Phishing-aanvallen door leidinggevenden - Praktische inzichten en preventiestrategieën
door
Leestijd: 5 min
Uitzonderlijke phishingaanvallen op leidinggevenden zijn een van de meest effectieve en kosteneffectieve manieren om de beveiliging van een bedrijf te doorbreken. Leidinggevenden kunnen via e-mail of telefoon worden gelokt, maar het resultaat is bijna altijd hetzelfde.
Een phishingaanval door leidinggevenden is een grote zorg voor allerlei soorten bedrijven. Het is een belangrijke reden waarom organisaties meer dan 43 miljard dollar (USD) verloren van 2016 tot 2021.
In dit artikel bespreken we de definitie van executive phishing, waarom het zo'n bedreiging is en hoe je kunt voorkomen dat je het volgende slachtoffer wordt.
Wat is Executive Phishing?
Executive phishing is een cybermisdaad die gericht is op hooggeplaatste leidinggevenden en andere senior besluitvormers zoals de CEO, CFO en hoge leidinggevenden. De naam van de leidinggevende, de e-mailhandtekening, het digitale visitekaartje en andere details worden vaak gebruikt tijdens de phishingaanval om het bericht legitiem te laten lijken.
In 2020kosten cyberdelicten zoals CEO-fraude en ransomware meer dan 4,1 miljard dollar, waarbij de gerapporteerde gevallen van 2019 tot 2020 met 69% stijgen tot meer dan 791.000. Helaas nemen deze cyberbedreigingen niet af, ze worden erger.
Het is ontworpen om het slachtoffer te laten denken dat ze een e-mail ontvangen van iemand in hun organisatie of een andere vertrouwde bron.
Bij executive phishing-aanvallen gaat het meestal om een goed opgemaakte e-mail van een medewerker binnen uw organisatie, maar het kan ook gaan om een e-mail van iemand buiten uw organisatie.
De e-mails bevatten vaak informatie over een aankomende vergadering, zoals de agenda of een aankomend contract.
De aanvaller kan ook proberen toegang te krijgen tot vertrouwelijke gegevens die zijn opgeslagen op het bedrijfsnetwerk door zich voor te doen als een vertrouwde medewerker met toegang tot gevoelige informatie.
Executive phishing is gericht op het stelen van vertrouwelijke gegevens zoals wachtwoorden, gevoelige documenten en inloggegevens. De aanvaller gebruikt deze gestolen gegevens om toegang te krijgen tot bedrijfsmiddelen en gevoelige informatie.
Gerelateerd lezen: Wat is een phishing-e-mail?
Waarom zijn Phishing-aanvallen gericht op leidinggevenden?
Door zich te richten op leidinggevenden krijgen hackers toegang tot waardevolle informatie die verkocht kan worden op het Dark Web of gebruikt kan worden als chantagemiddel tegen het bedrijf van het slachtoffer.
Omdat C-level executives meestal toegang hebben tot gevoelige gegevens zoals financiële gegevens, persoonlijk identificeerbare informatie (PII) en andere vertrouwelijke bedrijfsdocumenten, kunnen ze een doelwit bij uitstek worden voor phishing-aanvallen die erop gericht zijn deze gegevens met alle mogelijke middelen te bemachtigen.
Voorbeeld van Executive Phishing-aanval
Een voorbeeld van een executive phishing e-mail is te zien in de volgende afbeelding:
Belangrijkste soorten Executive Phishing-aanvallen
Hieronder volgen enkele van de belangrijkste soorten uitvoerende phishingaanvallen:
BEC-aanvallen (Compromise Business Email)
BEC-aanvallen Richten zich op CEO's en andere hoge functionarissen door zich voor te doen als hun e-mails en om geldoverdrachten te vragen.
BEC-aanvallers sturen frauduleuze e-mails met valse bedrijfslogo's en vervalste afzenderadressen om de ontvanger te laten geloven dat ze echt zijn.
Aanvallen op facturering
Deze aanval is bedoeld om geld van bedrijven te stelen door valse facturen te maken die legitiem lijken, maar fouten of afwijkingen bevatten.
