Die e-mail was niet van uw baas: 6 manieren om CEO-fraude te stoppen
door
Leestijd: 4 min
De ergste vorm van phishing is het soort dat u niet zomaar kunt negeren: zoals CEO Fraud. E-mails die zogenaamd van de overheid komen, waarin u wordt gevraagd die belastingbetaling te doen of juridische stappen te riskeren. E-mails die eruit zien alsof ze van uw school of universiteit komen, waarin u wordt gevraagd dat ene collegegeld te betalen dat u bent misgelopen. Of zelfs een bericht van je baas of CEO, waarin hij je vraagt om "als gunst" wat geld over te maken.
Belangrijkste conclusies
- CEO-fraude is een belangrijke bedreiging die elk jaar kan leiden tot miljoenen dollars verlies als gevolg van overtuigende phishing e-mails.
- Het voorlichten van werknemers over phishingtactieken en waarschuwingssignalen is cruciaal voor het voorkomen van fraudeaanvallen door CEO's.
- E-mailverificatieprotocollen zoals DMARC kunnen helpen onbevoegde e-mails te blokkeren voordat ze je inbox bereiken.
- Vraag altijd om expliciete goedkeuring via alternatieve kanalen voordat u een via e-mail aangevraagde overboeking verwerkt.
- Het controleren en markeren van e-mails van vergelijkbare domeinnamen kan het risico om slachtoffer te worden van phishingpogingen verkleinen.
Wat is CEO Fraude?
De CEO-fraudeaanval is een e-mail-phishingfraude waarbij fraudeurs zich voordoen als de CEO van een bedrijf in een poging om werknemers ervan te overtuigen geld naar hen te sturen. De e-mails bevatten meestal de echte naam en de zakelijke titel van de CEO van het bedrijf.
Het probleem met dit soort e-mails is dat ze zich voordoen als een autoriteitsfiguur, of dat nu de regering, het bestuur van je universiteit of je baas op het werk is. Dat zijn belangrijke mensen, en het negeren van hun berichten zal vrijwel zeker ernstige gevolgen hebben. Je bent dus gedwongen ernaar te kijken, en als het overtuigend genoeg lijkt, zou je er wel eens in kunnen trappen.
Bescherm uzelf tegen CEO-fraude met PowerDMARC!
Je bent niet immuun voor CEO fraude
Een oplichterij van 2,3 miljard dollar per jaar, dat is wat het is. U vraagt zich misschien af: "Hoe kunnen bedrijven zoveel geld verliezen aan een eenvoudige e-mailzwendel?" Maar je zou verbaasd zijn hoe overtuigend CEO-fraude e-mails kunnen zijn.
In 2016 verloor Mattel bijna 3 miljoen dollar door een phishingaanval toen een financieel directeur een e-mail van de CEO ontving met de opdracht een betaling te sturen naar een van hun leveranciers in China. Maar pas nadat ze later bij de CEO navraag had gedaan, besefte ze dat hij de e-mail helemaal nooit had verstuurd. Gelukkig werkte het bedrijf samen met de rechtshandhavingsinstanties in China en de VS om hun geld een paar dagen later terug te krijgen, maar dat gebeurt bijna nooit bij dit soort aanvallen.
Mensen hebben de neiging te geloven dat deze oplichting hen niet zal overkomen... tot het hen overkomt. En dat is hun grootste fout: zich niet voorbereiden op CEO-fraude.
Phishing-zwendel kan uw organisatie niet alleen miljoenen euro's kosten, het kan ook een blijvende impact hebben op de reputatie en geloofwaardigheid van uw merk. U loopt het risico te worden gezien als het bedrijf dat geld heeft verloren aan een e-mailzwendel en het vertrouwen te verliezen van uw klanten wier gevoelige persoonlijke gegevens u bewaart.
In plaats van achteraf de schade proberen te beperken, is het veel zinvoller om uw e-mailkanalen te beveiligen tegen spear-phishingpraktijken zoals deze. Hier zijn enkele van de beste manieren waarop u ervoor kunt zorgen dat uw organisatie geen statistiek wordt in het rapport van de FBI over BEC.
