nl’’ naar ‘’mymy.iphone@aol.com’’ met de naam Roel Claessen ervoor. In applicaties wordt vaak enkel de naam weergegeven. Zorg dus dat u het e-mailadres erachter controleert. Hoe dit moet leest u hieronder. Maar dit is dus een duidelijk geval van CEO-fraude.

Screenshot buitenlandse betaling - reply

Hoe kunt u zich het beste wapenen tegen CEO-fraude?

1. Duidelijke procedures afspreken over hoe u omgaat met betaling en wie die autorisaties doet. En zorg ervoor dat die autorisaties/controle via een andere, betrouwbare, manier lopen bijvoorbeeld telefonisch. Ga er zelf mee aan de slag en ontwikkel procedures die werkbaar zijn voor uw bedrijf.
2. Snij nooit bochten af in afgesproken procedures.
3. Controleer of het e-mailadres klopt. Dit kunt u doen door met uw muis over het e-mailadres te bewegen. In applicaties wordt vaak enkel de naam weergegeven, zorg dus dat u op de naam klikt of erover heen beweegt om te kijken welk e-mailadres erachter zit.
4. Let op de spelling. Criminelen willen nog wel eens een spelfout maken.

Waar het vroeger vooral ging om – tenminste, vergeleken met CEO-fraude – ‘amateuristische’ bulk-phishingmails, is er nu duidelijk een verschuiving van de verdienmodellen van internetcriminelen. Oplettendheid wordt geacht van personeel die geautoriseerd zijn om betalingen te verrichten.

Bij vragen of advies kunt u altijd bij ons terecht.

Xillion ICT Solutions – De ICT-afdeling voor het MKB.

Nog een aantal handige tips van de politie tegen cybercriminaliteit: