Business E-mail Compromise (BEC): wat is het en wat doe je ertegen?

Persoon met laptop en zwaard wapent zich tegen gevaarlijke e-mails
Klik hier voor de samenvatting
BEC-fraude in het kort

Business E-mail Compromise is een vorm van cybercrime die zich focust op e-mailcontact binnen bedrijven. Er zijn grofweg twee soorten: CEO-fraude en nepfacturaties, ook wel invoice fraude genoemd.

Gelukkig zijn er enkele stappen die je als bedrijf kunt zetten om de risico’s van BEC-fraude te minimaliseren:

  1. Zorg dat jij en je medewerkers weten dat het bestaat.
  2. Gebruik sterke wachtwoorden en tweefactorauthenticatie.
  3. Claim domeinnamen die sterk op dat van jouw bedrijf lijken.
  4. Stel een cybersecurity protocol op en houd je hieraan.

Meer weten over hoe BEC-fraude in zijn werk gaat? Of wil je meer uitleg bij deze tips? Lees dan de rest van dit artikel.

Je verwacht misschien dat e-mail een uitstervend communicatiemiddel is nu we sociale media zoals Slack en WhatsApp hebben. Toch verzenden we wereldwijd nog steeds meer dan 300 miljard e-mails per dag. Hiermee blijft e-mail een van de meest gebruikte communicatiemiddelen ter wereld. Dit is ook zeker het geval binnen het bedrijfsleven, waar e-mail over het algemeen een centrale rol speelt. Juist vanwege die populariteit wordt e-mail ook veel gebruikt door internetcriminelen.

Mensen worden steeds slimmer en pikken phishing e-mails sneller op dan een paar jaar geleden. Helaas hebben criminelen niet stilgezeten. Ze blijven nieuwe technieken ontwikkelen en vormen keer op keer een bedreiging voor het bedrijfsleven.

De afgelopen jaren zien we dan ook steeds vaker Business E-mail Compromise, oftewel BEC-fraude. In dit artikel duiken we dieper in de wereld van BEC-fraude. Wij leggen uit wat het is en hoe je je als bedrijf tegen deze vorm van e-mailfraude kunt beschermen.

Wat is BEC-fraude?

Business E-mail Compromise is een vorm van cybercrime die enigszins lijkt op phishing en focust op e-mailcontact binnen bedrijven. Zoals veel succesvolle vormen van fraude, focust BEC-fraude zich op het manipuleren van natuurlijk menselijk gedrag. We noemen dit ook wel ‘social engineering‘. Criminelen spelen in op reacties die je als mens van nature hebt en buiten deze vervolgens uit. Hieronder beschrijven we twee populaire Business E-mail Compromise-methodes: CEO-fraude en nepfacturen.

CEO-fraude

Cybercrimineel met masker op computer doet zich voor als iemand andersBij CEO-fraude doen internetcriminelen zich voor als de CEO van een bedrijf om op die manier betalingen af te dwingen. CEO-fraude wordt een steeds groter probleem en wordt door criminele steeds professioneler uitgevoerd. Er zijn twee manieren waarop dit wordt gedaan.

De eerste manier is het hacken van een bestaand e-mailadres van de CEO. Na een succesvolle hack monitoren de criminelen het gebruik van het account. Denk hierbij aan het taalgebruik van de CEO en de verzoeken die hij of zij naar specifieke medewerkers stuurt. Uiteindelijk sturen de criminelen vanuit de account van de CEO een e-mail naar medewerkers met een verzoek tot betaling.

Hackers misbruiken niet alleen het e-mailaccount van de CEO

Ondanks de naam CEO-fraude kan dit soort fraude natuurlijk ook voorkomen bij andere personen binnen het bedrijf. Zolang de persoon in kwestie maar iemand is met een hoge functie, zodat de medewerkers de e-mail niet in twijfel trekken en direct actie ondernemen.

Met het vele thuiswerken tijdens de pandemie is het ook nog eens een stuk makkelijker geworden, dus hebben we het fenomeen CEO-fraude nader onderzocht zodat jij CEO-fraude leert herkennen en voorkomen. Hierin gaan we ook dieper in op de tweede manier van CEO-fraude, waarbij klanten het slachtoffer zijn.

Nepfacturen

Geld in een gat op een computerschermEen andere veelgebruikte manier van Business E-mail Compromise fraude is het sturen van nepfacturen. In het Engels wordt dit ook een ‘false invoice scheme’ genoemd. Hierbij gebruiken cybercriminelen software om het gedrag van de financiële afdeling van een bedrijf te monitoren. Vervolgens sturen ze een factuur naar een van de medewerkers van die afdeling.

Dit kan op dezelfde manieren als bij CEO-fraude. De hackers maken een nep e-mailadres aan of ze hacken het account van iemand die daadwerkelijk regelmatig facturen naar de financiële afdeling stuurt. Deze factuur kan in zijn geheel nep zijn, of een aangepaste versie van een echte factuur. In het tweede geval hoeven de aanvallers enkel de betaalinformatie aan te passen, zodat het bedrag naar hen wordt overgemaakt.

