Wat is zakelijke e-mailcompromittering?

Blog

Wat is zakelijke e-mailcompromittering? BEC doet zich voor wanneer een hacker de identiteit aanneemt van een domeineigenaar om fraude te plegen tegen het bedrijf.

door Ahona Rudra

Laatst bijgewerkt:
Leestijd: 8 min
Wat is zakelijke e-mailcompromittering?
Inhoudsopgave-

Directe aanleiding voor de definitie van wat Business Email Compromise is: Business Email Compromise (BEC) treedt op wanneer een hacker toegang krijgt tot een e-mailaccount van een bedrijf of een legitiem ogende account vervalst en de identiteit van de accounthouder aanneemt om fraude te plegen tegen het bedrijf. BEC-aanvallen zijn gericht op commerciële, overheids- en non-profitorganisaties en kunnen leiden tot enorm gegevensverlies, beveiligingslekken en het in gevaar brengen van financiële activa. Het is een wijdverbreide misvatting dat cybercriminelen zich meestal richten op multinationals en organisaties op ondernemingsniveau; het MKB is tegenwoordig net zo goed een doelwit van e-mailfraude als de grotere spelers in de sector. Het afnemen van het e-mailaccount van het slachtoffer is betrouwbaar. Het kan ook worden aangeduid als een imitatieaanval waarbij een aanvaller probeert een bedrijf op te lichten door zich voor te doen als mensen met een autoritaire positie, zoals de CFO of CEO, een zakenpartner of iemand anders die het doelwit impliciet vertrouwt.

Een aanvaller maakt vaak een account aan met een e-mailadres dat bijna identiek is aan een e-mailadres op het bedrijfsnetwerk, vaak met behulp van technieken als typosquatting (bijv. amaz0n.com in plaats van amazon.com) of lookalike domeinen. BEC wordt ook wel een "man-in-the-email aanval" genoemd. Basis BEC-aanvallen zijn gevaarlijk omdat ze moeilijk te detecteren zijn omdat ze afkomstig lijken te zijn van een legitiem e-mailadres van een bedrijf, waardoor het moeilijk is om ingesloten koppelingen te traceren naar twijfelachtige URL's die door hackers worden gebruikt.

Het is niet verwonderlijk dat de FBI Business Email Compromise (BEC) heeft geclassificeerd als een "26 miljard dollar oplichterij", gezien de gemiddelde kosten voor bedrijven van 5,01 miljoen dollar per inbreuken de dreiging alleen maar toeneemt. BEC-aanvallen (Business Email Compromise) zijn gericht op werknemers die fictieve of legitieme zakelijke e-mailadressen gebruiken. Meer dan 1,8 miljard dollar werd verdiend door BEC-scammers in 2020, meer dan elke andere vorm van cybercriminaliteit, waarbij de VS een belangrijk knooppunt is voor deze impact. BEC-aanvallen treffen meer dan 70% van de organisaties wereldwijd en leiden elk jaar tot miljarden dollars verlies.

Belangrijkste Conclusies

  1. Business Email Compromise (BEC) is een geraffineerde imitatieaanval gericht op organisaties van elke omvang, met als doel fraude te plegen via bedrieglijke e-mails die zich voordoen als vertrouwde entiteiten.
  2. BEC leunt zwaar op social engineering, waarbij tactieken als CEO-fraude, valse facturen en domeinen die op elkaar lijken worden gebruikt om werknemers te manipuleren om geld over te maken of gevoelige gegevens vrij te geven.
  3. Het implementeren en afdwingen van DMARC (met SPF en DKIM) met een beleid van `p=reject` is cruciaal voor het voorkomen van domain spoofing en het blokkeren van ongeautoriseerde e-mails.
  4. Een meerlagige verdedigingsstrategie, inclusief training van werknemers, strikte protocollen voor betalingsverificatie, MFA en waakzaamheid tegen typosquatting, is essentieel.
  5. Door gebruik te maken van aanvullende e-mailbeveiligingsprotocollen zoals MTA-STS voor TLS-encryptie en BIMI voor merkherkenning kan de bescherming en het vertrouwen verder worden verbeterd.

Wat is zakelijke e-mailcompromittering en hoe werkt het?