Hoe CEO-fraude te voorkomen: 6 eenvoudige stappen
- Leer uw personeel over beveiliging
Deze is absoluut cruciaal. Uw medewerkers - en vooral die in de financiële wereld - moeten begrijpen hoe Business Email Compromise werkt. En dan bedoelen we niet alleen een saaie 2 uur durende presentatie over het niet opschrijven van je wachtwoord op een post-it briefje. Je moet ze ook leren hoe ze moeten letten op verdachte signalen dat een e-mail vals is, hoe ze moeten letten op vervalste e-mailadressen en op abnormale verzoeken die andere medewerkers via e-mail lijken te doen. - Let op tekenen van spoofing
E-mailoplichters gebruiken allerlei tactieken om je aan hun verzoeken te laten voldoen. Deze kunnen variëren van dringende verzoeken/instructies om geld over te maken als een manier om je snel en zonder nadenken te laten handelen, of zelfs vragen om toegang tot vertrouwelijke informatie voor een 'geheim project' dat de hoger geplaatsten nog niet met je willen delen. Dit zijn serieuze rode vlaggen en je moet het twee en drie keer controleren voordat je actie onderneemt. - Bescherm uzelf met DMARC
De eenvoudigste manier om phishing te voorkomen is door de e-mail nooit te ontvangen. DMARC is een e-mailverificatieprotocol dat e-mails afkomstig van uw domein verifieert voordat deze worden afgeleverd. Als je DMARC afdwingt op je domein, wordt elke aanvaller die zich voordoet als iemand van je eigen organisatie gedetecteerd als een onbevoegde afzender en wordt hun e-mail geblokkeerd uit je inbox. Je hebt dan helemaal geen last meer van gespoofde e-mails.
Leer over wat DMARC is.
- Krijg uitdrukkelijke toestemming voor overschrijvingen
Dit is een van de gemakkelijkste en eenvoudigste manieren om te voorkomen dat geld naar de verkeerde personen wordt overgemaakt. Maak het verplicht om expliciete toestemming te vragen aan de persoon die om geld vraagt, via een ander kanaal dan e-mail, voordat u een transactie uitvoert. Maak voor grotere overschrijvingen een mondelinge bevestiging verplicht. - E-mails met gelijksoortige extensies markeren
De FBI raadt uw organisatie aan systeemregels op te stellen die automatisch e-mails markeren die extensies gebruiken die te veel lijken op uw eigen extensies. Als uw bedrijf bijvoorbeeld '123-business.com' gebruikt, zou het systeem e-mails met extensies als '123_business.com' kunnen detecteren en markeren. - Koop vergelijkbare domeinnamen
Aanvallers gebruiken vaak domeinnamen die er hetzelfde uitzien om phishingmails te versturen. Als uw organisatie bijvoorbeeld een kleine letter 'i' in de naam heeft, kunnen ze een hoofdletter 'I' gebruiken of de letter 'E' vervangen door het cijfer '3'. Als u dit doet, verlaagt u de kans dat iemand een extreem gelijkende domeinnaam gebruikt om u e-mails te sturen.
Expert domein- en e-mailbeveiliging bij PowerDMARC
Ahona is de Marketing Manager bij PowerDMARC, met 5+ jaar ervaring in het schrijven over cybersecurity onderwerpen, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een postdoctorale graad in Journalistiek en Communicatie, en heeft haar carrière in de beveiligingssector sinds 2019 verstevigd.
Nieuwste berichten van Ahona Rudra (zie alle)
- Microsoft versterkt de regels voor e-mailafzenders: Belangrijke updates die u niet mag missen - 3 april 2025
- DKIM instellen: Stap-voor-stap handleiding voor het configureren van DKIM voor e-mailbeveiliging (2025) - 31 maart 2025
- PowerDMARC erkend als Grid Leader voor DMARC in G2 Spring Reports 2025 - 26 maart 2025