Voorbeelden van BEC-fraude

Onderzoek van de Association for Financial Professionals toont aan dat maar liefst 76% van de onderzochte bedrijven (pogingen tot) BEC-fraude hebben gesignaleerd in 2020. Hieronder volgen een aantal voorbeelden van bedrijven die slachtoffer zijn geworden van Business Account Compromise-fraude.

Het Oostenrijkse bedrijf FACC Operations, dat vliegtuigonderdelen maakt, verloor in 2016 42 miljoen euro door BEC-fraude. In dit geval deden internetcriminelen zich voor als de CEO Walter Stephan. In de e-mails werd medewerkers gevraagd urgente betalingen te doen. Deze betalingen gingen (natuurlijk) direct naar de cybercriminelen. De CEO werd ontslagen, evenals het hoofd van de financiële afdeling van het bedrijf. Dit is een voorbeeld van CEO-fraude.

In 2020 waarschuwde de Federal Bureau of Investigation (FBI) nog voor BEC-fraude in de vorm van nepfacturen. De FBI meldde dat meerdere overheids- en gezondheidsorganisaties getroffen waren door dit soort fraude. Zo stuurden de cybercriminelen bijvoorbeeld een factuur voor medische apparatuur, zoals ventilators of COVID-19 tests.

Zoals je ziet, kunnen bedrijven flinke schade oplopen door BEC-fraude. Gelukkig zijn er manieren om je bedrijf hiertegen te wapenen. Om dit effectief te doen, moeten we ons eerst afvragen hoe zo’n aanval precies in zijn werk gaat. Daarna kunnen we bepalen hoe je je hier het best tegen kunt beschermen.

Waarom Business E-mail Compromise werkt

Business E-mail Compromise is voor internetcriminelen een succesvolle manier van fraude, omdat het inspeelt op menselijk gedrag. Ze gebruiken psychologische trucjes om jou precies te laten doen wat ze willen. Een succesvolle BEC-aanval heeft een aantal kenmerken:

  • Een observatieperiode.
  • Het maakt misbruik van vertrouwen.
  • Het geeft een gevoel van urgentie.

Observatie

Laptop met oogObservatie is een belangrijke eerste stap voor iedere cybercrimineel die BEC-fraude wil plegen. Aanvallers bestuderen hoe mensen binnen het bedrijf met elkaar communiceren en wat voor soort taal ze hierbij gebruiken. Deze informatie gebruiken de criminelen bij het schrijven van hun eigen e-mails.

Op deze manier worden hun frauduleuze berichten minder snel opgemerkt en is de kans groter dat de aanval uiteindelijk zal slagen. Een internetcrimineel zal dus na een succesvolle hack eerst een tijdje met de eigenaar meekijken voor hij overgaat tot actie.

Misbruik van vertrouwen

BEC-fraude is geheel afhankelijk van het vertrouwen dat wij in onze leidinggevenden hebben. Als jouw baas je opdraagt een urgente betaling te doen, doe je dat vaak zonder al te veel vragen te stellen. Hoe vaker je contact hebt met deze persoon, of hoe hoger zijn of haar positie, hoe sneller je deze verzoeken meteen uitvoert. Dit gedrag misbruiken criminelen maar al te graag om jou geld over te laten maken naar hun bankrekening.

Urgentie

Wekker AlarmDe meeste werknemers willen vooral hun werk goed doen. Daarom is het creëren van een gevoel van urgentie een van de belangrijkste onderdelen van een succesvolle Business E-mail Compromise-zaak. Veel werknemers willen immers snel gehoor geven aan urgente verzoeken vanuit hun management. Dit is zeker het geval wanneer de e-mail teksten bevat zoals “we moeten deze betaling vóór het begin van de middag doen, anders verliezen we de deal”.

Jij wilt als werknemer natuurlijk niet verantwoordelijk zijn voor het verliezen van een belangrijke klant. Door die extreme urgentie zijn medewerkers minder kritisch en herkennen ze de nepmail minder snel als zodanig. Ze betalen de factuur zo snel mogelijk en geven de criminelen precies wat ze willen: geld.

Jezelf beschermen tegen BEC-fraude

Net als bij andere vormen van cybercriminaliteit, zijn er ook bij BEC-fraude manieren om jezelf te beschermen. Hieronder vind je ons vier-stappenplan om jouw bedrijf beter te wapenen tegen Business E-mail Compromise.

1. Zorg dat mensen van het bestaan afweten

Zorg ervoor dat iedereen in het bedrijf weet van het bestaan van Business E-mail Compromise. Hierdoor zijn medewerkers scherper en wordt een urgent betalingsverzoek beter gecheckt dan wanneer iemand niet weet dat er mogelijk gevaar dreigt. Zorg er ook voor dat je bedrijfsprocessen zó zijn ingericht dat fraude minder kans van slagen heeft. Verplicht je werknemers bijvoorbeeld om bij een grote betaling een telefonische check bij de opdrachtgever van de betaling te doen.

