• Verzekeringsfraude begint in de inbox: hoe vervalste e-mails routinematige verzekeringsprocessen veranderen in uitbetalingsfraude

Verzekeringsfraude begint in de inbox: hoe vervalste e-mails routinematige verzekeringsprocessen veranderen in uitbetalingsfraude

Blog, E-mailbeveiliging

Ontdek hoe valse e-mails en BEC-aanvallen (Business Email Compromise) misbruik maken van de verwerkingsprocessen voor verzekeringsclaims om uitbetalingen om te leiden.

door Ahona Rudra

Laatst bijgewerkt:
5 leestijd: 5 minuten
Verzekeringsfraude begint in de inbox: hoe vervalste e-mails routinematige verzekeringsprocessen veranderen in uitbetalingsfraude
Inhoudsopgave-

Belangrijkste Conclusies

  • Fraude met schadeclaims begint vaak binnen legitieme e-mailconversaties, en niet via afzonderlijke aanvallen
  • Aanvallers maken gebruik van de juiste timing en voeren verzoeken in op momenten waarop betalingen of updates worden verwacht
  • Zelfs afzenders die er vertrouwd uitzien, kunnen nog steeds worden vervalst of gehackt
  • Wijzigingen in betalingsgegevens en bankgegevens vormen de grootste risico’s in het proces
  • Het combineren van e-mailverificatie met strenge controleprocedures is essentieel om fraude te voorkomen

Schadefraude begint niet altijd met een in scène gezet ongeval of een vals letselrapport.

Soms begint het met een gewone e-mail. Een schade-expert vraagt om nog een document. Een schadelijdende antwoordt met een bijgewerkt adres. Een aannemer stuurt een herziene factuur. Niets aan die reeks lijkt vreemd, en dat is precies waarom het werkt.

Verzekeringsteams zijn erop ingesteld om dossiers vlot te laten verlopen. Na een storm, een piek in aansprakelijkheidsclaims of een achterstand bij arbeidsongevallenverzekeringen verwerken medewerkers schattingen, bijlagen, goedkeuringen en uitbetalingsgegevens in hoog tempo. Wanneer er een bericht binnenkomt in het kader van een daadwerkelijke claim, krijgt dit bericht automatisch de geloofwaardigheid van de omringende workflow mee.

Dat maakt de inbox een aantrekkelijke plek voor dieven. Ze hoeven geen verhaal uit het niets te verzinnen als ze zich in een bestaande conversatie kunnen mengen en geld, documenten of vertrouwen kunnen misbruiken.

Waarom het afhandelen van verzekeringsclaims zo gevoelig is voor misbruik

Waarom verzekeringsclaims zo gemakkelijk te misbruiken zijn

De afhandeling van schadeclaims kent drie aspecten die aanvallers aanspreken: urgentie, herhaling en veel coördinatie via e-mail. Bij één enkel dossier kunnen de verzekerde, een makelaar, een schade-expert, een contactpersoon van de financiële afdeling, een reparateur en een externe advocaat betrokken zijn. Tijdens een ramp kan één gedeelde mailbox al voor de middag tientallen vrijwel identieke verzoeken verwerken.

Daarom komt het verband tussen cybercriminaliteit en verzekeringsfraude zo vanzelfsprekend naar voren in de verzekeringssector. Zodra criminelen toegang hebben gekregen tot een mailbox, een factuur of een communicatiedraad met een leverancier, hebben ze geen spectaculair verhaal over een datalek nodig. Ze kunnen gewoon wachten tot het moment van betaling aanbreekt en zich dan mengen in een situatie waarin mensen toch al beweging verwachten.

Bedrijven die weten wat DMARC is, beseffen al dat dit verder gaat dan alleen de afleverbaarheid. DMARC werkt samen met SPF en DKIM om domeineigenaren te helpen controleren wie er e-mail mag versturen via hun domein, en om te bepalen wat ontvangende servers moeten doen met berichten die deze controles niet doorstaan. Dat is van belang bij schadeclaims, omdat identiteitsfraude vaak lucratiever is dan verstoring door brute-force-aanvallen.

Hoe uitbetalingsfraude in de praktijk in zijn werk gaat

Stel je een schadeclaim voor na hagelschade voor. Een aannemer rondt de noodherstelwerkzaamheden af, de schade-expert keurt de offerte goed en de financiële afdeling staat klaar om een bedrag van 28.400 dollar over te maken. Een aanvaller die toegang heeft tot één e-mailaccount in die keten houdt een paar dagen lang stilletjes de situatie in de gaten en stuurt vervolgens een kort berichtje waarin staat dat de aannemer van bank is veranderd, met daarbij een bijgewerkt overschrijvingsformulier.

