Als het gaat om cybercriminaliteit en veiligheidsbedreigingen, is Vendor Email Compromise (VEC) de grote vader van de e-mailfraude. Het is het type aanval waar de meeste organisaties het minst op voorbereid zijn en waar ze het meest mee te maken krijgen. In de afgelopen drie jaar heeft VEC organisaties meer dan 26 miljard dollar gekost. En het kan schokkend eenvoudig zijn om het uit te voeren.

Bij BEC-aanvallen, vergelijkbaar met VEC, doet de aanvaller zich voor als een hoger kaderlid van de organisatie en verstuurt hij e-mails naar een pas aangeworven werknemer, vaak op de financiële afdeling. Hij vraagt om geld over te maken of valse facturen te betalen, wat, als het goed genoeg wordt uitgevoerd, een minder ervaren medewerker kan overhalen de transactie te initiëren.

U begrijpt waarom BEC zo'n groot probleem is bij grote organisaties. Het is moeilijk om de activiteiten van al uw werknemers in de gaten te houden, en de minder ervaren werknemers trappen gemakkelijker in een e-mail die van hun baas of CFO afkomstig lijkt te zijn. Toen organisaties ons vroegen wat de gevaarlijkste cyberaanval was waarvoor ze moesten oppassen, was ons antwoord altijd BEC.

Dat wil zeggen, tot Silent Starling.

Georganiseerd Cybercriminaliteit Syndicaat

De zogenaamde Silent Starling is een groep Nigeriaanse cybercriminelen met een geschiedenis in oplichting en fraude die al teruggaat tot 2015. In juli 2019 gingen ze in zee met een grote organisatie, waarbij ze zich voordeden als de CEO van een van hun zakenpartners. In de e-mail werd gevraagd om een plotselinge, last minute wijziging in bankgegevens, met het verzoek om een dringende overschrijving.

Gelukkig ontdekten zij dat de e-mail vals was voordat er een transactie plaatsvond, maar in het daaropvolgende onderzoek kwamen de verontrustende details van de methoden van de groep aan het licht.

Bij wat nu Vendor Email Compromise (VEC) wordt genoemd, voeren de aanvallers een aanzienlijk uitgebreidere en beter georganiseerde aanval uit dan bij conventionele BEC. De aanval bestaat uit drie afzonderlijke, ingewikkeld geplande fasen die veel meer inspanning lijken te vergen dan wat de meeste BEC-aanvallen gewoonlijk vereisen. Het werkt als volgt.

VEC: Hoe een bedrijf oplichten in 3 stappen

Stap 1: Inwerken

De aanvallers krijgen eerst toegang tot de e-mailaccount van een of meer personen bij de organisatie. Dit is een zorgvuldig georkestreerd proces: ze zoeken uit welke bedrijven geen DMARC-geauthenticeerde domeinen hebben. Dit zijn gemakkelijke doelwitten om te spoofen. Aanvallers krijgen toegang door werknemers een phishing-e-mail te sturen die eruitziet als een aanmeldingspagina en stelen hun aanmeldingsgegevens. Nu hebben ze volledige toegang tot het reilen en zeilen van de organisatie.

Stap 2: Verzamelen van informatie

Deze tweede stap is een soort uitkijkfase. De criminelen kunnen nu vertrouwelijke e-mails lezen, en gebruiken dit om een oogje in het zeil te houden voor werknemers die betrokken zijn bij het verwerken van betalingen en transacties. De aanvallers identificeren de grootste zakenpartners en verkopers van de doelorganisatie. Ze verzamelen informatie over de interne werking van de organisatie - zaken als factureringspraktijken, betalingsvoorwaarden, en zelfs hoe officiële documenten en facturen eruit zien.

Stap 3: Actie ondernemen

Met al deze verzamelde informatie creëren de oplichters een uiterst realistische e-mail en wachten zij op de juiste gelegenheid om deze te verzenden (meestal vlak voordat een transactie op het punt staat plaats te vinden). De e-mail is gericht aan de juiste persoon op het juiste moment, en komt via een echte bedrijfsaccount, waardoor hij bijna onmogelijk te identificeren is.

