Geen producten in de winkelwagen.
Cybercriminelen zoeken geraffineerd naar nieuwe manieren om bedrijven op te lichten. Dit kun je tegen 'ceo-fraude' doen.
Deze week kwam in het nieuws dat het Nederlandse bedrijfsleven slachtoffer is geworden van zogenaamde ‘ceo-fraude’. Criminelen sturen een email naar een organisatie, uit naam van de ceo van het bedrijf. Volgens de Nationale Politie zijn ruim 400 bedrijven in Nederland hier van ‘ceo-fraude’ de dupe geworden. Onbekend is wat de financiële schade is. Wereldwijd schat de Amerikaanse FBI de schadepost op ruim 3 miljard dollar.
Ceo-fraude
Verder meldt het AD dat elke tien dagen een gemeente, ministerie of een bedrijf melding maakt van een poging tot ‘gijzelen’ van digitale documenten, zo blijkt uit cijfers van het Nationaal Cyber Security Centrum (NCSC) die via een verzoek Wet Openbaarheid van Bestuur zijn opgevraagd door de krant.
MT spreekt met Jelle Niemantsverdriet en Coen Steenbeek, respectievelijk Director Cyber Risk Advisory en Senior manager Technology Enabled Solutions bij Deloitte.
1. Onder welke noemer kunnen we dit soort cybercrime scharen?
Niemantsverdriet: ‘Dit kun je wel een klassieke vorm van fraude en oplichting noemen, waarbij het middel cyber is. Waar in het verleden wel vervalste brieven werden verstuurd, sturen criminelen nu emails. In tegenstelling tot phishing, waarbij een bulk aan emails verstuurd wordt, moet de crimineel hier meer voorbereiding in steken. Daar staat tegenover dat de beloning vaak hoger is zodra de fraude lukt.’
2. Wat is de strategie doorgaans?
Niemantsverdriet: ‘Criminelen weten als geen ander een goede ‘return of investment’ te bedenken. ‘Ceo-fraude’ is een vrij effectieve methode, omdat je met relatief weinig moeite, flinke bedragen in handen kan krijgen. Zodra je een paar flinke bedragen kunt bemachtigen, is het effectiever dan phishing.’
Steenbeek: ‘Het is een heel doelgerichte methode waarbij namens de ceo wordt geschreven, wat de succeskans groter maakt.’
Niemantsverdriet: ‘We zien het ook buiten de vakantie gebeuren. Mensen moeten onder hoge tijdsdruk werken, mensen zijn afwezig door werkreizen of vakanties. Degene die benaderd wordt, voelt zich gevleid dat de ceo hem of haar dit vraagt. Soms wordt er gevraagd om snel te handelen voordat de beurs sluit of opent. Ze spelen dus in op de gevoelens van mensen en richten hun aanval op financiële mensen een paar stappen onder de Raad van Bestuur, die niet direct de ceo onder de knop hebben.’
Steenbeek: ’Ze gaan erg slim te werk. We kennen een voorbeeld van een klant waarbij de crimineel namens een advocatenkantoor de financiële afdeling opbelde met de vraag of de notariële stukken zijn binnengekomen. Die persoon denkt natuurlijk aan de email en krijgt het gevoel dat het om een belangrijke transactie gaat met alle gevolgen van dien.’
3. Wat is de schaal van dit probleem?
Niemantsverdriet: ‘Betrouwbare cijfers zijn er eigenlijk niet. We zien bij onze klanten nog steeds veel phishing om door middel van valse emails toegang te krijgen tot systemen, data en daarmee geld. Ook krijgen organisaties een mailtje of telefoontje dat een bankrekeningnummer van leverancier X is veranderd. Het factuurbedrag wordt geboekt naar het nieuwe nummer en vaak gaan er wel twee tot drie facturen overheen voordat een leverancier erachter komt dat een factuur niet is betaald. Dit gebeurt sectorbreed.’
4. Hoe staat het in Nederland met de cyberawareness gesteld?
Steenbeek: ‘Eigenlijk wel positief. We zien dat zowel op de grootzakelijke markt als in het mkb dit onderwerp steeds serieuzer genomen wordt. Het bedrijfsleven maakt een ‘switch’. Heel lang zijn we bang gemaakt, maar men krijgt steeds meer door dat ‘security’ een goed middel is om sneller en betrouwbaarder business te doen. En het is daarmee meer een business ‘enabler’ dan een kostenpost.’
5. Is een Chief Information (Security) Officer de oplossing?
Niemantsverdriet: ‘Door iemand op boardniveau tot Chief Security Officer of Chief Information Security Officer te benoemen, laten organisaties zien dat ze het onderwerp serieus nemen. Een gevolg is dat bedrijven veel meer grip krijgen op de kroonjuwelen die ze willen beschermen, of dat nu data is, systemen of personen die meer veiligheidsmiddelen nodig hebben zoals IT-beheerders. Er komt in zicht in: waar staan onze brongegevens? Naar welke partijen gaat het geld uit?’
Steenbeek: ‘Er is het bewustzijn dat 100 procent veiligheid niet bestaat, maar men kan wel voor betere detectie en response zorgen en daarmee weerbaarder reageren op potentiële incidenten.’
4 oplossingen tegen ‘ceo-fraude’
Tenslotte geven de heren een aantal oplossingen om je als organisatie te wapenen tegen ‘ceo’-fraude.
1. Wees als hele organisatie bewust van dit soort fraude. Steenbeek: ‘Dus niet alleen de IT-afdeling, maar ook finance, HR, de receptie en natuurlijk de Raad van Bestuur. Ga op training of laat een specialist periodiek testen uitvoeren op je systemen en organisatie.'
2. Steenbeek: ‘De top van het bedrijf moet deze ‘awareness-boodschap' ook actief uitdragen. Dit is een reëel risico, wees je ervan bewust. Het is aan de top om de organisatie ook de tijd en het platform te geven om incidenten te melden.’
3. Niemantsverdriet: ‘Een vrij eenvoudige technische oplossing is om voor elke externe mail de letters EXT te laten zetten in je emailprogramma. Stel je een e-mail van je ‘ceo’ ontvangt, dan moet er een alarmbel gaan rinkelen als er EXT voor de email staat.’
4. Niemantsverdriet: ‘Investeer als organisatie in een cultuur waarbij een ‘bevel’ van de baas gewantrouwd kan worden. Voer niet zomaar iets blindelings uit, uit angst voor je reputatie of baan. Durf op stop te drukken. Dat is eerder mogelijk in een lerende organisatie dan in een organisatie waarin de afrekencultuur hoogtij viert.’
Afbeelding via Dashmote.