De aanvaller vraagt vervolgens om betaling van deze facturen via bankoverschrijvingen of andere betalingsmethoden die tijd kosten om te verifiëren.
Exploitatie van videocommunicatieplatforms
Bij deze aanval gebruikt de hacker een videocommunicatieplatform om zich voor te doen als een leidinggevende. Ze kunnen bijvoorbeeld Google Hangouts gebruiken om zich voor te doen als de CEO en om vertrouwelijke informatie te vragen.
De hacker kan de werknemers ook een e-mail sturen waarin staat dat ze een videogesprek zullen hebben met iemand van Financiën. Ze instrueren hen om een app te downloaden en hun inloggegevens in te voeren.
Social Engineering
Social engineering wordt gebruikt om toegang te krijgen tot gevoelige informatie of gegevens door gebruikers te verleiden om wachtwoorden, burgerservicenummers en andere gevoelige informatie vrij te geven.
De aanvaller doet zich vaak voor als iemand van IT of een andere afdeling binnen je organisatie en vraagt om toegang tot je computer of netwerkbronnen wanneer normale zakelijke praktijken dit verzoek niet rechtvaardigen.
Executive Phishing vs Whaling
Onthoud dat zowel Executive Phishing als Whaling cyberaanvallen zijn die gericht zijn op hooggeplaatst personeel, waarbij Whaling een meer gespecialiseerde variant is. De juiste cyberbeveiligingsmaatregelen en training van werknemers zijn cruciaal voor de verdediging tegen deze bedreigingen.
Laten we eens kijken naar executive phishing vs. whaling:
| Aspect | Phishing voor leidinggevenden | Walvisvaart |
| Doel | Executive phishing is gericht op hooggeplaatste leidinggevenden binnen een bedrijf. | Whaling richt zich op topmanagers, zoals CEO's en CFO's. |
| Doel | Executive phishing is bedoeld om ongeautoriseerde toegang te krijgen, gegevens te stelen of inloggegevens te verkrijgen. | Whaling heeft als doel om gevoelige informatie of geld af te troggelen van hooggeplaatste leidinggevenden. |
| Type aanval | Executive phishing is een phishingaanval die specifiek leidinggevenden verleidt om actie te ondernemen. | Whaling is een gespecialiseerde vorm van spear phishing die gericht is op de meest invloedrijke personen. |
| Imitatie | Bij executive phishing doen aanvallers zich voor als een senior executive of collega om het doelwit te misleiden. | Whaling houdt in dat je je voordoet als hooggeplaatste leidinggevenden om misbruik te maken van hun autoriteit op hoog niveau. |
| Voorbereiding | Aanvallers onderzoeken de rol, communicatiestijl en relevante informatie van het doelwit vaak bij executive phishing. | Whalingplegers doen grondig onderzoek naar de beoogde leidinggevende en de bedrijfsomgeving. |
| Inhoud e-mail | Executive phishing e-mails bootsen officiële communicatie na. Vaak wordt een gevoel van urgentie gecreëerd of worden gevoelige zaken aan de orde gesteld. | Whalingmails bevatten aangepaste en persoonlijke berichten die zijn afgestemd op de functie en verantwoordelijkheden van het doelwit. |
| Social Engineering | Executive phishing maakt gebruik van machtsdynamiek, urgentie of nieuwsgierigheid om doelwitten tot actie aan te zetten. | Whaling maakt gebruik van toegang en autoriteit op hoog niveau om het vertrouwen en de compliance van het doelwit te manipuleren. |
| Lading | Bij executive phishing zijn kwaadaardige koppelingen, bijlagen of verzoeken om informatie veelvoorkomende payloads. | Whaling payloads zijn vaak op zoek naar vertrouwelijke gegevens, financiële transacties of andere waardevolle bezittingen. |
| Impact | De gevolgen van executive phishing kunnen variëren van gecompromitteerde accounts en gegevenslekken tot financieel verlies. | De impact van walvisvangst kan aanzienlijk zijn en leiden tot aanzienlijke financiële schade en reputatieschade voor organisaties. |
| Tegenmaatregelen | Tegenmaatregelen tegen executive phishing zijn onder andere training van werknemers, gebruik van antiphishingtools en waakzame e-mailpraktijken. | Verdediging tegen walvisjacht omvat bewustmakingstraining, detectie van geavanceerde bedreigingen en sterke authenticatiemethoden. |
| Voorbeelden | Voorbeelden van phishing voor leidinggevenden zijn valse verzoeken om geld over te maken of gegevens te delen die naar leidinggevenden worden gestuurd. | Whaling houdt in dat er gerichte e-mails worden gestuurd naar hooggeplaatste leidinggevenden, vaak met kwade bedoelingen of bedrieglijke verzoeken. |
Gerelateerd lezen: Whaling phishing vs. gewone phishing
Verdediging en mitigaties voor executive phishing-aanvallen
De volgende beveiligingsmaatregelen kunnen uw organisatie helpen beschermen tegen executive phishing:
DMARC implementatie
DMARC stelt organisaties in staat te rapporteren hoe hun domeinen worden gebruikt en ISP's en andere e-mailproviders te helpen de juiste actie te ondernemen wanneer ze frauduleuze berichten van die domeinen zien.