Bij een BEC-aanval doen de bedreigers zich voor als werknemers of betrouwbare partners. Ze halen het slachtoffer over om een actie uit te voeren, zoals het verlenen van toegang tot vertrouwelijke informatie of het sturen van geld, vaak met behulp van geavanceerde social engineering-aanvallen zoals phishing, CEO-fraude, valse facturen en e-mailspoofing. Bedreigers blijven succes boeken ondanks de toegenomen kennis over het compromitteren van zakelijke e-mail. De Russische cyberbende Cosmic Lynx heeft bijvoorbeeld talloze geraffineerde BEC-campagnes uitgevoerd met goed geschreven phishingmails, waardoor detectie moeilijk is. Verder maken cybercriminelen gebruik van trends als werken op afstand door frauduleuze e-mails te versturen die zich voordoen als populaire tools zoals Zoom om inloggegevens te stelen.

De frequentie van deze aanvallen op Abnormale consumenten steeg met een indrukwekkende 84% tijdens de eerste en tweede helft van 2021. Desondanks steeg het aantal aanvallen in de tweede helft van 2021 tot 0,82 per duizend mailboxen. Bedreigingsactoren volgen vaak specifieke stappen om BEC-fraudes uit te voeren:

  1. Targeting van e-maillijsten: Kwaadwillenden verzamelen doel-e-mails van LinkedIn, databases of websites.
  2. Aanval lanceren: Ze sturen e-mails met gespoofde of op elkaar lijkende domeinen en valse afzendernamen.
  3. Social engineering: Aanvallers doen zich voor als vertrouwde functionarissen en creëren urgentie om geld over te maken of gegevens te delen.
  4. Financiële winsten: De laatste fase waarin de financiële diefstal of het datalek plaatsvindt.

Vijftien dagen op proefBoek een demo

Wat zijn de belangrijkste soorten aanvallen op zakelijke e-mailcompromittering?

Volgens de FBI zijn de belangrijkste soorten BEC-fraude:

Nep goede doelen

Een van de meest voorkomende vormen van BEC-aanvallen is het versturen van e-mails van nepliefdadigheidsinstellingen die beweren geld in te zamelen voor een goed doel. Deze e-mails bevatten vaak bijlagen met kwaadaardige software die is ontworpen om computers te infecteren met virussen en andere malware. Non-profitorganisaties hebben ook te maken met soortgelijke beveiligingsrisico's door spamdonaties en carding-aanvallen, die het vertrouwen van donateurs en de integriteit van gegevens kunnen schaden. 

Reisproblemen

Een andere veel voorkomende BEC-fraude bestaat uit het versturen van e-mails van nepreisbureaus die beweren dat er een probleem is met je vlucht of hotelreservering - meestal omdat iemand zijn boeking op het laatste moment heeft geannuleerd. In de e-mail wordt je gevraagd om je reisbrochure bij te werken door op een bijlage of link in het bericht te klikken. In dat geval kun je onbedoeld malware op je computer installeren of hackers toegang geven tot gevoelige gegevens die op je apparaat zijn opgeslagen.

Belastingbedreigingen

Bij deze aanval dreigt een overheidsinstantie met juridische of officiële stappen als slachtoffers geen geld betalen. Deze zwendel gaat vaak gepaard met valse facturen en verzoeken om betaling om juridische gevolgen te vermijden.

Imitatie advocaat

Deze e-mails beweren dat een advocaat je hulp nodig heeft bij een juridische kwestie - ze zijn gearresteerd of proberen geld te innen dat iemand anders je schuldig is. In deze gevallen vragen oplichters om je persoonlijke gegevens zodat ze kunnen "helpen" met de juridische kwestie in kwestie (zoals geld terugsturen).

De valse factuur

Bij deze zwendel stuurt een bedrijf een factuur naar een ander bedrijf, meestal voor een aanzienlijk bedrag. Op de factuur staat dat de ontvanger geld verschuldigd is voor diensten of artikelen die hij niet heeft ontvangen. Er kan gevraagd worden om geld over te maken om de nepfactuur te betalen.

Gegevensdiefstal

Bij deze zwendel worden gevoelige gegevens van je bedrijf gestolen en verkocht aan concurrenten of andere geïnteresseerden. De dieven kunnen ook dreigen om je gegevens te publiceren als je niet op hun eisen ingaat.

Hoe werken BEC-aanvallen?

