Cybercriminelen zijn voortdurend op zoek naar effectieve aanvalsmethoden. Hoewel cyberbewuste medewerkers de rode vlaggen kunnen herkennen bij simpele, beloningsbelovende e-mailscams, zal de meeste medewerker niet twijfelen aan een link die door hun baas wordt gestuurd. Vakaris Noreika, een cybersecurity-expert bij NordStellar, een platform voor dreigingsbeheer, legt uit hoe hackers het vertrouwen van medewerkers in hun collega's uitbuiten om bedrijfsnetwerken binnen te dringen en miljoenschade aan te richten.
'Business email compromise' is een geavanceerde vorm van social engineering die tot doel heeft slachtoffers te misleiden door vertrouwde personen – hun collega’s – na te bootsen. In tegenstelling tot traditionele phishing-scams zijn deze aanvallen zeer gericht en gepersonaliseerd, waarbij gebruik wordt gemaakt van uitgebreid onderzoek naar het bedrijf, de medewerkers en soms zelfs gesprekken binnen de organisatie.
Volgens het FBI Internet Crime Report was business email compromise de op één na duurste vorm van cybercriminaliteit wat betreft de geleden verliezen, met een bedrag van meer dan 2,7 miljard dollar. Dit is drie jaar op rij de titel geweest, en de gerapporteerde verliezen zijn niet onder de 2,7 miljard dollar uitgekomen.
Noreika legt uit dat business email compromise-aanvallen financieel verwoestend zijn omdat ze een directe toegang bieden tot het binnendringen van het netwerk van een bedrijf door medewerkers te targeten.
“Vanuit technisch oogpunt is business email compromise een zeer effectieve aanval omdat er geen malware voor nodig is, waardoor ze gemakkelijker te implementeren zijn en ze onopgemerkt kunnen blijven door standaard cybersecuritytools”, zegt Noreika. “Het is een meer geavanceerde versie van gewone phishing-scams. De reden voor hun efficiëntie ligt echter bij het doelwit – één gecompromitteerde account is voldoende voor cybercriminelen om toegang te krijgen tot interne netwerken of meer informatie te verzamelen en toe te slaan wanneer de kans zich voordoet.”
Hoe werkt het?
Volgens Noreika voeren cybercriminelen business email compromise-aanvallen doorgaans uit met behulp van online beschikbare gegevens. Ze onderzoeken het bedrijf, de afdelingen en de medewerkers met behulp van platformen zoals LinkedIn. Daarna creëren ze look-alike domeinen om collega's of leidinggevende personen binnen het bedrijf, zoals managers, na te bootsen en ze stellen overtuigende e-mails op waarin ze om inloggegevens, gevoelige gegevens of overschrijvingen vragen.
“Aanvallen die gebruikmaken van online beschikbare gegevens zijn gebruikelijker en lijken op simpele social engineering-scams. Omdat ze echter bedrijven – en niet individuen – targeten, dragen ze meestal het potentieel van grotere financiële winst met zich mee voor cybercriminelen. Zelfs zonder toegang te krijgen tot het netwerk, kunnen hackers medewerkers ertoe brengen om bedrijfsgelden over te maken naar hun gecontroleerde rekeningen, in handen krijgen van vertrouwelijke gegevens die ze aan concurrenten kunnen verkopen of op het dark web kunnen publiceren, of gevoelige persoonlijke informatie over medewerkers of klanten verzamelen, wat kan leiden tot een datalek”, zegt Noreika.
Hij legt uit dat cybercriminelen in meer geavanceerde gevallen het dark web gebruiken om te zoeken naar eerder gelekte inloggegevens van medewerkers en deze gebruiken om toegang te krijgen tot zakelijke accounts. Zodra ze toegang hebben, monitoren ze dagelijkse gesprekken, verzamelen ze meer context en wachten ze op het juiste moment om toe te slaan – wanneer de inzet hoog is of het slachtoffer eerder geneigd is ten prooi te vallen aan hun oplichting.
“Als ze erin slagen een account te infiltreren om inlichtingen te verzamelen, kunnen hackers wachten op de perfecte gelegenheid om een overschrijving aan te vragen door een leverancier na te bootsen of de salarisbetalingen van medewerkers om te leiden. Business email compromises zijn echter vaak een toegangspoort tot het uitvoeren van schadelijkere aanvallen”, legt Noreika uit. “Zodra ze zich in het netwerk bevinden, kunnen cybercriminelen een ransomware-aanval faciliteren, malware verspreiden naar medewerkers, klanten en partners, en supply chain-aanvallen uitvoeren.”
Preventie en verdediging
Noreika benadrukt dat de eerste stap die bedrijven moeten nemen om zich te beschermen tegen business email compromise-aanvallen is het opbouwen van een alomvattende beveiligingsstrategie en het vergroten van het cyberbewustzijn van medewerkers.
“Zelfs de meest cyberbewuste gebruiker kan het slachtoffer worden van business email compromise-aanvallen omdat ze profiteren van de extra vertrouwenslaag die komt met het nadoen van een gezagsfiguur binnen de organisatie. Daarom moeten bedrijven hun medewerkers voorlichten over dit specifieke type aanval – wat verdachte activiteit inhoudt en hoe ze een beter-safe-than-sorry-aanpak kunnen hanteren. Het versterken van beleid en procedures die schriftelijke documentatie en dubbele goedkeuring vereisen bij gevoelige gegevens of overschrijvingen helpt ook om de kans te verkleinen dat medewerkers ten prooi vallen aan oplichting.”
Noreika adviseert bedrijven het dark web te monitoren op mogelijke datalekken van medewerkersgegevens om te voorkomen dat cybercriminelen het netwerk binnendringen met gelekte of gestolen inloggegevens. Hij legt uit dat een proactieve aanpak bedrijven in staat stelt een vroeuwe waarschuwing te ontvangen en snellere mitigerende maatregelen te implementeren.
“Hoe sneller beveiligingsteams een cyberbeveiligingsincident kunnen opsporen, hoe minder schade het kan aanrichten. Zodra de organisatie op de hoogte is van gelekte inloggegevens die aan haar medewerkers zijn gekoppeld, kan ze passende maatregelen nemen, zoals het voorbereiden op een mogelijke datalek en de betrokken gebruikers waarschuwen om alert te blijven”, zegt Noreika.
Als de inloggegevens van medewerkers zijn gecompromitteerd en op het dark web zijn gepubliceerd, adviseert Noreika bedrijven de betrokken gebruikers te monitoren op verdachte activiteiten, zoals ongebruikelijke inlogpogingen. Het afdwingen van multi-factor authenticatie en het resetten van de wachtwoorden van gecompromitteerde gebruikers kunnen ook voorkomen dat hackers het netwerk binnendringen.