CEO Fraude: laat je niet belazeren!

CEO fraude; de schrik van iedere CEO, ook van mij om eerlijk te zijn. Derden proberen immers geld van je te stelen en in security is de mens nu eenmaal altijd de zwakste schakel. Tijd voor mijn visie hierop en de juiste maatregelen op technisch vlak, betere processen en awareness (kennisontwikkeling)!

De technische mogelijkheden nemen toe. Je kunt vandaag de dag je gehele Office 365 omgeving in de cloud gebruiken en dus ook via het web inloggen. Deze nieuwe mogelijkheden blijven niet onopgemerkt voor criminelen.

CEO fraude wordt steeds geavanceerder

Waar de CEO fraude zich voorheen beperkte tot (vooral) e-mails waarin de naam van de CEO ‘genept’ werd weergegeven (als je goed naar het e-mailadres zelf keek zag je dat het een ander e-mailadres betrof dan van de werkelijke CEO), wordt deze fraude steeds geavanceerder. Via een tussenstap gaan de criminelen eerst achter jouw inloggegevens aan.

Met fishing e-mails vinden de criminelen nu ook manieren om Office 365 wachtwoorden te achterhalen en zo ‘in te breken’ in het Office 365 account van de CEO. Hiermee kunnen de criminelen dus ‘echte’ e-mails versturen vanuit het account van de CEO.

Hoe werkt dat dan?

Stap 1: De crimineel stuurt een fishing e-mail aan de CEO met daarin een nepmelding die de CEO vraagt om zijn account op Microsoft Office 365 te verifiëren. Na het klikken wordt hij of zij naar een valse website gestuurd waarop een kopie van het default Office 365 inlogscherm te zien is. Hier wordt de user gevraagd zijn username en password op te geven. Omdat deze pagina niet van echt te onderscheiden is trappen mensen hier veel sneller in.

Stap 2: Vervolgens hebben de criminelen ‘vrij spel’ met de inloggegevens van de CEO en kunnen ze ‘aan de slag’ via de web interface van Office 365.

Nu komt “The scary part”

Nu wordt het echt griezelig, immers wanneer de CFO een ‘echte’ e-mail van de CEO ontvangt met, bijvoorbeeld, de opdracht per omgaande 10.000 euro over te boeken naar een externe bankrekening i.v.m. een betaling waarvan de factuur nog volgt (of iets dergelijks aannemelijks). De kans dat dit ook daadwerkelijk plaats gaat vinden is vele malen groter dan bij een e-mail welke relatief eenvoudig als nep te onderscheiden is. Soms bellen de criminelen er ook nog achteraan en proberen dan druk uit te oefenen om de betalingen er doorheen te krijgen zogenaamd namens de CEO.

Oh ja ook nog PLUS een kleine bonus ……Voor het geval het de criminelen niet mocht lukken geld overgemaakt te krijgen zijn ze alsnog in jouw mailbox waar de meeste mensen (dus ook CEO’s) nog wel het een en ander aan wachtwoorden bewaren…

Voorkomen is beter dan genezen!

Geld wat weg is komt niet meer terug. Dus hoe voorkomen we het? Hieronder enkele voorbeelden van maatregelen welke je zou kunnen (en wat mij betreft moeten) nemen.

  1. Je kunt door de beheerder de Office 365 inlogpagina laten voorzien van het bedrijfslogo wat de herkenbaarheid voor gebruikers vergroot. Criminelen die het standaard inlogscherm van Office 365 gebruiken vallen zo sneller op.
  2. Zet natuurlijk ook altijd een wachtwoord op je smartphone, tablet, pc etc liefst ook met fingerprintscan. Lock ook altijd je apparaten / beeldscherm als je niet bij jouw laptop, tablet, pc, etc bent.
  3. Pas ook op met tablets, smartphones en andere pc’s waar je e-mail op synchroniseert. Onlangs bleek dat ik ook mijn mail op mijn ipad ingesteld had die ik thuis nog ergens had liggen
  4. Gebruik een veilige wachtwoordkluis. Er zijn vele apps welke je hiervoor kunt gebruiken. Nogmaals kies wel een veilige!
  5. Je kunt door de beheerder van Office 365 de zogenaamde ‘2-weg authenticatie’ in laten schakelen per gebruiker. Ik heb dat voor mijzelf in ieder geval laten doen. Microsoft heeft hier een gratis service voor waarbij de gebruiker iedere inlogpoging op zijn of haar mobiele telefoon dient te bevestigen alvorens je toegang krijgt in je Office 365 omgeving. Ook al stelen ze jouw wachtwoord dan komen ze er zonder verificatie op jouw telefoon niet in.
  6. Bouw standaard in de processen rondom betalingen double checks in zodat bijvoorbeeld altijd een telefonische confirmatie dient plaats te vinden wanneer er (eenmalig en /of grotere) geldbedragen overgeboekt moeten worden. Uitzonderingen op betalingen zoveel mogelijk voorkomen en het misschien wel omslachtig maken om ze er toch door te krijgen.
  7. Zorg voor goede training van jezelf en jouw medewerkers (ja dus ook directie!) op dit vlak. Hiermee herken je veel eerder en sneller verdachte situaties. Lijkt een open deur intrappen maar dit wordt echt nog steeds schromelijk onderschat! Bij voorkeur blijven herhalen want het gaat om gedrag en gedragsverandering dat red je niet met 1 training.

In deze blog heb ik mijn persoonlijke ervaring als CEO met dit onderwerp gedeeld. Overal waar je CEO hebt gelezen kun je uiteraard ook de naam van een andere stakeholder invullen met betalingsbevoegdheden.

Bastiaan Janssen

Ik ben geen security expert en ben benieuwd naar jouw ervaringen hiermee.
Bastiaan Janssen – CEO Vijfhart Groep.

Onderwerpen
Actieve filters: Wis alle filters
Pageloader
PRIVACY VOORWAARDEN

Jouw persoonsgegevens worden opgenomen in onze beschermde database en worden niet aan derden verstrekt. Je stemt hiermee in dat wij jou van onze aanbiedingen op de hoogte houden. In al onze correspondentie zit een afmeldmogelijkheid