BEC-aanvallen werken als volgt:

  • Gespoofde e-mailaccount of website - De aanvaller vervalst een e-mailadres of website die legitiem lijkt, soms met behulp van technieken als typosquatting of lookalike domeinen. De aanvaller verstuurt een of meer phishingmails vanaf dit account en vraagt om financiële informatie, zoals bankrekeningnummers en pincodes, of om geldoverboekingen. Door gebruik te maken van e-mailverificatieprotocollen zoals DMARC, SPF en DKIM kun je voorkomen dat hackers je domein kunnen spoofen.
  • Spear Phishing e-mails - Spear Phishing e-mails zijn zeer gerichte e-mails die rechtstreeks naar specifieke werknemers worden gestuurd, vaak naar financiële of HR-medewerkers. Ze zijn vaak vermomd als interne communicatie van iemand binnen het bedrijf (bijvoorbeeld een leidinggevende), met onderwerpregels als "dringende overboeking" of "dringende factuur" waarin wordt gevraagd om gevoelige gegevens of onmiddellijke actie.
  • Malware gebruiken - Aanvallers kunnen kwaadaardige software (malware) installeren op de computer van een slachtoffer, vaak via kwaadaardige koppelingen of bijlagen in phishingmails. Ze gebruiken malware om activiteiten te volgen, toetsaanslagen vast te leggen (keyloggers), schermafbeeldingen te maken of blijvende toegang te krijgen tot het systeem en het netwerk.

Wat te doen om Compromittering van zakelijke e-mails te voorkomen?

Een succesvolle BEC-aanval kan een bedrijf veel geld kosten en aanzienlijke schade veroorzaken. Je kunt deze aanvallen echter voorkomen door een paar eenvoudige stappen te volgen, zoals:

1. Bescherm uw domein met DMARC, SPF en DKIM

E-mailverificatieprotocollen zoals Domain-based Message Authentication, Reporting and Conformance (DMARC), Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM) zijn essentieel. Met SPF kunt u opgeven welke mailservers e-mail mogen versturen voor uw domein. DKIM voegt een digitale handtekening toe aan e-mails, zodat ontvangers kunnen controleren of er niet met de e-mail is geknoeid.
DMARC bouwt voort op SPF en DKIM. Een organisatie kan met behulp van het protocol vaststellen welke bronnen e-mails verzenden namens hun domein door middel van afzenderverificatie en domeinafstemming, samen met een verbeterde zichtbaarheid van hun e-mailkanalen. DMARC stelt domeineigenaren in staat om aan te geven hoe ontvangers moeten omgaan met e-mails die de SPF- of DKIM-controles niet doorstaan.
Om BEC effectief te voorkomen, moet je DMARC implementeren met een handhavingsbeleid. De beleidsregels zijn:

  • p=none: Bewaakt e-mailverkeer zonder de aflevering te beïnvloeden. Biedt geen bescherming tegen BEC.
  • p=quarantine: Stuurt verdachte e-mails naar de map met ongewenste e-mail of spam van de ontvanger.
  • p=reject: Blokkeert e-mails die verificatiecontroles niet doorstaan. Dit is het aanbevolen beleid voor maximale BEC-bescherming.

DMARC implementeren vereist het publiceren van correct geformatteerde SPF-, DKIM- en DMARC-records in je DNS. Een aanbevolen DMARC record voor handhaving eruit zou kunnen zien: v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; Dit beleid wijst falende e-mails af en stuurt geaggregeerde (rua) en forensische (ruf) rapporten naar gespecificeerde adressen voor controle. Alleen een handhavingsbeleid van afwijzen minimaliseert effectief BEC door te voorkomen dat gespoofde e-mails de inbox van ontvangers bereiken. Terwijl anti-spamfilters beschermen tegen inkomende phishing, beschermt DMARC je domein tegen gebruik in uitgaande phishing- en spoofingaanvallen.
Regelmatige controle via DMARC-rapporten (samengevoegd en forensisch) is cruciaal om e-mailstromen te volgen, verificatieproblemen te identificeren en mogelijke pogingen tot imitatie te herkennen.

2. Bescherming tegen phishing

Gebruik anti-phishing software en e-mailbeveiligingsgateways die inkomende e-mails scannen op schadelijke koppelingen, bijlagen en tekenen van social engineering om bedreigingen te blokkeren voordat ze gebruikers bereiken.

3. Scheiding van taken en betalingsprotocollen

Zorg ervoor dat kritieke functies, vooral financiële transacties zoals overschrijvingen, niet door één persoon alleen worden uitgevoerd. Ontwikkel strikte protocollen voor betalingsgoedkeuringen, waarbij meerdere autorisaties en secundaire bevestiging (bijv. telefoontje of persoonlijke verificatie) vereist zijn voor verzoeken, vooral dringende verzoeken of verzoeken waarbij betalingsgegevens moeten worden gewijzigd.

4. Externe e-mails labelen

Configureer uw e-mailsysteem zodanig dat e-mails die van buiten uw organisatie komen duidelijk gelabeld worden. Dit helpt medewerkers om mogelijk verdachte berichten die zich voordoen als interne afzenders snel te herkennen.

