Cybercriminaliteit kent veel vormen. De komende weken gaan we met Christo Butcher, Executive Consultant bij cyberbeveiligingsbedrijf Fox-IT, in gesprek over welke cyberrisico's op de loer liggen en hoe we ons er tegen kunnen wapenen. Met deze week: Business E-mail Compromise.
Cyberaanval: Business E-mail Compromise
'Pathé opgelicht: nepmails kosten bioscoopketen 19 miljoen.' 'CEO-fraude kostte Pathé 19 miljoen euro.' Wie weet kun je de krantenkoppen over deze vorm van cybercriminaliteit nog herinneren. Dit is een vorm van Business E-mail Compromise, kortweg BEC. Wat het is? Criminelen hacken de e-mailomgeving van een leverancier, klant, collega of leidinggevende. Hierdoor hebben ze toegang tot gedetailleerde achtergrondinformatie en zijn ze voor hun slachtoffers nauwelijks van echt te onderscheiden. Dit verklaart waarom ze op sluwe wijze bedrijven geld (meestal) of gegevens (minder vaak) afhandig kunnen maken.
Ter illustratie het voorbeeld van Pathé: De Nederlandse directie kreeg van de leiding van het Franse hoofdkantoor via e-mails het verzoek om geld over te maken om een overname in het buitenland te bekostigen. Dringend verzoek daarbij was om het contact exclusief via e-mail te houden en om het strikt geheim te houden om zo de wind uit de zeilen van de concurrentie te nemen. Hoewel de Nederlandse toplaag hun bedenkingen over dit 'wonderlijke' verzoek hadden, deden ze - met alle gevolgen van dien - wat hen werd gevraagd. Na drie transacties was de bioscoopketen maar liefst 19 miljoen euro lichter.
Dit is slechts het topje van de ijsberg, want de afgelopen jaren alleen al heeft deze slinkse tactiek zeker - en waarschijnlijk nog veel meer dan - 64 miljoen euro gekost. "Hoewel we in Nederland geen keiharde getallen hebben, weten we vanuit de VS dat BEC daar tientallen keer meer financiële schade aanricht dan ransomware", vertelt Butcher. "Ransomware mag dan vaak het nieuws halen, omdat het zo'n grote impact heeft op de bedrijfsvoering en mogelijk klanten, bij BEC vallen achter de schermen meer klappen. BEC blijft vaak onder de radar, want waarom zou je het als organisatie aan de grote klok hangen? Minder nieuwswaardig en spannend, maar de financiële risico's zijn juist heel groot."
In de val gelokt
Hoe het volgens de expert mogelijk is dat zoveel bedrijven in de val lopen? "Dit type criminelen zijn sociaal heel sterk; ze hebben een vlotte babbel en zijn een kei in het opbouwen van goede relaties. Waar cybercriminelen bij een ransomware-aanval het van hun technische kennis moeten hebben, zijn deze digitale boeven sociaal ijzersterk."
De cyberspecialist stelt dat criminelen bij ransomware zich binnen hacken om schade aan IT-systemen aan te richten. Bij BEC hacken ze zichzelf ook in de IT-omgeving binnen, maar op een niveau dat technisch minder diepgaand is. "Bij BEC hacken ze het e-mailplatform niet, maar slechts een account daarop. De rest van de IT-systemen blijft gewoon doen wat het moet doen. Dit type criminelen weet dus heel goed hoe Office 365 werkt, maar niet hoe ze een heel kantoor kunnen platleggen. Met een beetje technische kennis kunnen ze mensen misleiden. Hun manier van slachtoffers maken, zit 'm namelijk in het overtuigen en onder druk zetten van mensen om geld over te maken. De echte schade veroorzaken de slachtoffers zelf; ze maken zélf het geld over."
Nog een ander opmerkelijk gegeven, is dat de criminelen achter BEC aanvallen echt de tijd nemen om hun doelwitten te bespelen. Regelmatig zien we dat ze een maand (of langer) nemen om over en weer te mailen met hun slachtoffer. "BEC-criminelen zoeken het contact op om relaties en vertrouwen op te bouwen. Ze zijn creatief en beperken zich niet tot email. Zo hebben we een situatie gezien, waarbij de aanvaller naast e-mail ook de telefoon gebruikte: hij deed zich voor als een advocaat om het verhaal van de e-mails nog meer overtuigingskracht te geven. Het slachtoffer wist dat natuurlijk niet en kreeg iemand aan de lijn die als een zelfverzekerde, ervaren advocaat overkwam met bijbehorende nepwebsite van het advocatenkantoor. Als er miljoenen kunnen worden binnengehengeld, dan doe je daar als crimineel je uiterste best voor."
Geen bedrijf zit in de 'safe zone'
Betekent dit dat cybercriminelen alleen de groten der aarde in het vizier hebben? In principe is volgens de cyberexpert geen enkel bedrijf veilig. "We merken dat cybercriminelen niet kieskeurig zijn. Er valt bijna overal iets te halen voor ze. Kleine bedrijven bieden misschien een kleinere buit, maar ze zijn vaak makkelijker te hacken. Grote bedrijven zijn misschien moeilijker, maar daar is juist meer te halen."
