Cybercrime kan de beste overkomen. En dat doet het dus ook. Van eenpitters tot multinationals, iedereen loopt een risico. Ook als de systemen waterdicht lijken. Jelle Wieringa is security advocate bij KnowBe4. We praten met hem over Business Email Compromise.
Business Email Compromise of BEC wordt in Nederland ook wel CEO-fraude genoemd en is een zogenaamde social engineering aanval. Wieringa legt uit: ‘Bij social engineering gaat het niet om de technologie, maar om het manipuleren van mensen. De kunst – en zo zou ik het wel willen noemen – is om via medewerkers bij beveiligde informatie of in een systeem te komen.’ Daarbij wordt gebruik gemaakt van zakelijke e-mails die niet van echt te onderscheiden zijn. ‘Dat kan door e-mails heel goed na te maken, waardoor het lijkt alsof ze afkomstig zijn van een bekende. Het kan ook door een systeem te hacken en mails te versturen uit naam van bijvoorbeeld de CEO.’
Bij iedereen is iets te halen
Wieringa vertelt hoe Bol.com onlangs slachtoffer werd van een heel slimme BEC-poging. ‘Bol.com ging het schip in na een mailtje dat afkomstig leek van Brabantia. Het merk zou een nieuw rekeningnummer hebben. De afzender verzocht Bol.com om facturen voortaan daar te voldoen. Het was heel goed gedaan. Zelfs een tikfout leek overtuigend. En zo ben je dus met één druk op de knop 750.000 euro kwijt.’
De tijd van slecht getypte phishing mails, afkomstig van kromme mailadressen, ligt duidelijk achter ons. Wieringa: ‘Dat geldt voor bedrijven, maar ook voor particulieren. ‘Business’ is niet het belangrijkste in BEC. Het gaat om Email Compromise. Bij iedereen is namelijk wat te halen. Of dat nu 750.000 euro is, e-mailadressen van klanten of de toegangsgegevens van het bedrijf waar je voor werkt. Ook een particulier kan zomaar een opstapje zijn naar iets groters. Juist mensen die denken dat er bij hen niks te halen valt, beschermen zich het slechtst tegen cybercrime.’
Sluipmoordenaar BEC
Zo kunnen zelfs de best beveiligde bedrijven slachtoffer worden van BEC. Cybercriminelen maken misbruik van het vertrouwen dat bedrijven stellen in mensen en processen. Wieringa: ‘Je wordt niet zomaar degene die de grote bedragen overmaakt. Dan heeft het bedrijf vertrouwen in je. Volgens het vier-ogen principe kijkt er bovendien iemand met je mee. Maar in de praktijk treedt in veel bedrijven de procesmoeheid toe. En als je elke dag vele miljoenen overmaakt, kun je bij een bedrag van een paar honderdduizend euro gemakkelijk iets over het hoofd zien.’
Over het algemeen zijn bedrijven wel bekend met het fenomeen ransomware, een andere vorm van cybercrime die systemen gijzelt tot er een bedrag is uitgekeerd. Wieringa: ‘Dat is ook heel ernstig. Het probleem is alleen dat iedereen dáárover praat, terwijl BEC veel schadelijker is. Uit een rapport van de FBI blijkt zelfs dat BEC in Amerika in 2020 maar liefst 64 keer schadelijker was, met name financieel, dan ransomware-aanvallen. Dat laatste klinkt veel spannender en is daarom waarschijnlijk interessanter voor de media. Daar komt bij dat je het als bedrijf moeilijk kan verbergen als je slachtoffer wordt van ransomware. Als het systeem van Albert Heijn niet meer werkt zijn de schappen leeg. Maar BEC is een soort sluipmoordenaar in de cybercrime. Het gebeurt veel vaker dan we te horen krijgen.’
Reputatieschade?
Om Business Email Compromise te voorkomen is het zaak dat organisaties en hun medewerkers zich ervan bewust zijn. Wieringa: ‘Bedrijven zijn bang voor imagoschade en houden het daarom liever uit de media. Maar zolang het een onbekend fenomeen blijft, kunnen cybercriminelen hun gang gaan.’
Hij spreekt dan ook zijn lof uit voor bedrijven die ermee naar buiten komen. ‘Bol.com heeft dat heel goed gedaan. Ze hebben niks verbloemd, maar gewoon verteld wat er is gebeurd én wat ze willen doen om dat in de toekomst te voorkomen. Daarmee toon je als bedrijf een bepaalde volwassenheid, die eerder goed zal zijn voor je reputatie dan dat je er schade van ondervindt.’ Later voegt hij daaraan toe: ‘Je kunt je tegenwoordig tegen hoge bedragen verzekeren tegen cybercrime. Dat is heel fijn, maar je reputatie krijg je er niet mee terug. Er is ook niks dat kan garanderen dat je nooit het slachtoffer wordt. Zorg dus dat je in ieder geval een goed communicatieplan hebt voor als het wél gebeurt.’
Ecosysteem
Een bedrijf dat bekend is met het principe van BEC is minder vatbaar voor een aanval. Wieringa: ‘Eigenlijk moet je een ecosysteem creëren waarin cybercriminelen zich niet thuis voelen. Dat betekent dat medewerkers een gezonde argwaan hebben naar mailtjes met een bijzonder verzoek erin, maar ook dat ze heel goed opletten met wat ze op sociale media doen. LinkedIn is bijvoorbeeld een soort schatkaart naar alles dat je als bedrijf niet openbaar maakt, zoals je organogram. Een nieuwe medewerker financiën zal graag op zijn profiel delen dat hij een andere baan heeft. Cybercriminelen hebben daarmee een perfect doelwit binnen jouw bedrijf.’ Overigens pleit Wieringa niet voor een verbod op sociale media. ‘Nee, zeker niet. Sociale media zijn onderdeel van wie we zijn en als werkgever heb je daar geen controle op. Maar je kunt wel bespreken welke uitdagingen ze met zich meebrengen.’
En de ‘gezonde argwaan naar mailtjes’? ‘Het is belangrijk niet te berusten in routine. Kijk bijvoorbeeld niet alleen naar de naam van de afzender, zoals veel mailprogramma’s die weergeven, maar naar het hele mailadres. Misschien staat er een streepje dat er normaal niet in zit. En vraag je altijd af of een verzoek logisch is. In een procesgedreven of hiërarchisch ingericht bedrijf kan het eng zijn een verzoek nog even te checken bij een leidinggevende. Cybercriminelen weten dat ook en doen er hun voordeel mee.’
Slim
BEC is alleen te voorkomen als iedereen goed oplet. Bespreekbaar maken is dus het devies, zowel binnen als buiten de organisatie. Wieringa: ‘Elk bedrijf krijgt te maken met BEC-pogingen. Wij ook bij KnowBe4 en ik kan alleen maar blij zijn dat het nooit gelukt is. Maar bedrijven zouden zich niet moet schamen als dat wel gebeurt. Het is niet stom om erin te tuinen, cybercriminelen zijn gewoon heel slim. Door er open over te zijn, verkleinen we hun slagingskans.’