Gekaapte accounts worden over het algemeen vooral gebruikt om spam te verspreiden en filters te omzeilen. Een gekaapte mailbox kan echter tot nog veel ergere dingen leiden, zoals een business e-mail compromise (BEC)-aanval. Vorige maand kreeg een dochterfiliaal van Toyota Boshoku Corporation te maken met deze vorm van oplichting, waardoor er naar schatting 4 miljard yen (meer dan € 34 miljoen) aan schade werd geleden.
Wat gebeurde er?
Volgens de officiële verklaring van 6 september van het bedrijf, evenals berichten van nieuwsorganisaties, voerden onbekende cybercriminelen een BEC-aanval uit. Het incident wordt nog altijd onderzocht en er zijn nog geen details vrijgegeven, dus het is niet duidelijk of er een gekaapte mailbox werd gebruikt of dat de aanvallers zich simpelweg voordeden als iemand anders. Wat we wel weten, is dat de financiële schade werd toegeschreven aan frauduleuze instructies voor een bankoverschrijving die iemand binnen het bedrijf voor waar aannam.
Kort na de overschrijving realiseerden beveiligingsexperts van Toyota zich dat het geld naar externe accounts was overgemaakt, maar het was al te laat om er nog iets aan te doen. Ondertussen werkt het bedrijf er hard aan om de het geld terug te krijgen.
Wat is een BEC-aanval?
Voor een BEC-aanval is het niet per se nodig dat de mailboxen van andere mensen worden gekaapt. Soms proberen cybercriminelen zich als een senior werknemer van een bedrijf of als partners voor te doen met het gebruik van adressen van derden. Maar het gebruik van het e-mailaccount van een insider maakt de aanval echter wel een stuk eenvoudiger, want een e-mail van iemand waar u ook daadwerkelijk mee correspondeert, wekt veel minder argwaan.
Om de aanval te laten slagen, moet de cybercrimineel natuurlijk uitstekende social-engineering-vaardigheden hebben; het imiteren van een ander persoon en iemand overtuigen om iets te doen is niet eenvoudig. Maar nogmaals, een gekaapte mailbox maakt de taak van de aanvaller een stuk eenvoudiger. Door de inhoud van de Inbox en Verzonden e-mails te bestuderen, kunnen ze de stijl en het karakter van deze persoon veel beter nabootsen, waardoor het resultaat een stuk overtuigender wordt.
Het doel van een BEC-aanval is niet altijd het maken van een bankoverschrijving (iemand overtuigen om miljoenen euro’s over te maken is voor niemand eenvoudig). Het is veel gebruikelijker voor aanvallers om te proberen vertrouwelijke informatie van het slachtoffer te ontfutselen.
Andere voorbeelden van BEC-aanvallen
De Toyota-aanval is absoluut niet de eerste keer dat zoiets voorkomt. We schreven dit jaar al meerdere keren over een truc van cybercriminelen met als doel de accounts van werknemers van een bedrijf over te nemen. In mei beschreven we hoe cybercriminelen een voetbalclub misleidden en het zo voor elkaar kregen dat ze de verkeerde betalingsgegevens gebruikten om de transfersom voor een speler te voldoen. Vorige maand probeerden oplichters om via phishing $ 2,9 miljoen van Portland Public Schools (Oregon) te ontfutselen. In juli verloor Cabarrus County Schools (North Carolina) $ 1,7 miljoen, na per e-mail valse instructies te hebben ontvangen. Het personeel maakte in eerste instantie $ 2,5 miljoen over, zogenaamd voor de bouw van een nieuwe school, maar kon later een gedeelte van dit geld terugkrijgen.
Zo vermijdt u het om hier slachtoffer van te worden
Om uzelf te beschermen tegen social engineering zijn technische maatregelen alleen niet voldoende, zeker niet als de aanvallers professionals zijn met toegang tot de echte mailbox van de persoon die ze willen imiteren. Om dus te voorkomen dat u slachtoffer van dit type oplichting wordt, adviseren we u het volgende:
- Stel de procedures voor het overmaken van bedrijfsfinanciën duidelijk op, zodat een werknemer niet zonder enig toezicht een overschrijving kan maken naar een derde partij. Zorg ervoor dat de overschrijvingen van grote sommen door meerdere managers moeten worden goedgekeurd.
- Train werknemers in de grondbeginselen van cybersecurity, en leer ze hoe ze kritisch naar inkomende e-mails moeten kijken. Onze programma’s voor veiligheidsbewustzijn kunnen hier enorm bij helpen.
- Voorkom de kaping van bedrijfs-e-mailaccounts met phishing-bescherming op mailserverniveau. Installeer bijvoorbeeld Kaspersky Endpoint Security for Business Advanced.