CEO-fraude is een vorm van phishing die zich richt op het misbruiken van managementrollen. Het komt vaak voor in twee varianten: fraude tussen organisaties en interne fraude.
Bij fraude tussen organisaties probeert een aanvaller zich tussen twee onderhandelende organisaties te positioneren of doet zich voor als een van de partijen om geld te ontfutselen. Later in deze tekst zullen we dieper ingaan op dit onderwerp. Bij interne fraude doet de aanvaller zich voor als een manager om een werknemer binnen de organisatie te overtuigen bepaalde acties te ondernemen.
Hoe werkt een aanvaller?
Bij CEO-fraude zijn de aanvallers bedreven en richten ze zich op grote doelwitten. Om hun doel te bereiken, gaan ze geavanceerd te werk. Ze infiltreren meestal de e-mail van de gekozen organisatie of creëren een spelfoutdomein. Met een spelfoutdomein maakt de aanvaller een domeinnaam die lijkt op die van de gekozen organisatie maar in werkelijkheid in handen is van de aanvaller. Vervolgens kunnen ze betalingsopdrachten binnen de organisatie uitzetten, hopend dat het geld naar hun rekening wordt overgemaakt.
Een voorbeeld zou kunnen zijn is “directie@Brooklynpartner.com,” dat door een aanvaller wordt aangemaakt. Vanuit dat e-mailadres worden berichten naar de financiële afdeling van Brooklyn Partners gestuurd, vaak met een verzoek van de CEO om onmiddellijk een betaling uit te voeren. Op het eerste gezicht lijkt er niets mis, maar bij nauwkeurige inspectie van het domein ontbreekt de “s” in “partners.”
CEO-fraude treft veel bedrijven, stichtingen, verenigingen en zelfs gemeenten. Het uitdagende aspect van CEO-fraude is dat er geen standaardmethode is die de aanvallers volgen. Ze proberen zoveel mogelijk informatie over de organisatie te verzamelen om een gerichte en succesvolle aanval uit te voeren. De meest voorkomende vormen van CEO-fraude zijn directiefraude en transactie-kaping en uitlokking.
Directiefraude
Bij directiefraude doet de aanvaller zich voor als de directeur of leidinggevende van de organisatie. Deze informatie halen ze meestal van LinkedIn of de Kamer van Koophandel. De aanvaller stuurt vanuit de directeur intern een e-mail naar de medewerker die verantwoordelijk is voor financiële transacties. In deze e-mail vraagt de directeur of de medewerker een openstaande rekening zo snel mogelijk kan betalen. De e-mail bevat vaak overtuigende taal om de medewerker te motiveren snel te handelen en niet te twijfelen aan de opdracht.
Transactie-kaping en uitlokking
Bij transactie-kaping en uitlokking mengt een aanvaller zich in een overnamedossier en neemt de communicatie over op een cruciaal moment, meestal wanneer bankrekeningnummers worden gedeeld. De aanvaller vervangt de legitieme ontvangende rekeningnummers door zijn eigen rekeningnummer, zodat hij het geld ontvangt.
Er zijn ook gevallen waarin de aanvaller de communicatie al eerder overneemt. In dit geval wordt het gehele overnamedossier door de aanvaller beheerd zonder dat de andere partij dit doorheeft. Bij deze vorm van fraude zijn er uiteindelijk twee slachtoffers: de partij die geld naar de aanvaller overmaakt, lijdt financiële schade, en de partij van waaruit de aanvaller de communicatie heeft laten verlopen, lijdt reputatieschade.
Hoe voorkom je CEO-fraude
CEO-fraude voorkomen is een uitdaging, maar niet onmogelijk. Duidelijke procedures en vertrouwen in je instinct blijken het meest effectief. Hier zijn enkele concrete organisatorische en technische maatregelen:
- Fysieke of telefonische verificatie: Zorg ervoor dat transactiegoedkeuringen niet alleen via e-mail verlopen, maar ook fysiek of telefonisch, om extra verificatie via gezichtsherkenning of stemherkenning mogelijk te maken.
- Naleving van procedures: Zorg ervoor dat procedures met betrekking tot transacties niet worden genegeerd, zelfs niet bij kleine bedragen.
- Vier-ogen-principe: Voer transacties alleen uit via het principe van vier ogen, waarbij elke transactie altijd door twee personen wordt gecontroleerd.
- Medewerkersbewustzijn: Maak medewerkers bewust van de kenmerken van CEO-fraude-e-mails, zoals de nadruk op gezagsverhouding, vertrouwelijkheid en druk om snel te handelen.
- Technische maatregelen: Stel twee-staps authenticatie in op alle communicatiekanalen binnen de organisatie om te voorkomen dat hackers toegang krijgen tot medewerkersaccounts.
- Reserveer spelfoutdomeinen: Overweeg om spelfoutdomeinen vooraf te reserveren om te voorkomen dat criminelen deze in handen krijgen.
CEO-fraude blijft een serieuze bedreiging, maar met de juiste procedures en bewustwording kunnen organisaties zich beter beschermen tegen deze vorm van oplichting.
Dit zijn natuurlijk maar een paar tips die je helpen bij het voorkomen van CEO-fraude. Wil je jezelf en je collega’s echt goed wapenen tegen CEO-fraude en andere Social Hack technieken?
Neem dan snel contact met ons op en vraag naar de mogelijkheden van onze Social Hack Training.