De e-mail hoeft niet opvallend te zijn. Hij hoeft alleen maar te worden verstuurd op het moment dat het team al een definitieve factuur of een ACH-bevestiging verwacht. Volgens de publieke waarschuwing van het FBI’s IC3 over Business Email Compromise bedroegen de gemelde verliezen in verband met BEC wereldwijd meer dan 55 miljard dollar in de periode van oktober 2013 tot en met december 2023. Dat bedrag verklaart waarom een ‘eenvoudige’ e-mail met een wijziging in de betalingsgegevens nooit als een routineklus mag worden behandeld.

De spelmechanismen zijn met opzet saai:

  • Een echte claim leidt tot een echte e-mailconversatie met namen, claimnummers en bijlagen.
  • Een aanvaller krijgt toegang via phishing, hergebruikte inloggegevens of regels voor het doorsturen van e-mail.
  • Ze wachten tot het moment van betaling, terugbetaling of afwikkeling het verzoek geloofwaardig maakt.
  • Er wordt een herziene factuur, een wijziging van de bankgegevens of een betalingsopdracht verzonden vanaf een identiek ogende of gehackte account.
  • Het geld wordt overgemaakt voordat iemand de wijziging via een tweede kanaal heeft geverifieerd.

Hetzelfde patroon doet zich voor bij arbeidsongevallenverzekeringen, aansprakelijkheidsverzekeringen, bedrijfsautoverzekeringen en subrogatie. Als een bericht invloed kan hebben op wie er wordt uitbetaald, waar vertrouwelijke documenten terechtkomen of welke documenten als authentiek worden beschouwd, is de claim al waardevol genoeg om misbruik aan te trekken.

Wat mensen over het hoofd zien als de afzender er bekend uitziet

De meeste teams weten hoe ze een slordig phishing-bericht kunnen herkennen. De lastigste gevallen zijn de berichten die voor 95 procent in orde lijken. Een valse afzender kan bijvoorbeeld één letter in een domeinnaam veranderen, reageren binnen een bestaande thread of precies dezelfde toon aanslaan die een leverancier normaal gesproken gebruikt.

Daarom is de beste werkwijze bij het controleren niet: ‘let op grammaticale fouten’, maar: ‘controleer of het verzoek past binnen de werkstroom’. Een reparateur die al 18 maanden hetzelfde domein gebruikt, zou niet plotseling, een uur voor de uitbetaling, een wijziging van de bankgegevens moeten sturen vanaf een nieuw adres. De advocaat van een eiser die gewoonlijk pdf’s via een beveiligd portaal verstuurt, zou niet plotseling via een kort antwoordbericht vanaf een mobiele telefoon om instructies voor de afwikkeling moeten vragen.

Veel van de veelvoorkomende waarschuwingssignalen voor phishing in verzekeringsdossiers zijn subtiel: een gewijzigd antwoordadres, een ander type bijlage, een op het laatste moment geuite dringende oproep, of een verzoek om het gebruikelijke portaal over te slaan omdat ‘dit sneller gaat’. Het zijn kleine details, maar in een schadeafhandelingsproces maken ze vaak het verschil tussen een normale afhandeling en een frauduleuze omleiding.

De richtlijnen van de FBI inzake „Business Email Compromise“ maken de praktische regel heel duidelijk: controleer betalingen of wijzigingen in accounts via een apart kanaal, bekijk het volledige afzenderadres en wees extra voorzichtig wanneer er in het verzoek op urgentie wordt aangedrongen. Goede schadeteams houden zich aan die regel, zelfs als het bericht er vertrouwd uitziet, want fraude die er vertrouwd uitziet, is juist het doel van de aanval.

Hoe een veiliger schadeafhandelingsproces er in de praktijk uitziet

Een betere workflow voor schadeclaims behandelt niet elke e-mail alsof het om een ramp gaat. Er worden alleen extra stappen ingebouwd op punten waar fraude hoge kosten met zich meebrengt: wijzigingen in de accountgegevens, instructies voor de uitbetaling, herziene facturen en het doorsturen van vertrouwelijke documenten.

