Aanpakken CEO-fraude lukt alleen met mensen én techniek

Ruim 19 miljoen euro kwijt. Je moet er toch niet aan denken! Er zijn weinig organisaties die een dergelijke aderlating kunnen overleven. De twee topmensen van Pathé heeft het in ieder geval de baan gekost. CEO-fraude, waar het in het geval van Pathé om gaat, komt er in het kort op neer dat criminelen zich aan medewerkers voordoen als de directeur of CEO en opdracht geven – vaak per e-mail – om met spoed een groot bedrag over te maken op een rekening. Vaak betreft het een ‘vertrouwelijke kwestie’ en is er haast bij. Deze slim opgestelde e-mails maken gebruik van social engineering trucs. Bijvoorbeeld door aan te geven dat dit een opdracht is die de ‘CEO’ alleen aan jou durft toe te vertrouwen of dat deze opdracht zeer belangrijk is voor de organisatie.

Stijgend aantal gevallen van CEO-fraude in Nederland

CEO-fraude is tot nu toe een onderwerp geweest dat minder aandacht krijgt dan bijvoorbeeld ransomware of grootschalige data-diefstal. Maar het komt steeds vaker voor. Een recent onderzoek laat zien dat in bijna de helft van 3.000 onderzochte e-mail aanvallen (wereldwijd) het doel was om het slachtoffer een geldbedrag te laten overmaken naar de rekening van de crimineel. In bijna 43% van de gevallen was de ‘CEO’ de afzender van de e-mail. Volgens cijfers van de Fraudehelpdesk neemt ook in Nederland het aantal meldingen van CEO-fraude snel toe. Van 135 in 2016 naar 222 in 2017. Tot en met september van dit jaar waren er al 164 meldingen ontvangen. Ook de schade die bedrijven lijden door deze vorm van criminaliteit, stijgt: in 2016 was dit 654.000 euro; in 2017 1,4 miljoen en in de eerste 8 maanden van 2018 stond de teller al op 2,5 miljoen euro. Het is dus een serieus en groeiend probleem.

De grote vraag is hoe organisaties zich hier nu het beste tegen kunnen beschermen. In tegenstelling tot ‘traditionele’ vormen van cybercriminaliteit is er geen malware of links naar kwaadaardige websites in die gedetecteerd en geblokkeerd kunnen worden. Deze e-mailberichten zijn meestal zeer zorgvuldig opgesteld. Vaak hebben de criminelen ook goed onderzoek gedaan naar het beoogde bedrijf en naar het slachtoffer, om e-mails te kunnen opstellen die volkomen normaal en legitiem overkomen.

Wat kan je ertegen doen?

Toch zijn er wel degelijk stappen die organisaties kunnen nemen. Zo zouden er nooit grote bedragen overgemaakt moeten worden zonder deze opdracht persoonlijk of telefonisch te verifiëren bij de (ogenschijnlijke) opdrachtgever. Als de benodigde contactinformatie dan alleen te vinden is in de mogelijk frauduleuze e-mail zelf, is dat reden voor extra waakzaamheid.

Omdat de meeste van deze frauduleuze e-mails zogenaamd zijn verstuurd door de ‘CEO’, moet vooral bij e-mails afkomstig van deze functionaris extra worden opgelet. Als die CEO een ongewoon verzoek per e-mail doet of als het überhaupt ongebruikelijk is om een e-mail van de CEO te ontvangen, zou je als ontvanger niks moeten doen voordat je hebt geverifieerd of deze opdracht klopt.

Samenspel mens en techniek

Het is intussen bij veel organisaties gebruikelijk om medewerkers te trainen op het herkennen van phishing mails die mogelijk ransomware of andere malware kunnen bevatten (‘klik nooit zomaar op een link in een e-mail’). Dit soort training zou medewerkers ook moeten voorlichten over hoe ze een CEO-fraude mail kunnen herkennen. Nog beter is om een geautomatiseerd en doorlopend trainingsprogramma op te zetten dat alle medewerkers – inclusief het management! –  regelmatig hierop test en voorlicht, waarbij telkens de nieuwste methodes van criminelen worden gehanteerd.

En tot slot zijn er intelligente e-mailbeveiligingsoplossingen die automatisch CEO-fraude, spearphishing en andere frauduleuze e-mails detecteren en blokkeren. Dat gebeurt bijvoorbeeld door de afzender en de inhoud van binnenkomende mails te analyseren met behulp van AI. Op deze manier kunnen ongewone verzoeken of vervalste e-mailafzenders al worden tegengehouden voordat ze de beoogde ontvangers bereiken. Juist omdat bij deze vorm van criminaliteit wordt ingespeeld op van menselijk gedrag en menselijke zwakheden, biedt zelflerende AI op dit gebied mogelijkheden die andere technieken missen.

Criminelen zullen telkens weer nieuwe methoden en technieken bedenken om bedrijven geld afhandig te maken. Voortdurende waakzaamheid en menselijk bewustzijn over dit soort dreigingen, samen met slimme oplossingen om ze tegen te houden, kunnen deze risico’s sterk verminderen.

Dit is een ingezonden bijdrage van Alain Luxembourg, Regional Manager Benelux bij Barracuda Networks. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.