Cybercriminaliteit via e-mail: wildgroei met grote schade

Nederlandse politie roept bedrijven op om aangifte te doen van cybercriminaliteit

| Barracuda Networks | 7 min | 21 mei 2021 15:04
Exclusief
Gewaardeerd
Copyright: Barracuda Networks
Onlangs zijn we er weer eens op gewezen hoe slim sommige cybercriminelen zijn en wat voor financiële schade zij kunnen veroorzaken. Online shoppinggigant bol.com bleek eind 2019/begin 2020 het slachtoffer te zijn geworden van een succesvolle ‘Business Email Compromise’ (BEC) aanval, waarbij maar liefst 750.000 euro is buitgemaakt. Aanvallers hadden zich toegang verschaft tot een mailbox van een medewerker van de boekhoudafdeling van Brabantia, een grote toeleverancier van bol.com. Vanuit die mailbox zijn vervolgens e-mails verzonden met facturen, waarbij werd vermeld dat er een nieuwe bankrekening (in Spanje) was voor inkomende betalingen. De administratie bij bol.com heeft – onlangs het feit dat deze e-mails waren opgesteld in gebrekkig Nederlands – de factuurbedragen netjes overgemaakt naar de opgegeven rekening. En daarmee hadden de criminelen de buit binnen. Pas toen Brabantia aan de bel trok waarom de facturen nog niet waren betaald, kwam deze fraude aan het licht.

Enorme financiële schade

Wereldwijd komt deze vorm van e-mailfraude steeds vaker voor. Uit onderzoek blijkt dat in 2020 ruim een op de tien (12%) van de spearphishingaanvallen zo’n BEC-aanval betrof. Een jaar eerder was dit nog 7%. Op het eerste gezicht lijken dit misschien lage aantallen, maar we moeten ons wel beseffen dat deze BEC-aanvallen – en de bekende ‘CEO-fraude’-variant – enorme financiële schade kunnen veroorzaken. Recent werd een geval bekend waarbij een Nederlandse financieel dienstverlener op deze manier ruim anderhalf miljoen euro verloor. In 2018 raakte bioscoopketen Pathé 19 miljoen euro kwijt via CEO-fraude. Maar dit valt in het niet bij de BEC-aanval op Toyota Boshoku Corporation in Japan in 2019, waarbij het bedrijf maar liefst ruim 37 miljoen dollar verloor.

Voorbereiding

Dit type cybercriminaliteit is dus zeer lucratief. Het loont zich voor de criminelen daarom om deze aanvallen uitgebreid voor te bereiden om zo de kans op succes te vergroten. We hebben het hier niet over de bekende grootschalige phishingcampagnes waarbij soms honderdduizenden e-mails worden verstuurd, in de hoop dat een van de ontvangers op een kwaadaardige link klikt of een bijlage met malware opent. Nee, hierbij gaan de criminelen heel doelgericht tewerk. Ze verschaffen zich eerst toegang tot een mailbox van een van de medewerkers van de organisatie. Dat kan bijvoorbeeld door gebruik te maken van de gegevens in een van de grote database-hacks van de afgelopen jaren, zoals van LinkedIn, Marriott of Yahoo. Daarbij zijn miljoenen gebruikersnamen en wachtwoorden buitgemaakt. Vervolgens kijken de criminelen simpelweg of die wachtwoorden misschien ook zijn gebruikt voor andere accounts, iets dat veel gebruikers helaas nog steeds doen. In een onderzoek door The Harris Poll gaf bijvoorbeeld niet minder dan twee derde (66%) van de respondenten aan dat ze hetzelfde wachtwoord gebruiken voor meerdere sites. Maar criminelen gebruiken ook andere methodes om logingegevens te bemachtigen. Bijvoorbeeld aparte spearphishingmails om ontvangers zover te krijgen dat ze hun logingegevens op een vervalste loginpagina invoeren, of zelfs telefoontjes van ‘de IT-afdeling’, waarin gevraagd wordt om deze gegevens.