5. Bestudeer e-mailadressen en details zorgvuldig

Train medewerkers om het e-mailadres van de afzender zorgvuldig te onderzoeken op subtiele verschillen, typosquatting of lookalike domeinen. Controleer of het 'reply-to' adres overeenkomt met het 'from' adres. Wees op uw hoede voor e-mails waarin urgentie of geheimhouding wordt gevraagd.

6. Uw werknemers opleiden

De beste verdediging tegen BEC-aanvallen is voorlichting en bewustwording van werknemers. Werknemers moeten leren over de dreiging van BEC, hoe het werkt, veelgebruikte tactieken (zoals urgentie, zich voordoen als een autoriteit) en hoe ze het doelwit kunnen worden. Ze moeten op de hoogte zijn van het bedrijfsbeleid voor e-mailgebruik, het delen van gegevens en financiële transacties, inclusief verificatieprocedures. Voer gesimuleerde phishingtests uit om de bewustwording te meten en vast te stellen welke personen meer training nodig hebben. Moedig werknemers aan om verdachte e-mails of verzoeken onmiddellijk te melden zonder bang te hoeven zijn voor represailles.

7. Multi-Factor Authenticatie (MFA) inschakelen

Implementeer MFA voor alle e-mailaccounts en andere kritieke systemen. MFA voegt een extra beveiligingslaag toe die verder gaat dan alleen een wachtwoord en vermindert het risico op compromittering van accounts aanzienlijk, zelfs als de referenties worden gestolen. Overweeg risicogebaseerde of locatiegebaseerde MFA voor een betere beveiliging.

8. Automatisch doorsturen van e-mail verbieden

Schakel het automatisch doorsturen van e-mails naar externe adressen uit in de e-mailinstellingen van uw organisatie. Hackers kunnen deze functie misbruiken om in stilte communicatie te monitoren of gevoelige informatie om te leiden nadat ze een account hebben gehackt.

9. Aanvullende beveiligingsprotocollen implementeren

Overweeg om de beveiliging van e-mail verder te verbeteren met:

  • MTA-STS (Mail Transfer Agent Strict Transport Security): Zorgt voor TLS-versleuteling voor e-mails die onderweg zijn, bescherming tegen afluisteren en man-in-the-middle aanvallen. Gebruik TLS-RPT (TLS Reporting) om rapporten te krijgen over successen en mislukkingen van TLS-onderhandelingen.
  • BIMI (Brand Indicators for Message Identification): Voegt uw geverifieerde merklogo toe aan geverifieerde e-mails, waardoor de merkherkenning wordt verbeterd en ontvangers legitieme berichten visueel kunnen herkennen in ondersteunde e-mailclients. Voor BIMI is DMARC-handhaving vereist.
  • Beheer SPF-records: Zorg ervoor dat je SPF record binnen de 10 DNS lookup limiet blijft om validatiefouten te voorkomen. Tools zoals SPF flattening kunnen helpen bij het beheren van complexe records.

10. Fraude melden

Als je een BEC-fraude vermoedt of er het slachtoffer van wordt, meld dit dan onmiddellijk bij de relevante autoriteiten (zoals IC3 van de FBI in de VS) en je financiële instellingen. Door aangifte te doen, kunnen rechtshandhavingsinstanties deze misdaden opsporen en mogelijk geld terugvorderen.

Conclusie

Business Email Compromise scams sluipen zelfs langs de meest geavanceerde beveiligingsmaatregelen en richten zich vaak met een enkele, goed ontworpen e-mail op belangrijk personeel zoals de CEO of CFO. Uiteindelijk is BEC een echt verraderlijke aanvalsvector die nog steeds veel voorkomt in de bedrijfswereld. En dat betekent dat je je er goed bewust van moet zijn, ongeacht de grootte van je organisatie. Een combinatie van technische controles zoals DMARC, robuuste interne procedures en voortdurende voorlichting van medewerkers is nodig om een sterke verdediging op te bouwen.

Gebruik de DMARC-analyser van PowerDMARC om ervoor te zorgen dat de e-mails van je domein worden afgeleverd en om te voorkomen dat er valse e-mails worden verzonden. Als u spoofing tegengaat, doet u meer dan alleen uw merk beschermen. Je verzekert het voortbestaan van je bedrijf door een cruciaal onderdeel van de e-mailverificatiestapel te implementeren, die ook SPF, DKIM, BIMI, MTA-STS en TLS-RPT kan omvatten voor uitgebreide bescherming.

Laatste berichten van Ahona Rudra (Bekijk alle berichten)
Laatst bijgewerkt:
DMARC en mailinglijstenDMARC en mailinglijstenWat is Smishing 01 01Wat is Smishing?