Laten we beginnen bij het domein. Een snelle controle met een domeinanalysetool kan aan het licht brengen of uw verzendende domein duidelijke tekortkomingen vertoont op het gebied van authenticatie met betrekking tot DMARC, SPF, DKIM en aanverwante controles. PowerDMARC richt zich met deze tool specifiek op het opsporen van risico’s op het gebied van phishing, spoofing, fraude en identiteitsmisbruik. Dat is nuttig omdat claimfraude vaak al geslaagd is lang voordat iemand een uitbetalingsprobleem in de boekhouding opmerkt.

Vervolgens moeten de overdrachtsregels binnen het claimproces worden aangescherpt. Als er na de goedkeuring van de betaling maar vóór de uitbetaling een wijziging bij de bank binnenkomt, moet dit een ander controletraject in gang zetten dan een routinematige statusupdate. Een dossier met een verzoek tot terugbetaling van 1.200 dollar vereist wellicht een snelle terugbelactie. Een dossier met een herziening van een schikking ter waarde van 40.000 dollar vereist mogelijk een terugbelactie plus een tweede goedkeurder binnen dezelfde werkdag.

Een bruikbare set van controlevariabelen ziet er meestal als volgt uit:

  • Elke overschrijving of wijziging in de ACH-gegevens wordt geverifieerd aan de hand van een telefoonnummer dat al in ons bestand staat, niet aan de hand van het nummer in de e-mail.
  • Elke wijziging in de betalingsinstructies binnen 30 dagen na de registratie van een leverancier wordt doorgegeven aan het management.
  • Gedeelde inboxen voor claims staan geen automatische doorsturing naar externe adressen toe.
  • De afdelingen Financiën en Schadeafhandeling gebruiken dezelfde controlechecklist, zodat aanvallers zich niet op de zwakkere afdeling kunnen richten.
  • Elke geverifieerde bankwijziging wordt geregistreerd met de datum, de verificateur en het resultaat van de terugbelprocedure.

Ook hier speelt e-mailverificatie een belangrijke rol. Volgens de richtlijnen van Google voor afzenders wordt van afzenders van bulkberichten naar persoonlijke Gmail-accounts verwacht dat ze SPF en DKIM gebruiken, DMARC publiceren en het domein van de organisatie in de ‘Van’-header afstemmen op SPF of DKIM. Deze vereisten hebben betrekking op het vertrouwen in afzenders op grote schaal, maar dezelfde werkwijze helpt verzekeringsmaatschappijen om het risico op spoofing te verminderen en de signalen te verduidelijken waarop medewerkers zich baseren om te beoordelen of een bericht legitiem is.

De beste verzekeringsteams toetsen hun processen ook aan de hand van echte dossiers. Neem een recent schadeclaimdossier voor onroerend goed, een dossier voor arbeidsongevallen en een aansprakelijkheidsclaim. Stel bij elk dossier een rechttoe rechtaan vraag: als er op dit moment een valse e-mail zou binnenkomen waarin een wijziging in de uitkering wordt gemeld, waar zou die dan precies worden tegengehouden, en door wie? Als het antwoord vaag is, is de controle dat ook.

Conclusie

Fraude met uitkeringen loopt hoog op wanneer alledaagse hiaten in het proces worden afgedaan als onschadelijke administratieve ruis. Een vervalst bericht kan ervoor zorgen dat een betaling aan een aannemer wordt omgeleid, een afwikkeling wordt vertraagd of dat gevoelige gegevens van uitkeringsgerechtigden in verkeerde handen terechtkomen, zonder dat er een duidelijk alarm afgaat. De oplossing is meestal minder ingrijpend dan men zou verwachten: strengere vertrouwenscriteria voor afzenders, duidelijkere verificatieregels en een korte lijst van momenten die nooit als ‘routine’ mogen worden beschouwd. Als wijzigingen in bankgegevens, herzieningen van facturen en uitbetalingsinstructies altijd een terugbelverzoek en een tweede controle uitlokken, verliest de aanvaller het voordeel van timing. Kies vandaag nog één live claimworkflow en test hoe een valse e-mail over een wijziging in de betaling van de inbox naar de uitbetaling zou gaan. Dicht vervolgens het gat voordat het volgende onschuldig ogende bericht binnenkomt.

Laatste berichten van Ahona Rudra (Bekijk alle berichten)
Laatst bijgewerkt:
FTC Safeguards Rule: Heeft uw financiële instelling DMARC nodig?SPF-compressieSPF-compressie: verminder het aantal SPF-DNS-zoekopdrachten en optimaliseer uw SPF-record