Hebben criminelen eenmaal toegang tot zo’n mailbox, blijven ze vaak eerst lange tijd passief. Ze kijken alleen mee naar de e-mailconversaties, om er achter te komen met wie de eigenaar van de mailbox communiceert, om wat voor soort berichten het gaat, persoonlijke details, zakelijke informatie en bestanden met (openstaande) facturen, etc. Allemaal informatie die ze op zeker moment kunnen gebruiken om een daadwerkelijke BEC of CEO-fraude mail op te stellen, die dankzij de eerder verzamelde gegevens bedrieglijk echt lijkt. Dan vraagt bijvoorbeeld de ‘CEO’ of iemand anders van het hoger management om met spoed een bedrag over te maken naar een nieuwe businesspartner. Of – zoals in het geval van bol.com – er wordt een factuur met een verkeerde bankrekening gestuurd.

Ook Nederlandse bedrijven het slachtoffer

Hoewel dit soort aanvallen over het algemeen alleen in het nieuws komt als het gaat om een zeer groot bedrag of als het een bekende organisatie betreft, is het zeker dat ook Nederlandse bedrijven regelmatig het slachtoffer zijn van deze vorm van criminaliteit. De Nederlandse politie spant zich in om de criminelen achter deze aanvallen te achterhalen en – voor zover mogelijk – de buitgemaakte bedragen terug te geven aan de slachtoffers. Dit is niet eenvoudig. Het is bijvoorbeeld niet makkelijk om te achterhalen wie waarvandaan toegang heeft gehad tot een zakelijke mailbox. En zelfs als dat lukt, is dat vaak via allerlei digitale omwegen, zodat het spoor al snel doodloopt. Net zoals bij andere vormen van cybercriminaliteit, denken slachtoffers vaak dat het zinloos is om aangifte te doen van zo’n aanval. Ook omdat ze denken dat dit wellicht negatieve gevolgen kan hebben voor hun imago of de relatie met zakelijke partners.

Doe aangifte!

Toch is het heel belangrijk dat slachtoffers altijd aangifte doen van cybercriminaliteit, iets dat nog altijd te weinig gebeurt. De politie heeft sinds enkele jaren gespecialiseerde cybercrimeteams, die zich richten op het aanpakken van deze vormen van cybercriminaliteit. De verschillende cybercrimeteams hebben allemaal een eigen onderwerp waar ze zich op richten. Zo focust het cybercrimeteam Den Haag zich bijvoorbeeld op CEO-fraude en Business Email Compromise.

Maar om daarin successen te kunnen boeken, moet de politie ten eerste weten welke bedrijven het slachtoffer zijn geworden en vervolgens zo veel mogelijk informatie verzamelen over de gebruikte methodes, de bedragen waar het om gaat, de tijdsperiodes waarin de aanvallen plaatsvonden, de bankrekeningen waar de bedragen naar zijn overgemaakt, etc. Het is dus wel degelijk zinvol en heel belangrijk om aangifte te doen van cybercriminaliteit. Al is het alleen maar omdat met deze informatie misschien verdere slachtoffers voorkomen kunnen worden.

Aanhoudingen

Aangifte doen van cybercriminaliteit geeft wel degelijk zin en leidt steeds vaker uiteindelijk ook tot aanhoudingen. Zo heeft het cybercrimeteam Den Haag in september 2020 een man opgepakt die software maakte waarmee criminelen mensen via nagemaakte banksites geld afhandig wisten te maken. In mei zijn een 32-jarige man uit Velsen en een 27-jarige vrouw uit Diemen aangehouden op verdenking van witwassen en cybercrime. Zij deden zich voor als een goed doel en ontvingen zo ruim een miljoen euro, die eigenlijk bedoeld was voor een stichting. En in april van dit jaar werden maar liefst 24 zogenaamde ‘geldezels’ opgepakt voor internetoplichting en witwassen. Deze geldezels zijn weliswaar niet de daadwerkelijke criminelen achter een cyberaanval, maar ze zijn wel essentieel voor dit soort aanvallen, omdat zij hun rekening beschikbaar stellen voor het buitgemaakte geld en dat tegen een vergoeding overmaken of overhandigen naar de daadwerkelijke criminelen. Aangifte doen heeft dus wel degelijk zin. Het arresteren van deze mensen heeft enerzijds een afschrikwekkend effect. Het laat namelijk zien dat de politie hier absoluut serieus werk van maakt. Anderzijds geven deze geldezels soms nuttige informatie waarmee de politie, indien nodig in internationaal verband, probeert om de daadwerkelijke criminelen aan te houden.

