• Hackers gebruiken zogenaamde ‘BEC-aanvallen’ steeds vaker om nietsvermoedende bedrijven geld afhandig te maken.
  • Hackers doen zich voor als een medewerker binnen het bedrijf door hun e-mailaccount over te nemen. Hiermee vragen ze andere medewerkers betalingen te doen.
  • Gelukkig is het vrij makkelijk om jezelf tegen deze vorm van phising te beschermen. We geven je wat tips.
  • Lees ook: Ransomware-hackers gebruiken nieuwe middelen om slachtoffers onder druk te zetten

Het is maandagochtend, je bent nog niet helemaal wakker en ziet een e-mail van de CFO in je mailbox. Hij vraagt of je een relatief klein bedrag wilt overmaken naar de verzekeraar van het bedrijf, want er was blijkbaar iets misgegaan met de vorige betaling. Zonder enige scam te vermoeden, doe je wat er gevraagd wordt. Onbewust ben je de week begonnen als doelwit van een zogenaamde ‘BEC-scam’.

BEC-scams, oftewel Business Email Compromise, zijn cyberaanvallen van hackers die zich binnen het bedrijf voordoen als iemand anders. Ze verkrijgen toegang tot het mailadres van in dit geval de CFO, en bekijken eerder verstuurde mails. Hiermee leren ze welke betalingen vaker gevraagd en gedaan worden, en vervalsen ze deze. Het is geavanceerdere vorm van phising.

Volgens de FBI is deze vorm van criminaliteit steeds populairder aan het worden. Dat komt voornamelijk door de eenvoud waarmee de hacks gedaan kunnen worden, en de relatief hoge slagingskans. Volgens de Amerikanen is er tussen 2016 en 2019 zo’n 43 miljard dollar buit gemaakt met deze vorm van oplichting en neemt dit alleen maar toe.

Hoe werkt het precies?

Cybersecuritybedrijf Check Point Software heeft een goed voorbeeld van hoe een BEC-scam in zijn werk gaat nadat de hacker toegang heeft gekregen tot het benodigde e-mailaccount.

In de onderstaande afbeelding zie je een e-mail afkomstig van de CFO van het bedrijf. Daarin wordt gevraagd om een factuur van een verzekeraar af te handelen. Maar als je goed kijkt, klopt het mailadres van de verzekeraar niet. Er staat een dubbele N in de naam. Ook klopt de afzender niet, want de url komt niet overeen met de bedrijfsnaam.

Hacker doet zich voor als CFO in BEC-aanval
Hacker doet zich voor als CFO in BEC-aanval
Checkpoint

Nu is dit een relatief makkelijk herkenbare scam, maar het kan natuurlijk ook geavanceerder dan dit. De details kunnen zich beperken tot minimaal afwijkende gegevens op de factuur.

Wat kan je tegen BEC-aanvallen doen?

Het slagingspercentage van BEC-aanvallen ligt hoog omdat hackers zich voordoen als vertrouwde personen binnen het bedrijf. Daardoor wordt er makkelijker vanuit gegaan dat er niets mis is met het verzoek om te betalen. En daar ligt dan ook de makkelijkste kans om dit soort aanvallen te ondervangen: check bij de persoon via een telefoontje of vraag het persoonlijk.

Maar er zijn meer manieren om jezelf te beschermen tegen BEC-hackers. We noemen er een paar:

  • Check bij elke aanvraag voor betalingen of de gegevens van de afzender en de begunstigde wel kloppen. Dit kan door bijvoorbeeld de e-mailadressen te checken op spelfouten of totaal andere namen. Ook is het slim om dit na te vragen bij de betrokken personen.
  • Leg rekeningnummers vast van bedrijven waar veel mee gewerkt wordt. In bovenstaand voorbeeld zou de verzekeraar dan opvallen omdat het geld naar een ander rekeningnummer gestuurd moet worden dan bekend is.
  • Deel nooit inloggegevens via e-mail.
  • Houdt systemen en virusscanners up-to-date. Hiermee verklein je de kans dat hackers toegang kunnen krijgen tot interne systemen.
  • Mits de mogelijkheid er is: houd netwerk- en systeemactiviteiten in de gaten. Als hier rare dingen op verschijnen, kan het zijn dat een hacker al toegang heeft tot het netwerk en jouw gegevens. Hierop kunnen passende vervolgstappen genomen worden.

Mocht je toch doelwit worden van een BEC-aanval, dan is het zaak om zo snel mogelijk contact op te nemen met jouw bank. Deze kan het geld wellicht nog terughalen en vervolgstappen ondernemen. Denk hierbij aan het opheffen van de rekening van de oplichters en het delen van de informatie met andere banken. Ook het inlichten van de politie kan natuurlijk geen kwaad.

Meer lezen over cybersecurity? Check deze artikelen: