De ergste vorm van phishing is de vorm die je niet zomaar kunt negeren: zoals CEO Fraud. E-mails die zogenaamd van de overheid komen en je vertellen dat je die belasting moet betalen of dat je anders gerechtelijke stappen riskeert. E-mails die eruit zien alsof je school of universiteit ze heeft gestuurd, waarin je wordt gevraagd dat ene collegegeld te betalen dat je bent misgelopen. Of zelfs een bericht van je baas of CEO, waarin staat dat je "als gunst" geld moet overmaken.
Belangrijkste opmerkingen
- CEO-fraude is een belangrijke bedreiging die elk jaar kan leiden tot miljoenen dollars verlies als gevolg van overtuigende phishing e-mails.
- Het voorlichten van werknemers over phishingtactieken en waarschuwingssignalen is cruciaal voor het voorkomen van fraudeaanvallen door CEO's.
- E-mailverificatieprotocollen zoals DMARC kunnen helpen onbevoegde e-mails te blokkeren voordat ze je postvak bereiken.
- Vraag altijd om expliciete goedkeuring via alternatieve kanalen voordat u een via e-mail aangevraagde overboeking verwerkt.
- Het controleren en markeren van e-mails van vergelijkbare domeinnamen kan het risico om slachtoffer te worden van phishingpogingen verkleinen.
Wat is CEO-fraude?
De CEO-fraudeaanval is een e-mail phishing-zwendel waarbij fraudeurs zich voordoen als de CEO van een bedrijf in een poging werknemers ervan te overtuigen geld naar hen te sturen. De e-mails bevatten meestal de echte naam en de zakelijke titel van de CEO van het bedrijf.
Het probleem met dit soort e-mails is dat ze zich voordoen als een autoriteitsfiguur, of dat nu de overheid is, het bestuur van je universiteit of je baas op het werk. Dit zijn belangrijke mensen en het negeren van hun berichten zal vrijwel zeker ernstige gevolgen hebben. Je wordt dus gedwongen ze te bekijken en als het overtuigend genoeg lijkt, trap je er misschien wel in.
Bescherm uzelf tegen CEO-fraude met PowerDMARC!
Je bent niet immuun voor CEO-fraude
Het is een zwendel van $2,3 miljard per jaar. Je vraagt je misschien af: "Waarom zouden bedrijven zoveel geld verliezen aan een eenvoudige e-mailoplichting?". Maar je zou verbaasd zijn hoe overtuigend CEO-fraude e-mails kunnen zijn.
In 2016 verloor Mattel bijna 3 miljoen dollar door een phishingaanval toen een financieel manager een e-mail ontving van de CEO met de instructie om een betaling te sturen naar een van hun leveranciers in China. Maar pas nadat ze het later met de CEO had nagevraagd, realiseerde ze zich dat hij de e-mail nooit had verstuurd. Gelukkig werkte het bedrijf samen met wetshandhavers in China en de VS om hun geld een paar dagen later terug te krijgen, maar dat gebeurt bijna nooit bij dit soort aanvallen.
Mensen hebben de neiging te geloven dat deze zwendel hen niet zal overkomen... totdat het hen overkomt. En dat is hun grootste fout: zich niet voorbereiden op CEO-fraude.
Phishing-zwendel kan uw organisatie niet alleen miljoenen euro's kosten, het kan ook een blijvende impact hebben op de reputatie en geloofwaardigheid van uw merk. Dit geldt met name voor sectoren als de advocatuur, waar vertrouwen en online zichtbaarheid hand in hand gaan - en waar sterke juridische SEO-praktijken de manier waarop potentiële klanten uw bedrijf vinden en beoordelen in alle rust kunnen bepalen. U loopt het risico te worden gezien als het bedrijf dat geld heeft verloren aan een e-mailoplichting en het vertrouwen te verliezen van uw klanten wier gevoelige persoonlijke informatie u opslaat.
In plaats van achteraf de schade te beperken, is het veel zinvoller om uw e-mailkanalen te beveiligen tegen spear phishing-zwendel zoals deze. Hier zijn enkele van de beste manieren om ervoor te zorgen dat uw organisatie geen statistiek wordt in het FBI-rapport over BEC.
Hoe CEO-fraude voorkomen: 6 eenvoudige stappen
- Leer uw personeel over beveiliging
Deze is absoluut cruciaal. Uw medewerkers - en vooral die in de financiële wereld - moeten begrijpen hoe Business Email Compromise werkt. En dan bedoelen we niet alleen een saaie 2 uur durende presentatie over het niet opschrijven van je wachtwoord op een post-it briefje. Je moet ze ook leren hoe ze moeten letten op verdachte signalen dat een e-mail vals is, hoe ze moeten letten op vervalste e-mailadressen en op abnormale verzoeken die andere medewerkers via e-mail lijken te doen. - Let op tekenen van spoofing
Oplichters gebruiken allerlei tactieken om je te laten voldoen aan hun verzoeken. Deze kunnen variëren van dringende verzoeken/instructies om geld over te maken als een manier om je snel en zonder nadenken te laten handelen, of zelfs vragen om toegang tot vertrouwelijke informatie voor een 'geheim project' dat de hoger geplaatsten nog niet met je willen delen. Dit zijn serieuze rode vlaggen en je moet het twee en drie keer controleren voordat je actie onderneemt. - Bescherm uzelf met DMARC
De eenvoudigste manier om phishing te voorkomen is door de e-mail nooit te ontvangen. DMARC is een e-mailverificatieprotocol dat e-mails afkomstig van uw domein verifieert voordat deze worden afgeleverd. Als je DMARC afdwingt op je domein, wordt elke aanvaller die zich voordoet als iemand van je eigen organisatie gedetecteerd als een onbevoegde afzender en wordt hun e-mail geblokkeerd uit je inbox. Je hebt dan helemaal geen last meer van gespoofde e-mails.
Leer wat DMARC is.
- Verkrijg expliciete goedkeuring voor overschrijvingen
Dit is een van de makkelijkste en meest eenvoudige manieren om geldoverschrijvingen naar de verkeerde mensen te voorkomen. Maak het verplicht om expliciete goedkeuring te vragen aan de persoon die om geld vraagt, voordat je een transactie aangaat en gebruik hiervoor een ander kanaal dan e-mail. Maak het voor grotere overschrijvingen verplicht om een mondelinge bevestiging te ontvangen. - E-mails met vergelijkbare extensies markeren
De FBI raadt uw organisatie aan om systeemregels op te stellen die automatisch e-mails markeren die extensies gebruiken die te veel op uw eigen extensies lijken. Als uw bedrijf bijvoorbeeld '123-business.com' gebruikt, kan het systeem e-mails met extensies als '123_business.com' detecteren en markeren. - Koop vergelijkbare domeinnamen
Aanvallers gebruiken vaak domeinnamen die er hetzelfde uitzien om phishingmails te versturen. Als uw organisatie bijvoorbeeld een kleine letter 'i' in de naam heeft, kunnen ze een hoofdletter 'I' gebruiken of de letter 'E' vervangen door het cijfer '3'. Als u dit doet, verlaagt u de kans dat iemand een extreem gelijkende domeinnaam gebruikt om u e-mails te sturen.