Door deze 3 stappen perfect te coördineren, slaagde Silent Starling erin om de beveiligingssystemen van hun doelwit te compromitteren en bijna tienduizenden dollars te stelen. Zij waren een van de eersten die zo'n uitgebreide cyberaanval probeerden uit te voeren, en helaas zullen zij zeker niet de laatsten zijn.

Ik wil geen slachtoffer worden van VEC. Wat moet ik doen?

Het echt enge van VEC is dat zelfs als u het hebt kunnen ontdekken voordat de oplichters geld konden stelen, dit niet betekent dat er geen schade is aangericht. De aanvallers hebben nog steeds volledige toegang gekregen tot uw e-mailaccounts en interne communicatie en hebben een gedetailleerd inzicht gekregen in de financiën, factureringssystemen en andere interne processen van uw bedrijf. Informatie, vooral gevoelige informatie zoals deze, laat uw organisatie volledig blootgesteld, en de aanvaller kan altijd een andere zwendel proberen.

Wat kunt u ertegen doen? Hoe moet je voorkomen dat een VEC-aanval jou overkomt?

1. Bescherm uw e-mailkanalen

Een van de meest effectieve manieren om e-mailfraude te stoppen, is om de aanvallers niet eens te laten beginnen met stap 1 van het VEC-proces. U kunt voorkomen dat cybercriminelen de eerste toegang krijgen door eenvoudigweg de phishing-e-mails te blokkeren die ze gebruiken om uw aanmeldingsgegevens te stelen.

Met het PowerDMARC-platform kunt u DMARC-verificatie gebruiken om aanvallers ervan te weerhouden zich voor te doen als uw merk en phishing-e-mails te sturen naar uw eigen medewerkers of zakenpartners. Het laat u zien wat er allemaal gebeurt in uw e-mailkanalen en waarschuwt u direct als er iets misgaat.

2. Leid uw personeel op

Een van de grootste fouten die zelfs grotere organisaties maken, is dat ze niet wat meer tijd en moeite investeren in het opleiden van hun personeel met achtergrondkennis over veelvoorkomende onlinezwendel, hoe het werkt en waar ze op moeten letten.

Het kan erg moeilijk zijn om het verschil te zien tussen een echte e-mail en een goed opgestelde nepmail, maar er zijn vaak veel verklikkerlampjes die zelfs iemand die niet goed is opgeleid in cyberbeveiliging kan herkennen.

3. Beleid vaststellen voor zaken via e-mail

Veel bedrijven nemen e-mail gewoon voor lief, zonder echt na te denken over de inherente risico's van een open, ongemodereerd communicatiekanaal. In plaats van elke correspondentie impliciet te vertrouwen, moet men ervan uitgaan dat de persoon aan de andere kant niet is wie hij beweert te zijn.

Als u een transactie moet voltooien of vertrouwelijke informatie met hen moet delen, kunt u een secundair verificatieproces gebruiken. Dit kan gaan van het bellen van de partner om te bevestigen, tot het laten autoriseren van de transactie door een andere persoon.

Aanvallers vinden steeds nieuwe manieren om zakelijke e-mailkanalen te compromitteren. U kunt het zich niet veroorloven onvoorbereid te zijn.

 

DMARC mythes ontkrachten

Voor veel mensen is het niet meteen duidelijk wat DMARC doet of hoe het domain spoofing, impersonation en fraude voorkomt. Dit kan leiden tot ernstige misvattingen over DMARC, hoe e-mail authenticatie werkt, en waarom het goed voor je is. Maar hoe weet je wat goed is en wat fout? En hoe kun je er zeker van zijn dat je het correct implementeert? 

PowerDMARC is hier om u te helpen! Om u te helpen DMARC beter te begrijpen, hebben we deze lijst samengesteld met de top 6 meest voorkomende misvattingen over DMARC.