Hoe kunnen organisaties zich beschermen tegen e-mailfraude?

Maar het is natuurlijk veel beter om te voorkomen om dat je het slachtoffer wordt van e-mailfraude en andere vormen van cybercriminaliteit. Moderne beveiligingsoplossingen blokkeren heel veel fraudemails en herkennen op basis van AI mails die op de een of andere manier afwijken van het gebruikelijke. Bijvoorbeeld wanneer een mail midden in de nacht is verzonden of wanneer iemand een mail stuurt aan een afdeling waar deze persoon normaal gesproken geen contact mee heeft. Toch hebben zelfs de beste technische oplossingen weinig zin als medewerkers zich niet bewust zijn van de risico’s of niet goed opletten. Daarom is het echt heel belangrijk om medewerkers goed te blijven voorlichten over BEC en CEO-fraude. Wat zijn belangrijke signalen om op te letten (bijvoorbeeld het slechte Nederlands in de mail aan bol.com)? Wat moeten medewerkers doen als ze twijfelen of een e-mail wel echt is? Wat doen ze als er het tijdens invoeren van online betalingen via de bank ineens een onbekende naam verschijnt na het invullen van een rekeningnummer? Wie moeten ze dan waarschuwen?

Stel ook duidelijke, vaste procedures op voor bijvoorbeeld het overmaken van grote bedragen of wijzigingen in betaalinformatie. In principe zouden grote bedragen – de grootte varieert per organisatie – nooit op basis van alleen een e-mail of een telefonische opdracht overgemaakt moeten worden. Er zou op zijn minst een controlestap moeten zijn, waarbij de ontvanger van de e-mail (of het telefoontje) actief checkt of de betaalopdracht klopt. Datzelfde geldt bij plotselinge wijzigingen van bankrekeningnummers. Daarbij moet erop gehamerd worden dat deze procedures altijd worden gevolgd, ook als er ‘haast’ bij is.

Meer weten over BEC en CEO-fraude, ransomware, hacking en hoe u zich daartegen kan beschermen? Volg dan ons online Cybercrime Seminar op donderdag 27 mei.

I.s.m. Gina Doekhie, Cybercrime Specialist, Nederlandse Politie

Auteur: Stefan van der Wal, Pre-sales consultant bij Barracuda Networks

Hoe vind je dit artikel?


Waardering: Uitstekend (2 ratings).

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Barracuda Networks

Barracuda streeft ernaar de wereld veiliger te maken. Het bedrijf is ervan overtuigd dat iedere organisatie toegang moet hebben tot securityoplossingen van enterpriseklasse, die geschikt zijn voor de cloud. Oplossingen die makkelijk aan te schaffen, uit te rollen en te gebruiken zijn. Barracuda beschermt e-mail, netwerken, data en toepassingen met innovatieve oplossingen die met de klant mee groeien en zich aanpassen aan de bedrijfsontwikkeling. Organisaties over de hele wereld vertrouwen op Barracuda voor bescherming – zodanig dat zij misschien niet eens weten dat ze een risico lopen – zodat zij zich volledig kunnen focussen op de verdere groei van het bedrijf.
Meer over Barracuda Networks

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191029224512.jpg
Het no-nonsense internetbureau
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030103431.png
Conference by app developers, for app developers!
20191030101402.jpg
De grootste Nederlandse site over Android
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191029200614.jpg
Drive value with data
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.