De ergste vorm van phishing is het soort dat u niet zomaar kunt negeren: zoals CEO Fraud. E-mails die zogenaamd van de overheid komen, waarin u wordt gevraagd die belastingbetaling te doen of juridische stappen te riskeren. E-mails die eruit zien alsof ze van uw school of universiteit komen, waarin u wordt gevraagd dat ene collegegeld te betalen dat u bent misgelopen. Of zelfs een bericht van je baas of CEO, waarin hij je vraagt om "als gunst" wat geld over te maken.
Wat is CEO Fraude?
De CEO-fraudeaanval is een e-mail-phishingfraude waarbij fraudeurs zich voordoen als de CEO van een bedrijf in een poging om werknemers ervan te overtuigen geld naar hen te sturen. De e-mails bevatten meestal de echte naam en de zakelijke titel van de CEO van het bedrijf.
Het probleem met dit soort e-mails is dat ze zich voordoen als een autoriteitsfiguur, of dat nu de regering, het bestuur van je universiteit of je baas op het werk is. Dat zijn belangrijke mensen, en het negeren van hun berichten zal vrijwel zeker ernstige gevolgen hebben. Je bent dus gedwongen ernaar te kijken, en als het overtuigend genoeg lijkt, zou je er wel eens in kunnen trappen.
Je bent niet immuun voor CEO fraude
Een oplichterij van 2,3 miljard dollar per jaar, dat is wat het is. U vraagt zich misschien af: "Hoe kunnen bedrijven zoveel geld verliezen aan een eenvoudige e-mailzwendel?" Maar je zou verbaasd zijn hoe overtuigend CEO-fraude e-mails kunnen zijn.
In 2016 verloor Mattel bijna 3 miljoen dollar door een phishingaanval toen een financieel directeur een e-mail van de CEO ontving met de opdracht een betaling te sturen naar een van hun leveranciers in China. Maar pas nadat ze later bij de CEO navraag had gedaan, besefte ze dat hij de e-mail helemaal nooit had verstuurd. Gelukkig werkte het bedrijf samen met de rechtshandhavingsinstanties in China en de VS om hun geld een paar dagen later terug te krijgen, maar dat gebeurt bijna nooit bij dit soort aanvallen.
Mensen hebben de neiging te geloven dat deze oplichting hen niet zal overkomen... tot het hen overkomt. En dat is hun grootste fout: zich niet voorbereiden op CEO-fraude.
Phishing-zwendel kan uw organisatie niet alleen miljoenen euro's kosten, het kan ook een blijvende impact hebben op de reputatie en geloofwaardigheid van uw merk. U loopt het risico te worden gezien als het bedrijf dat geld heeft verloren aan een e-mailzwendel en het vertrouwen te verliezen van uw klanten wier gevoelige persoonlijke gegevens u bewaart.
In plaats van achteraf de schade proberen te beperken, is het veel zinvoller om uw e-mailkanalen te beveiligen tegen spear-phishingpraktijken zoals deze. Hier zijn enkele van de beste manieren waarop u ervoor kunt zorgen dat uw organisatie geen statistiek wordt in het rapport van de FBI over BEC.
Hoe CEO-fraude te voorkomen: 6 eenvoudige stappen
- Leer uw personeel over beveiliging
Deze is absoluut cruciaal. Uw medewerkers - en vooral die in de financiële wereld - moeten begrijpen hoe Business Email Compromise werkt. En dan bedoelen we niet alleen een saaie 2 uur durende presentatie over het niet opschrijven van je wachtwoord op een post-it briefje. Je moet ze ook leren hoe ze moeten letten op verdachte signalen dat een e-mail vals is, hoe ze moeten letten op vervalste e-mailadressen en op abnormale verzoeken die andere medewerkers via e-mail lijken te doen. - Let op tekenen van spoofing
E-mailoplichters gebruiken allerlei tactieken om je aan hun verzoeken te laten voldoen. Deze kunnen variëren van dringende verzoeken/instructies om geld over te maken als een manier om je snel en zonder nadenken te laten handelen, of zelfs vragen om toegang tot vertrouwelijke informatie voor een 'geheim project' dat de hoger geplaatsten nog niet met je willen delen. Dit zijn serieuze rode vlaggen en je moet het twee en drie keer controleren voordat je actie onderneemt. - Bescherm uzelf met DMARC
De eenvoudigste manier om phishing te voorkomen is om de e-mail niet eens te ontvangen. DMARC is een e-mailverificatieprotocol dat e-mails verifieert die van uw domein afkomstig zijn voordat ze worden afgeleverd. Wanneer u DMARC op uw domein afdwingt, wordt elke aanvaller die zich voordoet als iemand van uw eigen organisatie gedetecteerd als een onbevoegde afzender, en wordt hun e-mail uit uw inbox geblokkeerd. U heeft helemaal geen last van spoofed emails.
Leer over wat DMARC is.
- Krijg uitdrukkelijke toestemming voor overschrijvingen
Dit is een van de gemakkelijkste en eenvoudigste manieren om te voorkomen dat geld naar de verkeerde personen wordt overgemaakt. Maak het verplicht om expliciete toestemming te vragen aan de persoon die om geld vraagt, via een ander kanaal dan e-mail, voordat u een transactie uitvoert. Maak voor grotere overschrijvingen een mondelinge bevestiging verplicht. - E-mails met gelijksoortige extensies markeren
De FBI raadt uw organisatie aan systeemregels op te stellen die automatisch e-mails markeren die extensies gebruiken die te veel lijken op uw eigen extensies. Als uw bedrijf bijvoorbeeld '123-business.com' gebruikt, zou het systeem e-mails met extensies als '123_business.com' kunnen detecteren en markeren. - Koop vergelijkbare domeinnamen
Aanvallers gebruiken vaak domeinnamen die er hetzelfde uitzien om phishingmails te versturen. Als uw organisatie bijvoorbeeld een kleine letter 'i' in de naam heeft, kunnen ze een hoofdletter 'I' gebruiken of de letter 'E' vervangen door het cijfer '3'. Als u dit doet, verlaagt u de kans dat iemand een extreem gelijkende domeinnaam gebruikt om u e-mails te sturen.
