CEO-fraude is een algemene benaming voor een groeiende vorm van cybercriminaliteit waarbij er gebruik wordt gemaakt van een nep-email die zogenaamd door een hoge functionaris (directeur of eigenaar) van het eigen bedrijf is gestuurd. Er wordt dan misbruik gemaakt van de zogenaamde “druk” die er achter de opdracht zit. De email adressen of de domeinnamen die worden gebruikt lijken dan erg veel op de echte.
Spoed
De oplichters doen zich bijvoorbeeld voor als de (financieel) directeur of andere bestuurder van het bedrijf en sturen een e-mail naar een medewerker van de financiële administratie dat er met spoed een geldbedrag overgemaakt moet worden.
Spoofing
Om slachtoffers te misleiden worden verschillende tactieken gebruikt. Ze maken bijvoorbeeld gebruik van “spoofing” technieken waarbij de “From” en “To” informatie van een email kan worden veranderd. De email lijkt dan van de directeur te komen maar in werkelijkheid is hij door een oplichter gestuurd. Ook worden er soms domeinnamen geregistreerd die erg veel op de domeinnaam van het bedrijf lijken. Je kunt bijvoorbeeld een letter i vervangen door een “l” (de L van Lodewijk). W.JANSEN@BEDRIJFSNAAM.NL wordt dan W.JANSEN@BEDRlJFSNAAM.NL). Deze vorm van oplichting komt in alle branches voor, in zowel grote als kleinere organisaties.
Het begint met phishing
In veruit de meeste gevallen worden dergelijke praktijken geïnitieerd door een of andere vorm van social engineering om gegevens over de organisatie te verkrijgen. Denk hierbij met name aan de verschillende vormen van phishing (Bijv. Phishing, Spear-phishing, Whaling).
Alleen Financiële Afdeling?
Niets is minder waar. Naast de financiële afdeling zijn ook andere afdelingen kwetsbaar. HR (personeelszaken) fungeert soms voor hackers als een snelweg de organisatie in. HR heeft immers toegang tot informatie over alle medewerkers in de organisatie en zijn verantwoordelijk voor de recruitment. Ze openen CV’s van honderden sollicitanten. Cybercriminelen kunnen eenvoudigweg hun malware met de CV meesturen om hun zoektocht naar bedrijfsinformatie te beginnen. Ook sturen slachtoffers van bedrijven naar aanleiding van valse emails van de belastingdienst gevoelige persoonsgegevens op zoals BSN-nummers, email-adressen, etc.
Doelgroep
Alle leden van het management (incl. de directiesecretaresses) van een organisatie zijn een interessante doelgroep voor hackers. Ze hebben immers toegang tot interessante informatie.
ICT
IT-personeel heeft vaak direct toegang tot de verste “uithoeken” van het bedrijfsnetwerk, de toegangscontrole en het password-management. De inloggegevens van deze medewerkers geven toegang tot kritische systemen, servers en gegevens.
Verlaag Risico’s
- Doe een risico-inventarisatie en stel een actieplan op voor verbetering.
- Identificeer de gebruikers met hoog risico (HR, Directie, IT-managers, Financieel/Accountmanagers)
- Maak mensen bewust van de dreigingen en risico’s. (Bijv. door informatieve presentaties)
- Implementeer de juiste technische maatregelen (Bijv. E-mail filtering, 2-factor authenticatie, etc.)
- Stel de juiste procedures in om de security en privacy te waarborgen.
- Zorg voor een goed beleid voor afwijkende procedures (zoals spoedbetalingen).
- Zorg voor een goed cyber incident response plan (wat te doen na een cyber-aanval)
- Train de medewerkers hoe ze een phishing e-mail kunnen herkennen
RI&E
Sebyde en Sebyde Academy helpen u graag bij het verlagen van uw risico’s. Met onze RI&E-programma’s voorzien we u van het juiste advies en ondersteunen u bij het beschermen van uw bedrijfsgegevens en het waarborgen van de privacy-compliance.
Contact
Neem gerust contact met ons op via 085-2733376 of via e-mail: info@sebyde.nl