E-mailfraude wordt de duurste vorm van cybercriminaliteit. Er is sprake van e-mailfraude wanneer cybercriminelen extreem goed ontworpen en doelgerichte e-mails sturen naar specifieke mensen binnen een organisatie. Zij vragen dan om geld over te maken of om belangrijke informatie te verstrekken. Het meest verontrustende is dat deze e-mails bijna niet van een legitiem verzoek te onderscheiden zijn. Dit komt doordat cybercriminelen de identiteit van een vertrouwd persoon vervalsen om nietsvermoedende slachtoffers te misleiden.
Complexe aanvallen
Elke sector wordt aangevallen, de zorgsector niet uitgezonderd. Recent onderzoek heeft aangetoond dat zorginstellingen in het eerste kwartaal van 2019 het doelwit waren van gemiddeld 43 valse e-mails. Dit is een stijging van 300 procent ten opzichte van het begin van 2018. Criminelen ontwikkelen geavanceerde, complexe aanvallen om belangrijke mensen in de hele zorgsector beter te kunnen bereiken en zo de gebruikelijke controles te omzeilen.
Zorginstellingen zijn vaak complex, gedecentraliseerd en beschikken over zeer gevoelige informatie. Dit maakt ze een aantrekkelijk doelwit voor cybercriminelen. De zorginstellingen staan dan ook voor de groeiende uitdaging om personeel, patiënten en stakeholders te beschermen tegen een continu veranderend dreigingslandschap. Hoewel malware en andere cyberaanvallen alle sectoren treffen, is e-mailfraude in het bijzonder schadelijk voor de gezondheidszorg. Cybercriminelen richten zich immers op het meest kwetsbare deel van de bevolking en op de mensen die zich inzetten om hen te helpen. Maar hoe ernstig is het probleem?
Het probleem beoordelen
Steeds vaker gebruiken cybercriminelen social engineering om hun slachtoffers te misleiden. Ze nemen simpelweg de identiteit van een vertrouwde organisatie of werknemer aan en creëren doordachte, geavanceerde phishing-e-mails. Daarbij doen ze een verzoek om geld over te maken of proberen ze inloggegevens te verzamelen.
Identiteitsfraude is de sleutel tot e-mailfraude. Bij een gemiddelde oplichtingsaanval doen cybercriminelen zich voor als vijftien medewerkers en versturen meerdere berichten uit hun naam. Dit blijkt uit onze recente analyse van cybercriminaliteit met betrekking tot zorginstellingen over de hele wereld in het eerste kwartaal van 2019.
Meest voorkomende e-mailaanval
Het is geen verrassing dat betalingsfraude de meest voorkomende soort e-mailaanval in de gezondheidszorg is. Recent onderzoek toont aan dat cybercriminelen vooral gebruikmaakten van onderwerpregels met daarin “betaling”, “verzoek” en “urgent” om zorginstellingen te misleiden.
Cybercriminelen kiezen ook zorgvuldig het juiste moment. Ze verzenden de meeste e-mailaanvallen in de gezondheidszorg op werkdagen tussen 7.00 en 13.00 uur. Deze zijn zo ontworpen dat zoveel mogelijk slachtoffers ze binnen die periode ziet. Dit is logisch omdat een externe zakelijke leverancier bijvoorbeeld minder vaak vraagt om het bijwerken van de betalingsgegevens na kantooruren of in het weekend.
Mensgerichte oplossingen om e-mailfraude in de zorgsector te voorkomen
Tactieken voor e-mailfraude veranderen voortdurend, maar er is één constante: cybercriminelen blijven zich concentreren op de menselijke factor. Hierbij richten ze zich op medewerkers op alle niveaus binnen organisaties. Zorginstellingen moeten hun aanpak van cybersecurity dus heroverwegen.
Met een mensgerichte benadering van cybersecurity kunnen zorginstellingen het menselijke risico op e-mailfraude tot een minimum beperken. Daarnaast helpt het hun medewerkers en gehele zakelijke ecosysteem beter te beschermen. Dit betekent dat je moet weten wie er binnen je organisatie risico loopt en dat je je strategie moet afstemmen op elk individu.
Het huidige dreigingslandschap vereist een gelaagde verdedigingsstrategie. Een strategie die mensen, processen en technologie als gelijkwaardige componenten meeneemt.
De weerbaarheid van werknemers vergroten via training en bewustwordingsprogramma’s is cruciaal. Zonder die weerbaarheid is er altijd wel iemand die ergens op klikt! Training en programma’s voor bewustwording worden al jaren ingezet om werknemers te leren waakzaam te zijn. En om als laatste verdedigingslinie op te treden tegen aanvallen op de organisatie. Gesimuleerde phishing-aanvallen en trainingen in spelvorm helpen medewerkers om twee keer na te denken en actief deel te nemen aan de bestrijding van cybercriminaliteit, in plaats van dat ze het zoveelste slachtoffer worden.
Ondernemingen moeten tegelijkertijd wel prioriteiten stellen als het aankomt op de versterking van de bedrijfsprocessen. Sommige bedrijfsprocessen, zoals geld overmaken, zijn voor alle bedrijven enorm belangrijk en risicovol. Andere processen, zoals ontwerp en productie, zijn bedrijfsspecifiek. Het belangrijkste is echter dat processen die afhankelijk zijn van mensen kwetsbaarder zijn omdat mensen gevoelig zijn voor social engineering.
Entiteiten verifiëren
Aanvallen op technische processen zijn misschien schadelijker, maar kunnen alleen worden bereikt met een hogere mate van technische kennis. Bedrijven moeten ervoor zorgen dat ze in staat zijn entiteiten, mensen en apparaten die een bijdrage leveren aan de bedrijfsprocessen te verifiëren.
Als er acties en beslissingen worden genomen in opdracht van een entiteit waarvan de identiteit is vervalst, kan een bedrijfsproces gemakkelijk worden gesaboteerd. Bedrijven moeten ervoor zorgen dat entiteiten die bij het proces betrokken zijn, worden geauthenticeerd voordat hun bijdrage aan het proces wordt vertrouwd.
Tot slot moeten zorginstellingen een gelaagde beveiligingsstrategie implementeren om de mogelijkheden voor cybercriminelen te beperken. Technologie zoals DMARC (Domain Message Authentication Reporting and Conformance) kan worden gebruikt om cybercriminelen tegen te houden die zich voordoen als personen binnen organisaties. Het voorkomt dat criminelen de domeinnamen van bedrijven vervalsen en namens hen e-mails sturen naar nietsvermoedende mensen.
Daarnaast moeten organisaties dynamische e-mailanalyses overwegen om het spoofen van namen bij de gateway te blokkeren. Ze moeten zoeken naar identieke domeinen die derden recentelijk registreerden. En naar Data Loss Prevention (DLP) en encryptie om hun bedrijfskritische bedrijfsmiddelen te beschermen.
Jim Cox, Area Vice President Benelux Proofpoint