2. Gebruik sterkere e-mail authenticatie

Laptop met wachtwoordscherm eropVeel BEC-fraude wordt gedaan door middel van spoofing. Toch is het aan te raden om tweestapsverificatie in je e-mailaccounts te bouwen. Zo bescherm je je eigen e-mailaccount beter tegen mogelijke indringers en hackers.

Bij tweestapsverificatie moeten mensen naast een wachtwoord ook hun identiteit bevestigen door middel van een sms of een code in een app. Dit weerhoudt vreemden er in veel gevallen van op jouw account in te breken. Er hangen wel wat veiligheidsrisico’s aan het verifiëren via sms, dus verifiëren met een app is op dit moment de veiligste vorm van twee-staps-verificatie.

3. Domeinbeheer

Waar tweestapsverificatie helpt om hackers uit je e-mail te houden, helpt domeinbeheer om spoofing te voorkomen. Veel criminelen gebruiken e-mailadressen die sterk op dat van jou lijken. Ze passen bijvoorbeeld je domein een beetje aan. Denk bijvoorbeeld aan Rabobank tegenover Rab0bank.

Daarom is het belangrijk dat je naast je eigen domein ook domeinen die daar sterk op lijken in bezit hebt. Zo kunnen criminelen minder snel een sterk lijkend e-mailadres creëren en wordt het voor jou en je werknemers gemakkelijker om neppe e-mails op te merken.

4. Volg veiligheidsprotocollen op

Lijst met een vergrootglas en schildEen goed veiligheidsprotocol zorgt ervoor dat er niet snel gaten in de verdediging van jouw bedrijf vallen. Houd hackers buiten de deur door een veiligheidsprotocol op te stellen en deze ook te volgen. Dit houdt onder andere in dat je mensen onderwijst op het gebied van spoofing e-mails, maar ook dat je gebruikmaakt van firewalls en antivirussoftware.

Er zijn veel verschillende programma’s die je software tegen mogelijke aanvallen beschermen. Update je systemen bovendien regelmatig zodat je de meest recente bescherming hebt.

Business E-mail Compromise in een notendop

Wat een Business E-mail Compromise-aanval zo succesvol maakt, is dat het ons eigen gedrag tegen ons gebruikt. In sommige gevallen gebruikt een hacker daadwerkelijk een e-mailadres van een hooggeplaatste medewerker. Veel vaker wordt er gebruikgemaakt van een vals e-mailadres dat sterk lijkt op dat van een betrouwbare medewerker of betrouwbaar bedrijf.

Dit, in combinatie met een gevoel van urgentie, zorgt ervoor dat medewerkers betalingen zonder al te veel vragen uitvoeren. BEC-fraude kan een bedrijf daarmee een hoop geld kosten. Het is daarom belangrijk om alle medewerkers goed te informeren en je bedrijf te beschermen tegen deze manier van fraude.

Gebruik daarnaast tweestapsverificatie voor je e-mail, zorg ervoor dat je verschillende domeinen in je beheer hebt en stel een goed veiligheidsprotocol op. Zo is jouw bedrijf beter bestand tegen een BEC-aanval.

BEC-fraude: veelgestelde vragen

Wil je snel antwoord op je vraag? Kijk dan in onze FAQ of stel hem in de comments!

BEC-fraude staat voor Business E-mail Compromise-fraude. Het is een soort phishing, en focust zich op communicatie binnen bedrijven. Er zijn ruwweg twee subcategorieën:

  1. CEO fraude, waarbij een crimineel zich voordoet als de CEO of ander hooggeplaatste medewerker van een bedrijf.
  2. Invoice-fraude, oftewel nepfacturatie. Hierbij doet de crimineel zich voor als iemand van de financiële afdeling.

In ons artikel over BEC-fraude lees je enkele voorbeelden én geven we tips over hoe je voorkomt zelf slachtoffer te worden.

Bij CEO-fraude doet een cybercrimineel zich voor als de CEO of andere hooggeplaatste medewerker van een bedrijf. Op deze manier probeert hij andere medewerkers betalingen te laten doen naar zijn eigen bankrekening.

CEO-fraude kan zich ook op klanten richten in plaats van op medewerkers. Lees er alles over én over hoe je jezelf hiertegen beschermt in ‘CEO-fraude herkennen en voorkomen‘.

Er zijn vier essentiële maatregelen om Business E-mail Compromise te voorkomen:

  1. Zorg ervoor dat je medewerkers weten dat het bestaat.
  2. Beveilig je e-mailverkeer goed.
  3. Verkrijg de rechten op domeinen die lijken op dat van je eigen bedrijf.
  4. Zet een cybersecurity protocol op.
Cybersecurity analist
David is een cybersecurity-analist en een van de oprichters van VPNgids.nl. Sinds 2014 heeft hij internationale ervaring opgedaan in het werken met overheden, NGO's en de private sector als cybersecurity- en VPN-expert en adviseur. Meer over David.
Plaats een reactie
Een reactie plaatsen