Weinig cybergevaren trekken zoveel aandacht bij professionals als Business Email Compromise (BEC). BEC is het duurste cybersecurity-probleem. Het stond centraal tijdens de Gartner Security Summit. Hier werd het als een van de grootste bedreigingen voor organisaties over de hele wereld bestempeld. Bovendien is het ongetwijfeld een globaal probleem. We kennen immers aanvallen in 150 landen.
Wat de opkomst van BEC zo verontrustend maakt, is niet per se de toenemende verspreiding ervan. Hoewel het aantal aanvallen steeg in het afgelopen jaar met 297% is vooral het hoge succespercentage verontrustend. Alleen al tussen december 2016 en mei 2018 is de vastgestelde schade met 136% gestegen. BEC is dermate schadelijk voor organisaties dat de FBI maatregelen heeft genomen om de omvang van het probleem breed onder de aandacht te brengen. Afgelopen september maakte de FBI een openbare aankondiging waarin hij waarschuwde voor BEC. Men schatte dat deze vorm van cybercrime bedrijven wereldwijd sinds 2016 ongeveer 23,5 miljard euro kostte. Gezien de schaal van het probleem blijft het verontrustend dat organisaties nog steeds moeite hebben om zich ertegen te verdedigen.
De anatomie van een BEC-aanval
Om het succes van BEC te begrijpen, moeten we eerst de mechanismen van een dergelijke aanval begrijpen. BEC vindt plaats wanneer een aanvaller zich voordoet als een vertrouwd individu binnen een organisatie om geld door te sluizen of toegang te krijgen tot vertrouwelijke gegevens. Dit gebeurt ofwel door de website van een bedrijf te spoofen (oftewel nabootsen) of door toegang te bemachtigen tot een legitiem e-mailaccount.
BEC-aanvallen zijn meestal gericht op specifieke besluitvormers of mensen met beslissingsbevoegdheid. Iedereen die bevoegd is om financiële transacties uit te voeren in het kader van de normale bedrijfsvoering is een potentieel doelwit.
Vier fases
Een geavanceerde BEC-aanval bestaat meestal uit vier fasen:
- Het onderzoek. In tegenstelling tot grootschalige, algemene aanvallen, nemen BEC-aanvallers meestal de tijd om specifieke personen binnen een organisatie te identificeren. Er wordt informatie uit verschillende bronnen verzameld om geloofwaardige communicatie tot stand te brengen zodra het account is gecompromitteerd.
- Het fundament. BEC-aanvallers proberen vaak relaties op te bouwen met financiële besluitvormers. Deze interactie vindt meestal plaats via gespoofde of gecompromitteerde e-mailaccounts en kan dagen, weken of zelfs maanden duren om vertrouwen op te bouwen.
- De val. Zodra de aanvaller een of meerdere accounts heeft gecompromitteerd en er zeker van is dat het slachtoffer hem of haar gelooft, vindt de aanval plaats. Meestal wordt het doelwit gevraagd om geld over te maken of om de betalingsgegevens van een bestaande, nog niet voltooide betaling te wijzigen.
- De fraude. In de veronderstelling dat het verzoek oprecht is, stuurt het slachtoffer geld naar de rekening van de fraudeur. Dit wordt meestal snel doorgesluisd, waardoor het moeilijk is om het geld terug te krijgen als de fraude eenmaal is ontdekt.
Lastige verdediging
Omdat oplichting vaak het karakter heeft van een alledaags verzoek, zoals het wijzigen van betalingsgegevens, en schijnbaar afkomstig is van legitieme bronnen, is het zeer moeilijk voor bedrijven om zich ertegen te verdedigen. Bovendien maakt BEC, in tegenstelling tot andere populaire cyberaanvallen, geen gebruik van een payload. Er is geen phishing-link of bijlage vol met malware – niets dat de alarmbellen doet rinkelen.
De aanvallen zijn daarnaast gericht op mensen, niet op netwerken. Ze spelen in op de menselijke psychologie. Laaggeplaatste medewerkers, die meestal het doelwit zijn van frauduleuze verzoeken, zijn minder geneigd om de autoriteit van de CEO, CFO of dergelijke in twijfel te trekken. BEC-aanvallers maken gebruik van dit natuurlijke menselijke instinct om leidinggevenden te vertrouwen.
Tot slot. Als er eenmaal een account is gecompromitteerd, bevindt een aanvaller zich binnen de verdedigingslinie van je organisatie. Zonder onbetrouwbare bijlagen of valse links die een waarschuwing afgeven, kunnen frauduleuze verzoeken zelfs door de meest robuuste e-mail-beveiliging heen in de inbox van een onbewust slachtoffer terechtkomen.
De vraag van 23,5 miljard euro – hoe kunnen we ons verdedigen tegen BEC?
BEC is een aanval op een menselijk doelwit. Het vereist daarom een menselijke verdediging. De enige manier om zo’n aanval succesvol af te weren is ervoor te zorgen dat iedereen in je organisatie precies weet hoe je hem kunt herkennen. Dit is natuurlijk niet altijd gemakkelijk. De eerste stap is om medewerkers te trainen om veranderingen in het gedrag van leveranciers, CxO’s, HR, boekhoudkundige afdelingen e.d. te signaleren. Ongewone verzoeken of wijzigingen moeten zorgvuldig worden gecontroleerd.
Alle medewerkers op ieder niveau moeten ook de basisprincipes van veiligheid toepassen. Zo moeten ze sterke, unieke wachtwoorden gebruiken voor al hun accounts. En niet alleen de werkgerelateerde accounts. Daarnaast moeten ze waar mogelijk gebruik kunnen maken van twee-factor-authenticatie. Helaas is het door de kenmerken van BEC-aanvallen onwaarschijnlijk dat alle trainings- en beschermingsmaatregelen 100 procent van de pogingen zullen tegenhouden. Het blijft een feit dat zelfs met dit soort verdedigingen veel BEC-aanvallen door het net blijven glippen. Een effectieve aanval is namelijk vaak niet te onderscheiden van een oprechte e-mail.
Extra stap
Er is echter een eenvoudige extra stap die er voor kan zorgen dat een succesvolle poging geen succesvolle aanval wordt. Het enige wat nodig is, is een verandering in het organisatiebeleid. Alle organisaties moeten overwegen om een controlesysteem in te voeren voor bepaalde verzoeken. Denk aan wijzigingen in de betalingsgegevens, of verzoeken voor betalingen. Wanneer er financiële gevolgen verbonden zijn aan een handeling, moet deze niet via e-mail worden uitgevoerd. Dit soort verzoeken moet onafhankelijk van het e-mailsysteem van je bedrijf worden gecontroleerd. En wel via een bekend en vertrouwd telefoonnummer. Deze eenvoudige stap kan weken tot maanden hard werken van een aanvaller ongedaan maken. En je geld uit hun handen houden.
Uiteindelijk werkt BEC omdat het onopvallend en pretentieloos is. Met moet medewerkers moeten trainen om alert te zijn bij alle vormen van e-mailcommunicatie in plaats van te zoeken naar onomstotelijk bewijs van een aanval. Extra verificatie kan leiden tot een paar extra minuten van ongemak bij het uitvoeren van een verzoek, maar het is niets vergeleken met de gevolgen van een succesvolle BEC-aanval.
Jim Cox, Area Vice President Benelux Proofpoint
