SUCCESVOLLE OPLICHTINGSMETHODE: CEO-FRAUDE
Er is nog een speler op de cybermarkt om bedrijven een poot uit te draaien met verrassend veel succes: CEO-fraude. Een oplichtingstechniek die – zoals de naam al doet vermoeden – een hooggeplaatst persoon in de organisatie inzet om de aanval kracht bij te zetten.
Deze vorm van fraude die ook wel whaling wordt genoemd, is een combinatie van social engineering en identiteitsfraude (identity theft). Social engineering is een techniek van aanvallers die gericht is om mensen te verleiden bepaalde interacties uit te voeren. Bij identiteitsfraude verwerft iemand op een listige manier persoonlijke gegevens van iemand anders om zich overtuigend als deze persoon voor te kunnen doen.
Geraffineerde methode
Wat CEO-fraude specifiek maakt is de manier waarop het aangepakt wordt. Internetcriminelen doen zich voor als de grote baas en sturen medewerkers nepmailtjes met een dringend verzoek om een fiks bedrag naar een bepaalde rekening over te maken. Hierbij worden een aantal tactieken toegepast die op de emotie van de ontvanger inwerken.
- In vertrouwen worden genomen. Je wordt betrokken bij iets dat absoluut nog geheim moet blijven.
- Er wordt druk uitgeoefend. Er komt een bevel van een autoriteit die je onder tijdsdruk zet.
- Dit verzoek wordt speciaal naar jou gestuurd omdat je bijvoorbeeld zo snel en efficiënt werkt.
Met deze tactieken wordt ingeschat dat de kans vrij klein is dat de ontvanger van de e-mail zijn of haar CEO in twijfel zal trekken en het verzoek durft te verifiëren. En dat blijkt, want deze methoden zijn helaas zeer succesvol.
Gedegen voorwerk loont
In deze manier van frauderen wordt veel tijd gestoken in het voorwerk. Er wordt ruim research gedaan naar de valse identiteit en het slachtoffer. Ze zoeken naar namen, e-mailadressen en zelfs de tone-of-voice, de spreektaal die in het mailverkeer gebruikt wordt. Ze struinen profielen af op LinkedIn en Facebook waar vaak zonder dat je lid, gelinkt of vriend hoeft te zijn, de functietitel al zichtbaar is.
Vervolgens doen ze hun best om de e-mails zo te maken dat ze moeilijk van echt zijn te onderscheiden. Zo doen ze bijvoorbeeld alsof het snel even via een mobieltje is getikt. Ook aan een overtuigende afzender wordt gedacht. Vaak wordt een domein gebruikt dat op één letter na gelijk is, in het ergste geval lukt het ze om vanuit het echte bedrijfsdomein te mailen.
Hoe kan je CEO-fraude herkennen
- De nadruk in de e-mail kan liggen op de tijdsdruk en het gezag, geen vragen het moet nu.
- Ook kan de nadruk liggen op vertrouwelijkheid, niet met anderen delen.
- Of wordt een medewerker belangrijk gemaakt, speciaal uitgekozen om de opdracht uit te voeren.
- Er wordt gevraagd om cadeaukaarten van de Apple en Google Playstore te kopen, deze zijn anoniem en makkelijk in te wisselen.
- Genoemde rekeningnummers zijn vaak buitenlands en meestal niet bekend in de bestaande administratie.
En belangrijker: voorkomen
- Leer iedereen binnen het bedrijf zich bewust te worden van de gevaren.
- Zorg voor afspraken, regels en dubbele verificatie over het overboeken van grote bedragen en het verstrekken van gevoelige informatie.
- Doe altijd een telefonische verificatie bij dit soort aanvragen. Maar nooit met het telefoonnummer in de e-mail. Bekijk dit voorbeeld van de politie.
- Verhoog je IT-security, er zijn tal van alerts in te stellen die verdachte zaken kunnen onderscheppen.
Ons advies
Durf altijd de identiteit van de afzender te laten bevestigen, of dit nou de CEO is of een willekeurig andere werknemer. Een belletje om de afzender te verifiëren is makkelijker dan moeten vertellen dat je geld hebt overgeboekt naar een buitenlandse rekening op verzoek van een frauduleuze afzender.