Cybersecuritybureau Computest ziet dat meer instanties melding maken van CxO-fraude. Maar liefst 92 procent van de Nederlandse bedrijven en organisaties wordt geconfronteerd met BEC-aanvallen. Het risico voor het bedrijfsleven op CxO-fraude is hierdoor fors hoger.
Daarvoor waarschuwt Computest.
Cybercriminelen passen hun werkwijze aan
CxO-fraude verwijst naar een vorm van fraude waarbij een oplichter zich voordoet als de algemeen directeur (CEO) of financiële topman (CFO) van een extern bedrijf. De oplichters versturen een e-mail naar een nietsvermoedend slachtoffer met als doel om geld buit te maken. Ze doen alsof er nog een rekening openstaat en verzoeken het slachtoffer om het bedrag zo snel mogelijk over te maken. In werkelijkheid belandt het geld op de bankrekening van de oplichters. Gedupeerden kunnen vaak fluiten naar hun geld. We spreken ook wel van Business Email Compromise of BEC-fraude.
Ondernemers werden steeds alerter op BEC-fraude. Daarom gaan cybercriminelen tegenwoordig op een andere wijze te werk. Vroeger verstuurden ze e-mails naar potentiële slachtoffers met daarin een URL. Via deze link konden bedrijven en organisaties het zogenaamd verschuldigde bedrag overmaken. Deze methode werd mettertijd steeds minder effectief: spamfilters zijn vandaag de dag beter in staat om dergelijke phishingberichten te herkennen. Door trainingen zijn medewerkers zich bovendien steeds meer bewust van dit soort oplichtingspraktijken.
Tegenwoordig sturen cybercriminelen een e-mail naar hun slachtoffer zonder malafide URL. In plaats daarvan vragen ze of de ontvanger zijn of haar telefoonnummer kan doorsturen zodat de nepdirecteur of financieel topman contact met hem of haar kan opnemen. De oplichtingstruc gaat dan over in WhatsApp-fraude. De oplichters vragen via een bericht of hun slachtoffer de openstaande factuur kan betalen, of andere vertrouwelijke informatie kan verstrekken. Om betrouwbaar over te komen gebruiken ze een bijbehorende profielfoto.
‘Gevolgen CxO-fraude kunnen enorm zijn’
Omdat telefonische fraude vaak buiten de bedrijfssystemen om gebeurt, is het moeilijker om dit te detecteren en voorkomen dan CxO-fraude. Bedrijven lopen daardoor een aanzienlijk risico. “De gevolgen van CxO-fraude voor organisaties en hun stakeholders kunnen enorm zijn. Zo kan het leiden tot reputatieschade en financiële problemen”, legt Sanne Rog uit, Business Unit Director bij Computest.
Hackers spelen volgens haar in op de hiërarchie en doen vooraf grondig onderzoek naar de werkwijze en bedrijfsvoering van hun doelwit. Zo moeten hun oplichtingspraktijken overkomen als een legitieme, zakelijke transactie. Rog: “Het is daarom van cruciaal belang voor organisaties om zich bewust te zijn van dit risico en zich te wapenen met effectieve beveiligingsmaatregelen om CxO-fraude te voorkomen.”
Uit onderzoek van cybersecuritybedrijf Proofpoint blijkt dat 92 procent van de Nederlandse bedrijven en organisaties te maken krijgt met BEC-aanvallen. Dat is het hoogste percentage van alle EU-lidstaten. Wereldwijd ligt het gemiddelde op 75 procent. Het risico om slachtoffer te worden van CxO-fraude, is in ons land fors hoger dan elders ter wereld.
Tips om CxO-fraude te voorkomen
Om te voorkomen dat jouw bedrijf of organisatie het slachtoffer wordt van CxO-fraude, heeft Computest een aantal tips. Allereerst dienen medewerkers zich altijd aan vastgestelde procedures te houden en hier niet van af te wijken. Zo dient bijvoorbeeld het vierogenprincipe gehanteerd te worden bij transacties boven een bepaald bedrag. En als iemand vraagt om een bankrekeningnummer aan te passen, controleer dan bij het betreffende bedrijf of zij daadwerkelijk een nieuw betaalrekeningnummer hebben.
Door spamfilters streng in te stellen, worden malafide e-mails eenvoudiger herkend. De kans dat je dan bedonderd wordt door een nepdirecteur, is dan een stuk kleiner. Daarnaast raadt Computest aan om nieuwe medewerkers zo snel mogelijk vertrouwd te maken met de geldende beveiligingsmaatregelen en -procedures om CxO-fraude te voorkomen.
De vierde tip is om alert te zijn. Controleer het e-mailadres van de afzender, kijk hoeveel spel- en schrijffouten je aantreft en bedenk of het taalgebruik afwijkt van het gebruikelijke. Het kunnen allemaal aanwijzingen zijn dat iemand je probeert op te lichten.
Tot slot doen bedrijven er goed aan om het onderwerp CxO-fraude bespreekbaar te maken. “Door het bespreekbaar te maken, kan de rest van de organisatie op de hoogte worden gebracht van de mogelijke fraudepoging en kunnen er maatregelen worden genomen om de schade te beperken”, aldus Computest.