Training veiligheidsbewustzijn
Bewustzijnstraining voor beveiliging helpt werknemers potentiële bedreigingen te herkennen voordat ze een probleem worden.
Security awareness training leert mensen hoe ze verdachte e-mails kunnen herkennen op basis van de inhoud, afzender en onderwerpregel. Het leert werknemers ook hoe ze deze e-mails moeten rapporteren zodat ze niet het slachtoffer worden van een aanval.
Multi-Factor Authenticatie (MFA)
Multi-factor authenticatie (MFA) voegt een extra beveiligingslaag toe door gebruikers te verplichten een code in te voeren die naar hun telefoon wordt gestuurd of door een fysiek apparaat wordt gegenereerd voordat ze toegang krijgen.
Tools voor filteren en anti-hishing van e-mail
De eerste verdedigingslinie is het gebruik van e-mailfiltersoftware om phishingmails uit te filteren. Met deze software kunnen gebruikers definiëren welke e-mailadressen als verdacht moeten worden beschouwd en worden ze automatisch geweigerd.
Daarnaast kan het ook worden gebruikt om legitieme e-mails te identificeren die worden gespooft en deze automatisch te weigeren, evenals alle bijlagen die mogelijk kwaadaardig zijn.
Gerelateerd lezen: Verschil tussen Anti-Spam en DMARC
Regelmatige software-updates en patchbeheer
Zorg ervoor dat alle software up-to-date is, vooral browsers, besturingssystemen en applicaties van derden. Dit geldt zowel voor fysieke als virtuele machines.
Patches bevatten vaak beveiligingsoplossingen voor kwetsbaarheden die kunnen worden uitgebuit door aanvallers die een systeem al hebben gecompromitteerd.
Laatste woorden
Hoewel dit niet de meest voorkomende vorm van phishing is, kan het nog steeds negatieve gevolgen hebben voor individuen en bedrijven. Als je berichten ontvangt van mensen die je niet kent of over situaties die niet meteen echt lijken, wees dan niet overhaast om de bestanden die ze sturen te openen.
Het is heel goed mogelijk dat je slachtoffer wordt van een phishingaanval en als dat het geval is, moet je onze tips volgen om jezelf te beschermen.
Expert domein- en e-mailbeveiliging bij PowerDMARC
Ahona is de Marketing Manager bij PowerDMARC, met 5+ jaar ervaring in het schrijven over cybersecurity onderwerpen, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een postdoctorale graad in Journalistiek en Communicatie, en heeft haar carrière in de beveiligingssector sinds 2019 verstevigd.
Nieuwste berichten van Ahona Rudra (zie alle)
- MSP Praktijkstudie: Hubelia vereenvoudigt beveiligingsbeheer clientdomein met PowerDMARC - 31 januari 2025
- Top 6 DMARC-oplossingen voor MSP's in 2025 - 30 januari 2025
- De rol van verificatieprotocollen bij het handhaven van de nauwkeurigheid van gegevens - 29 januari 2025
