Bol.com trapte in de val van internetoplichters en was 750.000 euro lichter. Een paar dagen geleden meldde de politie dat een financieel dienstverlener 1,5 miljoen verloor door ceo-fraude. Bizarre bedragen, per stuk veel heftiger dan ransomware. Maar geen toeval. Volgens de FBI is deze vorm van cybercriminaliteit de schadelijkste van allemaal en kostte zij de Amerikaanse economie in de voorbije drie jaar tijd 26 miljard dollar.
Business email compromise (bec) is de internationaal redelijk geaccepteerde term voor deze vorm van oplichting. In Nederland duikt vooral de term ceo-fraude op, ook als het in wezen meer de cfo betreft. De naam die je eraan geeft, is een semantische discussie en doet er niet veel toe. Punt is dat we het bij dit soort gevallen over hetzelfde probleem hebben: oplichterij via e-mail. Hoe je hier tegen te beschermen?
Anatomie van een BEC aanval
Om die vraag te beantwoorden, is het goed om eerst te weten hoe een bec-aanval doorgaans verloopt.
Dat gaat vaak in hoofdlijnen via de volgende stappen.
De aanvaller krijgt toegang tot het account van een medewerker, bijvoorbeeld door gelekte logingegevens of malware. In het account van die medewerker gaat de aanvaller vervolgens op zoek naar informatie die draait om uitvoering van betalingen: wie stuurt het betaalverzoek, wie ontvangt ze, met welke e-mail onderwerp, layout? Tot slot gebruikt de aanvaller de informatie uit de vorige stap om een misleidende e-mail te sturen die zo goed mogelijk lijkt op de normale procesgang, met als doel geld naar een rekening van de aanvaller over te laten maken
User awareness
In het voorbeeld van Bol.com en Brabantia gaat veel aandacht uit naar de lage taalniveau in de misleidende e-mail. Het zou aan de hand van spelfouten direct duidelijk moeten zijn dat hier iets niet aan klopt. Ook verzocht de aanvaller het bankrekeningnummer aan te passen naar een rekening in Spanje, wat opmerkelijk is voor een bedrijf dat Brabantia heet.
Het is waar: dit specifieke geval zou redelijk makkelijk herkend kunnen worden op basis van de inhoud. Trainen van medewerkers en zo de user awareness vergroten, kan daarom nooit kwaad. En daarbij aangemerkt dat het in de regel niet alleen neerkomt op de factor ‘kennis’ om de menselijke factor in te zetten tegen een digitale dreiging. Een bredere strategie gericht op gedragsverandering is van belang.
Tegelijkertijd is het gevaarlijk alleen te vertrouwen op gebruikersbewustzijn in het betalingsproces tegen deze dreiging. Er zijn genoeg voorbeelden waar de taal veel betrouwbaarder was. Want denk je nu echt dat achter die 26 miljard aan schade niet een criminele wereld schuil gaat die best een fatsoenlijke e-mail op kan stellen?
In het voorbeeld van 29 april, waarbij een financieel dienstverlener 1,5 miljoen euro verloor aan deze vorm van oplichting, geeft de politie weinig details. Maar je kunt wel aflezen aan het nieuwsbericht dat de aanval in dit geval wel gerichter in elkaar zat en dus moeilijker van echt te onderscheiden zal zijn geweest.
Dus naast user awareness is het raadzaam om ook naar technische maatregelen te kijken om de organisatie beter te beschermen tegen bec.
5 technische tips
De tips zijn te plotten op de aanvalsstappen hierboven.
Bescherming tegen bec-aanvalsstap 1 – toegang
- Tip 1: Tweestapsverificatie
Aanvallers kunnen gelekte inloggegevens van een medewerker gebruiker om toegang te krijgen tot hun e-mailinbox. Wanneer tweestapsverificatie aanstaat, zal dit niet lukken met alleen het gelekte wachtwoord en is deze route dus zo goed als afgezet.
- Tip 2: Blokkeer App Consent
Wie gebruikmaakt van Microsoft Office365 en (dus) Azure AD, kent de webapps die toegang vragen tot een Microsoft-account. Bijvoorbeeld om afspraken in uw agenda te zetten of in Teams. Dergelijke web-apps kunnen ook kwaadaardig zijn en het doel hebben toegang te krijgen tot het account van een medewerker. Om te vermijden dat medewerkers per ongeluk dergelijk apps toegang geven, is het raadzaam om App Consent alleen via beheerders te laten lopen. En om gegeven ‘app-toestemmingen’ ook regelmatig te controleren.
Bescherming tegen bec-aanvalsstap 2 – op zoek naar informatie
- Tip 3: Blokkeer autoforwards
Een aanvaller met toegang tot een e-mailaccount kan in dat account automatische doorstuurregels aanmaken. Zo zal elke of specifieke e-mail die deze medewerker ontvangt naar de aanvaller worden doorgestuurd en kan hij in zijn eigen mailbox op zoek naar precies die e-mails die bijvoorbeeld betaalinstructies bevatten. Om deze reden, maar ook om datalekken in algemene zin te voorkomen, is het raadzaam het automatisch doorsturen van e-mails naar externe e-mailadressen te blokkeren.
Bescherming tegen bec-aanvalsstap 3 – misleidend bericht
- Tip 4: Bescherm het e-maildomein in dns tegen spoofing
De aanvaller maakt het meeste kans op succes als hij uit naam van het echte e-mailadres van de organisatie een e-mail kan versturen. Dat kan voorkomen worden door in de dns-instellingen van de e-maildomein regels op te nemen voor SPF, DKIM en DMARC. Hoewel iedere eigenaar van een domein dit zou moeten instellen, heeft ongeveer een kwart van alle .nl domeinen nog steeds geen SPF-instellingen en staat dus open voor spoofing.
- Tip 5: Voeg zichtbare waarschuwingen toe aan spoofing e-mails
E-mails vanaf domeinen die sterk lijken op dat van de organisatie of überhaupt van buiten de organisatie afkomstig zijn, zijn automatisch van een disclaimer te voorzien. Zo zullen medewerkers alerter zijn wanneer zij misleid worden en wordt dus ook de kans groter dat zij het verzoek weigeren, óók als het taalgebruik goed in elkaar zit.