Verschillende vormen van BEC
Er zijn meerdere manieren waarop cybercriminelen via BEC aanvallen slachtoffers maken; CEO-fraude, factuurfraude en het gebruiken van gehackte e-mailaccounts om verder te hacken zijn de meest voorkomende vormen. CEO-fraude, oftewel het voorbeeld van Pathé, zien ze bij digitaal beveiligingsbedrijf Fox-IT niet vaak. Regelmatiger treffen ze valse facturen aan. "Een medewerker van de administratie kan bijvoorbeeld een e-mail van een vaste leverancier krijgen dat ze van bank zijn veranderd en dat de volgende betaling naar een nieuw bankrekeningnummer moet worden overgemaakt. Voor het gemak wordt gelijk de nieuwe factuur meegestuurd. Door op deze manier te werk te gaan, maakt het slachtoffer welwillend geld aan de criminelen over, omdat het slachtoffer denkt dat de wijziging legitiem is. Helaas blijkt pas achteraf dat het geld nooit bij de daadwerkelijke leverancier is aangekomen."
Wat een andere veelvoorkomende vorm van BEC is, is dat criminelen het e-mailaccount van een medewerker hacken en vanuit de inbox van het slachtoffer kijken met welke andere bedrijven er zoal contact is. “De crimineel gebruikt dat eerste slachtoffer dan als basis om andere doelwitten aan te vallen. Omdat hij kan voortborduren op bestaande contacten en eerdere e-mails, geeft dat al een sterke basis om relaties en vertrouwen te misbruiken voor zijn eigen gewin. Daarnaast kan hij natuurlijk ook gevoelige informatie die hij in die mailbox vindt, bijvoorbeeld door te verkopen op het darkweb, gebruiken”
Plan de campagne tegen BEC-aanvallen
In principe kan elk bedrijf, groot en klein, een target voor cybercriminelen worden. Gelukkig zijn er genoeg voorzorgsmaatregelen te treffen. "Cybercriminelen gebruiken bij veruit de meeste aanvallen bekende technieken", vertelt Butcher. "Bij BEC aanvallen zien we bijvoorbeeld dat inboxregels vaak gebruikt worden om binnenkomende e-mails automatisch naar junk e-mail of andere onopvallende e-mailbox worden verplaatst. Daardoor ziet het slachtoffer niet dat er allemaal verdachte reacties terugkomen op de mails die de cybercrimineel vanuit het gehackte e-mailaccount verstuurt. Worden er opeens veel inboxregels aangemaakt, dan is dat dus een alarmbel." In de praktijk worden deze en tal van andere trucjes door cybercriminelen ingezet. Trucs die de IT-afdeling in logging van het e-mailplatform kan terugzien. "Tip is om als bedrijf bijvoorbeeld de e-mailomgeving van medewerkers, waaronder inboxregels, in de gaten te houden, want op dit niveau zijn veel BEC-aanvallen vroegtijdig te signaleren."
Buiten de techniek om adviseert Butcher om intern afspraken te maken. "Maak afspraken dat als een leverancier een bankrekeningnummer wil wijzigen er altijd telefonisch contact wordt opgenomen. En dan vooral niet bellen naar het telefoonnummer uit de e-mail, maar het nummer dat intern al bekend is." Ook stelt hij dat er afspraken over communicatie met de CEO moeten zijn: "Spreek bijvoorbeeld af dat de CEO nooit aan de administratie zomaar mag vragen om een X-bedrag over te maken. Er moet altijd iemand anders meedenken en -kijken, het zogenoemde vierogenprincipe." En tot slot doen bedrijven er volgens de expert cyberveiligheid verstandig aan om medewerkers te instrueren: "Weet je hoe cybercriminelen mensen bespelen, dan kun je medewerkers daar op voorbereiden zodat ze er beter mee omgaan. Door dit soort basic zaken af te spreken, ben je als bedrijf veel minder kwetsbaar."
Door te weten hoe cybercriminelen te werk gaan, kunnen bedrijven zich ertegen wapenen. Dit met elkaar scherp hebben, is volgens Butcher essentieel. "Digitaal veilig(er) zijn, is niet moeilijk, maar het kost wél moeite. Jouw bedrijf weerbaar maken tegen cybercriminelen gaat niet vanzelf, maar als je ervoor kiest om bijvoorbeeld de basis hygiëneregels op orde te hebben, dan is het echt prima te doen!"
Help, digitale brand!
Is jouw organisatie ondanks voorzorgsmaatregelen tóch door een BEC-aanval of andere cyberaanval getroffen? Bij Fox-IT, expert op het gebied van cyberbeveiliging, weten ze hoe ze zo'n 'brand' moeten blussen en kunnen ze bijspringen wanneer nodig. "Wij hebben vaker met dit bijltje gehakt!"
Meer cybernieuws?
RTL Z zendt zes weken lang in samenwerking met Fox-IT het nieuwsprogramma 'Cyberupdate' uit. Laat je wekelijks door presentator Remy Gieling in slechts 2 minuten over de belangrijkste cyberrisico's bijpraten.
Cyberupdate wordt elke vrijdag om 15:30 uur op RTL Z uitgezonden.
