Als het gaat om cybercriminaliteit en veiligheidsbedreigingen, is Vendor Email Compromise (VEC) de grote vader van de e-mailfraude. Het is het type aanval waar de meeste organisaties het minst op voorbereid zijn en waar ze het meest mee te maken krijgen. In de afgelopen drie jaar heeft VEC organisaties meer dan 26 miljard dollar gekost. En het kan schokkend eenvoudig zijn om het uit te voeren.

Bij BEC-aanvallen, vergelijkbaar met VEC, doet de aanvaller zich voor als een hoger kaderlid van de organisatie en verstuurt hij e-mails naar een pas aangeworven werknemer, vaak op de financiële afdeling. Hij vraagt om geld over te maken of valse facturen te betalen, wat, als het goed genoeg wordt uitgevoerd, een minder ervaren medewerker kan overhalen de transactie te initiëren.

U begrijpt waarom BEC zo'n groot probleem is bij grote organisaties. Het is moeilijk om de activiteiten van al uw werknemers in de gaten te houden, en de minder ervaren werknemers trappen gemakkelijker in een e-mail die van hun baas of CFO afkomstig lijkt te zijn. Toen organisaties ons vroegen wat de gevaarlijkste cyberaanval was waarvoor ze moesten oppassen, was ons antwoord altijd BEC.

Dat wil zeggen, tot Silent Starling.

Georganiseerd Cybercriminaliteit Syndicaat

De zogenaamde Silent Starling is een groep Nigeriaanse cybercriminelen met een geschiedenis in oplichting en fraude die al teruggaat tot 2015. In juli 2019 gingen ze in zee met een grote organisatie, waarbij ze zich voordeden als de CEO van een van hun zakenpartners. In de e-mail werd gevraagd om een plotselinge, last minute wijziging in bankgegevens, met het verzoek om een dringende overschrijving.

Gelukkig ontdekten zij dat de e-mail vals was voordat er een transactie plaatsvond, maar in het daaropvolgende onderzoek kwamen de verontrustende details van de methoden van de groep aan het licht.

Bij wat nu Vendor Email Compromise (VEC) wordt genoemd, voeren de aanvallers een aanzienlijk uitgebreidere en beter georganiseerde aanval uit dan bij conventionele BEC. De aanval bestaat uit drie afzonderlijke, ingewikkeld geplande fasen die veel meer inspanning lijken te vergen dan wat de meeste BEC-aanvallen gewoonlijk vereisen. Het werkt als volgt.

VEC: Hoe een bedrijf oplichten in 3 stappen

Stap 1: Inwerken

De aanvallers krijgen eerst toegang tot de e-mailaccount van een of meer personen bij de organisatie. Dit is een zorgvuldig georkestreerd proces: ze zoeken uit welke bedrijven geen DMARC-geauthenticeerde domeinen hebben. Dit zijn gemakkelijke doelwitten om te spoofen. Aanvallers krijgen toegang door werknemers een phishing-e-mail te sturen die eruitziet als een aanmeldingspagina en stelen hun aanmeldingsgegevens. Nu hebben ze volledige toegang tot het reilen en zeilen van de organisatie.

Stap 2: Verzamelen van informatie

Deze tweede stap is een soort uitkijkfase. De criminelen kunnen nu vertrouwelijke e-mails lezen, en gebruiken dit om een oogje in het zeil te houden voor werknemers die betrokken zijn bij het verwerken van betalingen en transacties. De aanvallers identificeren de grootste zakenpartners en verkopers van de doelorganisatie. Ze verzamelen informatie over de interne werking van de organisatie - zaken als factureringspraktijken, betalingsvoorwaarden, en zelfs hoe officiële documenten en facturen eruit zien.

Stap 3: Actie ondernemen

Met al deze verzamelde informatie creëren de oplichters een uiterst realistische e-mail en wachten zij op de juiste gelegenheid om deze te verzenden (meestal vlak voordat een transactie op het punt staat plaats te vinden). De e-mail is gericht aan de juiste persoon op het juiste moment, en komt via een echte bedrijfsaccount, waardoor hij bijna onmogelijk te identificeren is.

Door deze 3 stappen perfect te coördineren, slaagde Silent Starling erin om de beveiligingssystemen van hun doelwit te compromitteren en bijna tienduizenden dollars te stelen. Zij waren een van de eersten die zo'n uitgebreide cyberaanval probeerden uit te voeren, en helaas zullen zij zeker niet de laatsten zijn.

Ik wil geen slachtoffer worden van VEC. Wat moet ik doen?

Het echt enge van VEC is dat zelfs als u het hebt kunnen ontdekken voordat de oplichters geld konden stelen, dit niet betekent dat er geen schade is aangericht. De aanvallers hebben nog steeds volledige toegang gekregen tot uw e-mailaccounts en interne communicatie en hebben een gedetailleerd inzicht gekregen in de financiën, factureringssystemen en andere interne processen van uw bedrijf. Informatie, vooral gevoelige informatie zoals deze, laat uw organisatie volledig blootgesteld, en de aanvaller kan altijd een andere zwendel proberen.

Wat kunt u ertegen doen? Hoe moet je voorkomen dat een VEC-aanval jou overkomt?

1. Bescherm uw e-mailkanalen

Een van de meest effectieve manieren om e-mailfraude te stoppen, is om de aanvallers niet eens te laten beginnen met stap 1 van het VEC-proces. U kunt voorkomen dat cybercriminelen de eerste toegang krijgen door eenvoudigweg de phishing-e-mails te blokkeren die ze gebruiken om uw aanmeldingsgegevens te stelen.

Met het PowerDMARC-platform kunt u DMARC-verificatie gebruiken om aanvallers ervan te weerhouden zich voor te doen als uw merk en phishing-e-mails te sturen naar uw eigen medewerkers of zakenpartners. Het laat u zien wat er allemaal gebeurt in uw e-mailkanalen en waarschuwt u direct als er iets misgaat.

2. Leid uw personeel op

Een van de grootste fouten die zelfs grotere organisaties maken, is dat ze niet wat meer tijd en moeite investeren in het opleiden van hun personeel met achtergrondkennis over veelvoorkomende onlinezwendel, hoe het werkt en waar ze op moeten letten.

Het kan erg moeilijk zijn om het verschil te zien tussen een echte e-mail en een goed opgestelde nepmail, maar er zijn vaak veel verklikkerlampjes die zelfs iemand die niet goed is opgeleid in cyberbeveiliging kan herkennen.

3. Beleid vaststellen voor zaken via e-mail

Veel bedrijven nemen e-mail gewoon voor lief, zonder echt na te denken over de inherente risico's van een open, ongemodereerd communicatiekanaal. In plaats van elke correspondentie impliciet te vertrouwen, moet men ervan uitgaan dat de persoon aan de andere kant niet is wie hij beweert te zijn.

Als u een transactie moet voltooien of vertrouwelijke informatie met hen moet delen, kunt u een secundair verificatieproces gebruiken. Dit kan gaan van het bellen van de partner om te bevestigen, tot het laten autoriseren van de transactie door een andere persoon.

Aanvallers vinden steeds nieuwe manieren om zakelijke e-mailkanalen te compromitteren. U kunt het zich niet veroorloven onvoorbereid te zijn.