Misvattingen over DMARC

1. DMARC is hetzelfde als een spamfilter

Dit is een van de meest voorkomende dingen die mensen verkeerd zien over DMARC. Spamfilters blokkeren inkomende emails die in uw inbox terecht komen. Dit kunnen verdachte emails zijn, verzonden vanaf eender welk domein, niet alleen dat van u. DMARC daarentegen vertelt ontvangende e-mailservers hoe ze moeten omgaan met uitgaande e-mails die vanaf uw domein zijn verzonden. Spamfilters zoals Microsoft Office 365 ATP bieden geen bescherming tegen dergelijke cyberaanvallen. Als uw domein DMARC-verplicht is en de e-mail de verificatie niet doorstaat, weigert de ontvangende server de e-mail.

2. Zodra je DMARC hebt ingesteld, is je e-mail voor altijd veilig

DMARC is een van de meest geavanceerde e-mailverificatieprotocollen die er zijn, maar dat betekent niet dat het volledig zelfvoorzienend is. U moet regelmatig uw DMARC rapporten controleren om er zeker van te zijn dat e-mails van geautoriseerde bronnen niet worden geweigerd. Nog belangrijker is het om te controleren of onbevoegde afzenders misbruik maken van uw domein. Als u een IP-adres ziet dat herhaaldelijk probeert uw e-mail te spoofen, moet u onmiddellijk actie ondernemen en hen op de zwarte lijst laten plaatsen of laten verwijderen.

3. DMARC zal mijn e-mail deliverability verminderen

Wanneer je DMARC instelt, is het belangrijk om je beleid eerst op p=none te zetten. Dit betekent dat al je emails nog steeds worden afgeleverd, maar dat je DMARC rapporten ontvangt over of ze geslaagd of niet geslaagd zijn voor authenticatie. Als je tijdens deze controleperiode ziet dat je eigen e-mails DMARC niet halen, kun je actie ondernemen om de problemen op te lossen. Zodra al uw geauthoriseerde emails correct gevalideerd worden, kunt u DMARC afdwingen met een policy van p=quarantine of p=reject.

4. Ik hoef DMARC niet af te dwingen (p=none is genoeg)

Wanneer je DMARC instelt zonder het af te dwingen (policy van p=none), worden alle emails van je domein-ook diegene die DMARC niet halen-afgeleverd. U zult DMARC rapporten ontvangen maar uw domein niet beschermen tegen pogingen tot spoofing. Na de initiële controle periode (hierboven uitgelegd), is het absoluut noodzakelijk om je policy op p=quarantine of p=reject te zetten en DMARC af te dwingen.

5. Alleen grote merken hebben DMARC nodig

Veel kleinere organisaties denken dat alleen de grootste, meest herkenbare merken DMARC bescherming nodig hebben. In werkelijkheid zullen cybercriminelen elk bedrijfsdomein gebruiken om een spoofingaanval uit te voeren. Veel kleinere bedrijven hebben meestal geen speciale cyberbeveiligingsteams, waardoor het voor aanvallers nog gemakkelijker is om kleine en middelgrote organisaties aan te vallen. Onthoud dat elke organisatie die een domeinnaam heeft, DMARC-bescherming nodig heeft!

6. DMARC rapporten zijn gemakkelijk te lezen

We zien dat veel organisaties DMARC implementeren en de rapporten naar hun eigen e-mail inboxen laten sturen. Het probleem hierbij is dat DMARC-rapporten in een XML-bestandsformaat worden geleverd, dat erg moeilijk te lezen kan zijn als u er niet bekend mee bent. Het gebruik van een speciaal DMARC-platform kan niet alleen uw installatieproces veel eenvoudiger maken, maar PowerDMARC kan uw complexe XML-bestanden omzetten in gemakkelijk leesbare rapporten met grafieken, diagrammen en diepgaande statistieken.