CEO-mails: een gewaarschuwde organisatie telt voor twee

Al is uw ICT-infrastructuur en -security nog zo goed op orde, sommige dingen zijn daarmee eenvoudigweg niet op te lossen. CEO-fraude door middel van valse e-mails is daar een goed voorbeeld van. Het herkennen hiervan blijft altijd mensenwerk, dus bewustwording binnen uw bedrijf is hierbij van het grootste belang. U heeft immers vast wel gelezen over bioscoopketen Pathé, die door valse e-mails maar liefst 19 miljoen euro heeft verloren. Wij leggen u graag uit wat CEO-mails zijn, hoe u ze herkent en hoe u voorkomt dat u hier schade door ondervindt.

Wat is dat eigenlijk, CEO-fraude?

E-mails die gestuurd worden naar een medewerker met financiële bevoegdheid en die afkomstig lijken van de CEO of CFO van het bedrijf, noemen we CEO-mails. De strekking van de mail is vrijwel altijd ‘maak met spoed een groot bedrag over naar een buitenlandse rekening en houd deze belangrijke overboeking geheim’. Deze techniek werkt het beste wanneer het bedrijf echt een buitenlandse vestiging heeft en de afstand tussen de directeur en de medewerker groot is door de grootte van het bedrijf.
Om de mail echter te laten lijken, staat er soms een telefoonnummer vermeld van een zogenaamd advocatenkantoor. De medewerker kan dit kantoor bellen om de geldigheid van de transactie te checken. Alleen is dit nummer van een criminele handlanger.
Soms wordt de CEO-mail niet uit naam van de directeur verstuurd, maar uit naam van de IT-leverancier of een andere leverancier. De boodschap is in dat geval dat er een ‘nieuw bankrekeningnummer’ is waar de overboekingen naartoe moeten of dat het systeem om geld over te boeken ‘getest’ moet worden. Al deze varianten samen noemen we ‘spoofing’: je via e-mail voordoen als iemand anders.

Social engineering

CEO-mails zijn een typisch voorbeeld van de hackersmethode ‘social engineering’. Dit is een hackerstechniek die de zwakste schakel op beveiligingsgebied kraakt: de mens. In dit geval wordt een medewerker door middel van angst aangezet tot het overboeken van geld. Hij of zij zou immers niet zomaar durven ingaan tegen de wens van een directeur. Ook tijdsdruk wordt door de criminelen ingezet om slachtoffers eerder te laten betalen.

Hoezo kan iemand mail versturen vanuit mijn adres?

Door de afzendernaam en het afzenderadres aan te passen in de code van een e-mail, lijkt het net alsof de mail verstuurd is door iemand anders. Zo simpel kan dat dus. In 2017 bleek dat zelfs de e-mailsystemen van de Tweede Kamer zich lieten misleiden. Hierdoor konden buitenstaanders zich voordoen als Kamerleden. Normaal gesproken checkt het e-mailsysteem eerst of de afzender wel echt degene is die hij zegt te zijn. Dat gebeurde in dit geval niet.Vanuit de overheid wordt er al sinds 2015 gestuurd op beveiliging tegen spoofing en phishing (ontvangers laten klikken op foute links in e-mails). Het factsheet ‘Bescherm domeinnamen tegen phishing’ van het Nationaal Cyber Security Centrum vindt u hier: https://www.ncsc.nl/actueel/factsheets/factsheet-bescherm-domeinnamen-tegen-phishing.html

Hoe herkent u CEO-fraude?

Vaak wordt er in een CEO-mail gezegd dat de betaalopdracht geheim moet blijven, dus dat zou al een belletje moeten doen rinkelen. Ook wordt de overboeking als een bevel gegeven door de ‘valse CEO’, die de druk opvoert door te eisen dat het geld heel snel moet worden overgemaakt.
Dit is waar het mis ging bij Pathé. De medewerker in kwestie herkende niet snel genoeg dat de mails niet echt afkomstig waren van de CEO. Daardoor werd er zo veel geld buitgemaakt door de criminelen.

Is CEO-fraude ook te voorkomen?

Een hacker van enig niveau kan altijd een mail versturen met de CEO als afzender, als hij weet wat de naam en het e-mailadres is. Dan is het aan de ontvanger om alert te zijn en niet zomaar in de val te trappen.
U kunt schade voorkomen door duidelijke afspraken te maken met medewerkers die financiële verantwoordelijkheid hebben. Bijvoorbeeld dat e-mails met vragen over overboekingen altijd telefonisch bevestigd moeten worden.
Dat soort afspraken legt u vast in een informatiebeveiligingsbeleid op basis van ISO 27001. Daarin staan alle processen benoemd die uw organisatie doorloopt als het op beveiliging van informatie doorloopt. Ook de processen die niet direct te maken hebben met ICT. Want met een firewall of antivirusprogramma houdt u deze mails niet tegen. Met bewustwording, training van medewerkers en goede processen wel.
Nog een belangrijk pluspunt: als u kiest voor een certificering op basis van ISO 27001, heeft u in aanbestedingen een streepje voor. Veel opdrachtgevers stellen namelijk als eis dat u voldoet aan deze norm. Ook de Baseline Informatiebeveiliging Rijksdienst is bijvoorbeeld gebaseerd op ISO 27001.

“Een hacker van enig niveau kan altijd een mail versturen met de CEO als afzender.”

Wat moet u doen als u slachtoffer bent geworden?

Aangifte doen bij de politie is belangrijk wanneer uw organisatie slachtoffer is geworden van CEO-fraude. Wellicht kunnen de daders nog opgespoord worden.

Daarnaast kunnen banken misschien nog iets voor u betekenen na een dergelijke overboeking. Bijvoorbeeld omdat ze mogelijk een betaling kunnen bevriezen of omdat ze de identiteit van de daders kunnen achterhalen via de bankgegevens. Doe ook een melding bij de Fraudehelpdesk.

Tot slot: deel uw ervaringen binnen het bedrijf en met andere bedrijven, zodat er meer bewustwording komt. Het is misschien pijnlijk om toe te geven dat het fout is gegaan, maar uw voorbeeld kan anderen helpen om niet dezelfde fout te maken.

Meer weten? Vraag uw ICT-partner om maatwerkadvies

Onze tip voor uw bedrijf als het gaat om het voorkomen van CEO-mails: laat OBI Automatisering u ondersteunen met maatwerk en advies. Wij helpen u bij het voldoen aan de ISO 27001 norm, waardoor u een grote slag slaat op het gebied van informatiebeveiliging.

Heeft u nog vragen naar aanleiding van dit artikel? Neem dan gerust contact op met OBI via ons terugbelformulier of bel naar telefoonnummer 088-9008100. OBI, Hét ICT Team staat graag voor u klaar.