Al tientallen jaren investeren cybersecurity-bedrijven veel tijd en geld om de mensen achter cyberaanvallen, hun tactieken en hun motieven te begrijpen. Moderne cybersecurity-teams zouden echter minstens evenveel middelen moeten inzetten aan de andere kant van het spectrum. Hoewel het essentieel is dat we begrijpen wie ons aanvalt, is het net zo belangrijk – zo niet belangrijker – dat we ook begrijpen wie er wordt aangevallen.
Steeds meer cybercriminelen richten zich op bepaalde individuen binnen organisaties in plaats van algemene systeemaanvallen uit te voeren. De methoden verschillen – phishing, spoofing, malware – maar het resultaat is vaak hetzelfde: forse schade. Business Email Compromise (BEC) is ook zo’n methode en wordt ook wel gezien als het duurste cybersecurity-probleem. De schade als gevolg van het spoofen en gebruik van zakelijke e-mail wordt door de FBI geschat op 26 miljard dollar (ruim 23 miljard euro) sinds 2016.
Dit soort aanvallen zijn bijzonder schadelijk, omdat ze – als ze overtuigend genoeg zijn – ongelooflijk snel langs de beste beveiligingssystemen kunnen komen. Om deze aanvallen tegen te gaan, is het cruciaal dat werknemers op elk niveau van je organisatie weten waar ze mee te maken hebben en hoe ze zich er het beste tegen kunnen verdedigen.
Aanvallers begrijpen
Organisaties hebben te maken met twee gangbare soorten BEC. De meest simpele vorm is dat een aanvaller de identiteit van een zakelijk e-mailaccount vervalst. Vervolgens probeert hij de ontvanger van de e-mail te overtuigen om geld over te maken naar een frauduleuze bankrekening. Meestal wordt het e-mailaccount van iemand met autoriteit vervalst, zoals de CFO van het bedrijf, de boekhouder van een leverancier of een vertrouwde externe partij, zoals een bedrijfsjurist. In de meer verontrustende vorm van BEC krijgt de aanvaller toegang tot een legitiem e-mailaccount en gebruikt hij dit om een organisatie te misleiden. Deze aanpak is in potentie veel schadelijker omdat hiermee toegang wordt verkregen tot een schat aan vertrouwelijke informatie. Deze informatie kan worden gebruikt om een frauduleus verzoek veel overtuigender te laten lijken.
Een van de meest voorkomende varianten van BEC-fraude is valse facturatie. Hierbij doet een aanvaller zich voor als een leverancier of CEO van een bedrijf om een wijziging in de betaalgegevens aan te vragen. Als een aanvaller daadwerkelijk toegang heeft tot het e-mailaccount, zal de factuur in kwestie legitiem lijken. Dit vergroot de kans op een succesvolle aanval. Aanvallers maken gebruik van social engineering om medewerkers te overtuigen om aanzienlijke bedragen over te maken. Zo wordt ongeveer een derde van alle BEC-e-mails op een maandag verstuurd, omdat aanvallers denken dat de kans dat een werknemer dan een fout maakt groter is dan op andere dagen.
Fake Forwarding
Een andere aanpak die aan populariteit wint is ‘Fake Forwarding’. Behalve de vermelding van “Re:” of “Fwd:” in de onderwerpregel wordt bij deze aanvalsmethode meestal een nep-e-mailconversatie toegevoegd om de schijn van legitimiteit te vergroten.
Dan is er nog de tactiek om zeer specifieke informatie te gebruiken om vertrouwen te winnen. Dit kan worden verkregen via een aangevallen e-mailaccount of door openbaar beschikbare informatie te doorzoeken. Een bekend voorbeeld is dat van S.S. Lazio. Vorig jaar betaalde de Italiaanse voetbalclub twee miljoen euro aan een fraudeur die op precies het juiste moment een betalingsverzoek had ingediend, zogenaamd namens Feyenoord.
Slachtoffers begrijpen
Helaas wordt dit soort oplichterij steeds meer gemeengoed. Het aantal BEC-aanvallen neemt toe en we verwachten dat deze trend zich zal voortzetten. Hoe vaker dergelijke aanvallen voorkomen en hoe geraffineerder ze worden, hoe beter je teamleden in staat moeten zijn om ze te herkennen. De sleutel daartoe is het creëren van een cultuur waarin mensen in alle lagen van je organisatie zich bewust zijn van veiligheid. Dit kan alleen worden bereikt als je de denkwijze begrijpt van diegenen die zich in de frontlinie van cyberaanvallen bevinden. Vroeger was dit de C-suite, oftewel de belangrijkste bestuurders van een organisatie. Hoe meer autoriteit een vervalst of gesaboteerd e-mailaccount heeft, hoe overtuigender de berichten zijn. Aanvallers begrijpen echter dat dergelijke accounts veel moeilijker te bereiken zijn. Daarom richten veel van hen hun aandacht nu op werknemers die wat lager op de ladder staan.
Tegenwoordig zien we een negatieve correlatie tussen iemands functie en zijn of haar riscio op een aanval. Hoe lager het niveau van de werknemer, hoe groter de kans dat hij of zij het slachtoffer wordt van een aanval. Hoewel frauduleuze e-mails van werknemers op lagere niveaus meestal relatief minder geld opleveren, is de kans op succes groter. Aanvallen op dit niveau blijven ook vaker onopgemerkt. Een junior-medewerker bij een leverancier kan bijvoorbeeld een wijziging van de betalingsgegevens op een factuur aanvragen. Op vergelijkbare wijze kan iedere werknemer een e-mail sturen naar HR om zijn of haar bankgegevens voor de salarisadministratie te wijzigen.
De kunst van diepgaande verdediging
Tegen een schijnbaar legitiem verzoek van een schijnbaar legitiem account kun je je zeer moeilijk verdedigen. Wat kunnen organisaties dan doen om zichzelf te beschermen? Behalve hun werknemers instrueren om niemand te vertrouwen? Het antwoord is geen nieuw concept. Maar ook zeker niet zo gangbaar als het zou moeten zijn – een diepgaande verdediging. Dit begint met de basis: technische controles, met name op e-mail- en cloud-accounts. Zorg ervoor dat werknemers unieke en moeilijk te kraken wachtwoorden gebruiken en maak waar mogelijk gebruik van twee-factor-authenticatie.
De volgende stap is misschien wel de belangrijkste. De opleiding van de werknemers. Dit moet verder gaan dan eenvoudige training over hoe zij aanvallen kunnen herkennen. Het doel is om een cultuur te creëren waarin cybersecurity voorop staat, niet alleen op de IT- of security-afdeling. De training moet periodiek en uitgebreid zijn. Daarnaast moeten diverse onderwerpen aan bod komen, van de motivaties en mechanica achter een aanval tot hoe bepaald gedrag – wachtwoorden hergebruiken, slechte gegevensbescherming, etc. – de kans op een succesvolle aanval kan vergroten.
Tot slot moet er beleid worden opgesteld met betrekking tot bepaalde verzoeken. Iedereen in de organisatie moet begrijpen dat e-mail geen betrouwbaar communicatiemiddel is. Kortom, elke interactie die financiële gevolgen heeft, zou niet alleen via e-mail moeten plaatsvinden. Verzoeken zoals het versnellen van betalingen, wijzigen van betalingsgegevens en soortgelijke verzoeken moeten altijd worden gecontroleerd via een ander kanaal. Het lijkt misschien een omslachtige extra stap. Maar het is een stap die je aan het eind van de rit veel pijn kan besparen.
Jim Cox, Area Vice President Benelux Proofpoint
