Op het gebied van cybercriminaliteit en beveiligingsbedreigingen is Vendor Email Compromise (VEC) de grote vader van de e-mailfraude. Het is het type aanval waar de meeste organisaties het minst op zijn voorbereid en waar ze de meeste kans op lopen. In de afgelopen 3 jaar heeft VEC organisaties meer dan 26 miljard dollar gekost. En het kan schokkend eenvoudig zijn om uit te voeren.
Bij BEC-aanvallen, vergelijkbaar met VEC, doet de aanvaller zich voor als een hogere leidinggevende in de organisatie en stuurt hij e-mails naar een pas aangenomen werknemer, vaak op de financiële afdeling. Ze vragen om geldovermakingen of betalingen van valse facturen, die, als ze goed genoeg worden uitgevoerd, een minder ervaren werknemer kunnen overtuigen om de transactie te initiëren. Om dit gevaar te vermijden, moet u de betalingsvoorwaarden van de facturen lezen en een stap voor blijven.
U begrijpt waarom BEC zo'n groot probleem is bij grote organisaties. Het is moeilijk om de activiteiten van al uw werknemers in de gaten te houden, en de minder ervaren werknemers trappen gemakkelijker in een e-mail die van hun baas of CFO afkomstig lijkt te zijn. Toen organisaties ons vroegen wat de gevaarlijkste cyberaanval was waarvoor ze moesten oppassen, was ons antwoord altijd BEC.
Dat wil zeggen, tot Silent Starling.
Georganiseerd Cybercriminaliteit Syndicaat
De zogenaamde Silent Starling is een groep Nigeriaanse cybercriminelen met een geschiedenis in oplichting en fraude die al teruggaat tot 2015. In juli 2019 gingen ze in zee met een grote organisatie, waarbij ze zich voordeden als de CEO van een van hun zakenpartners. In de e-mail werd gevraagd om een plotselinge, last minute wijziging in bankgegevens, met het verzoek om een dringende overschrijving.
Gelukkig ontdekten zij dat de e-mail vals was voordat er een transactie plaatsvond, maar in het daaropvolgende onderzoek kwamen de verontrustende details van de methoden van de groep aan het licht.
Bij wat nu Vendor Email Compromise (VEC) wordt genoemd, voeren de aanvallers een aanzienlijk uitgebreidere en beter georganiseerde aanval uit dan bij conventionele BEC. De aanval bestaat uit drie afzonderlijke, ingewikkeld geplande fasen die veel meer inspanning lijken te vergen dan wat de meeste BEC-aanvallen gewoonlijk vereisen. Het werkt als volgt.
VEC: Hoe een bedrijf oplichten in 3 stappen
Stap 1: Inwerken
De aanvallers krijgen eerst toegang tot het e-mailaccount van een of meer personen bij de organisatie. Dit is een zorgvuldig georkestreerd proces: ze zoeken uit welke bedrijven geen DMARC-geauthenticeerde domeinen hebben. Dit zijn gemakkelijke doelen om te spoofen. Aanvallers krijgen toegang door werknemers een phishing-e-mail te sturen die eruitziet als een inlogpagina en stelen hun inloggegevens. Nu hebben ze volledige toegang tot het reilen en zeilen van de organisatie.
Stap 2: Verzamelen van informatie
Deze tweede stap is een soort uitkijkfase. De criminelen kunnen nu vertrouwelijke e-mails lezen, en gebruiken dit om een oogje in het zeil te houden voor werknemers die betrokken zijn bij het verwerken van betalingen en transacties. De aanvallers identificeren de grootste zakenpartners en verkopers van de doelorganisatie. Ze verzamelen informatie over de interne werking van de organisatie - zaken als factureringspraktijken, betalingsvoorwaarden, en zelfs hoe officiële documenten en facturen eruit zien.
Stap 3: Actie ondernemen
Met al deze verzamelde informatie creëren de oplichters een uiterst realistische e-mail en wachten zij op de juiste gelegenheid om deze te verzenden (meestal vlak voordat een transactie op het punt staat plaats te vinden). De e-mail is gericht aan de juiste persoon op het juiste moment, en komt via een echte bedrijfsaccount, waardoor hij bijna onmogelijk te identificeren is.
Door deze 3 stappen perfect te coördineren, slaagde Silent Starling erin om de beveiligingssystemen van hun doelwit te compromitteren en bijna tienduizenden dollars te stelen. Zij waren een van de eersten die zo'n uitgebreide cyberaanval probeerden uit te voeren, en helaas zullen zij zeker niet de laatsten zijn.
Ik wil geen slachtoffer worden van VEC. Wat moet ik doen?
Het echt enge van VEC is dat zelfs als u het hebt kunnen ontdekken voordat de oplichters geld konden stelen, dit niet betekent dat er geen schade is aangericht. De aanvallers hebben nog steeds volledige toegang gekregen tot uw e-mailaccounts en interne communicatie en hebben een gedetailleerd inzicht gekregen in de financiën, factureringssystemen en andere interne processen van uw bedrijf. Informatie, vooral gevoelige informatie zoals deze, laat uw organisatie volledig blootgesteld, en de aanvaller kan altijd een andere zwendel proberen.
Wat kunt u ertegen doen? Hoe moet je voorkomen dat een VEC-aanval jou overkomt?
1. Bescherm uw e-mailkanalen
Een van de meest effectieve manieren om e-mailfraude te stoppen, is om de aanvallers niet eens te laten beginnen met stap 1 van het VEC-proces. U kunt voorkomen dat cybercriminelen de eerste toegang krijgen door eenvoudigweg de phishing-e-mails te blokkeren die ze gebruiken om uw aanmeldingsgegevens te stelen.
Met het PowerDMARC-platform kunt u DMARC-verificatie gebruiken om aanvallers ervan te weerhouden zich voor te doen als uw merk en phishing-e-mails te sturen naar uw eigen medewerkers of zakenpartners. Het laat u zien wat er allemaal gebeurt in uw e-mailkanalen en waarschuwt u direct als er iets misgaat.
2. Leid uw personeel op
Een van de grootste fouten die zelfs grotere organisaties maken, is dat ze niet wat meer tijd en moeite investeren in het opleiden van hun personeel met achtergrondkennis over veelvoorkomende onlinezwendel, hoe het werkt en waar ze op moeten letten.
Het kan erg moeilijk zijn om het verschil te zien tussen een echte e-mail en een goed opgestelde nepmail, maar er zijn vaak veel verklikkerlampjes die zelfs iemand die niet goed is opgeleid in cyberbeveiliging kan herkennen.
3. Beleid vaststellen voor zaken via e-mail
Veel bedrijven nemen e-mail gewoon voor lief, zonder echt na te denken over de inherente risico's van een open, ongemodereerd communicatiekanaal. In plaats van elke correspondentie impliciet te vertrouwen, moet men ervan uitgaan dat de persoon aan de andere kant niet is wie hij beweert te zijn.
Als u een transactie moet voltooien of vertrouwelijke informatie met hen moet delen, kunt u een secundair verificatieproces gebruiken. Dit kan gaan van het bellen van de partner om te bevestigen, tot het laten autoriseren van de transactie door een andere persoon.
Aanvallers vinden steeds nieuwe manieren om zakelijke e-mailkanalen te compromitteren. U kunt het zich niet veroorloven onvoorbereid te zijn.
