Security : 04-12-2010

Fraudeurs op walvissenjacht - opgepast voor whale phishing

Stel: als boekhouder binnen jouw bedrijf krijg je een e-mail van jouw CEO met de vraag om dringend een som geld over te schrijven naar een onbekende rekening. Ga je hierop in of dubbelcheck je het eerst? Dat laatste doe je best wel, want CEO-fraude komt vaker voor dan je denkt.

Wat is CEO-fraude of whale phishing?

CEO-fraude of whale phishing is een vorm van oplichting waarbij fraudeurs zich voordoen als iemand met een hoge functie in een organisatie (CEO, CFO, voorzitter, aandeelhouder …) om op die manier geld te verduisteren. Men maakt gebruik van de autoriteit die deze personen vanuit hun functie hebben, om andere mensen in het bedrijf te overtuigen geld over te schrijven naar vreemde rekeningnummers, zonder dat ze zich daar vragen bij stellen.

In tegenstelling tot bij andere vormen van phishing richten fraudeurs zich hier dus niet zomaar op een grote groep potentiële slachtoffers, maar vallen ze gericht de ‘vette vissen’ in de onderneming aan.

Vaakst gedetecteerde vorm van fraude

Uit een recent verschenen studie van adviesbureau BDO, dat 245 Belgische bedrijven ondervroeg over fraude, blijkt dat CEO-fraude tegenwoordig de vaakst gedetecteerde vorm van oplichting is. 40% van de ondervraagde bedrijven liet weten dat het in de afgelopen vijf jaar al een poging tot CEO-fraude had kunnen verhinderen. Vijf procent van de bedrijven werd effectief al opgelicht op deze manier. Van alle vormen van oplichting die werden onderzocht, veroorzaakt CEO-fraude of whale phishing veruit het grootste verlies: gemiddeld €350 000 per aanval. Reden genoeg dus om ook in jouw bedrijf de problematiek onder de aandacht te brengen bij jouw collega’s.

(Bron: De Standaard, BDO)

Social Engineering

Oplichters die via whale phishing bedrijven aanvallen, hebben hun huiswerk gemaakt: via social engineeringtechnieken proberen ze te weten te komen wie de invloedrijke mensen in een bedrijf zijn en wie in het bedrijf geschikt is om te benaderen met een valse e-mail. Meestal zijn dat medewerkers in de finance- of boekhoudafdeling, die wel vaker betalingsopdrachten krijgen. De e-mails met de vraag om geld over te maken, zijn vakkundig vervalst: ze bevatten het logo van het bedrijf, hanteren geloofwaardig taalgebruik en geven vaak zelfs een plausibele reden voor de betalingsopdracht. In tegenstelling tot andere phishingmails zijn deze e-mails dus steeds moeilijker te herkennen.

Wees waakzaam en informeer jouw collega's

Waakzaam zijn en blijven is dus de boodschap! Uiteraard is een goed beveiligde IT-omgeving onmisbaar in de strijd tegen oplichters. Maar whale phishing is specifiek gericht op de zwakste schakel: de mens. We raden daarom aan om jouw collega's voldoende en regelmatig in te lichten over de gevaren van whale phishing en om volgende signalen van CEO-fraude te herkennen:

De vraag komt van iemand prominent in jouw bedrijf - of daarbuiten, bijvoorbeeld vanuit de hoofdzetel, het moederbedrijf, externe aandeelhouders, ... Iemand die je misschien niet persoonlijk kent, maar die wel veel autoriteit heeft.
Er wordt gevraagd om een groot bedrag over te schrijven naar een onbekende rekening.
Men vraagt om geheimhouding.
Het is dringend.

Wanneer je een e-mail ontvangt met deze eigenschappen, gaat er best al een alarmbel rinkelen! Check daarom bij elke vraag om financiële transacties uit te voeren, deze zaken:

Het e-mailadres van de afzender: komt het wel van de persoon die de afzender beweert te zijn? Een subtiele spelfout kan hier een aanwijzing zijn. Let op: ook als de e-mail wel degelijk van jouw collega lijkt te komen, ben je nog niet zeker dat je het bericht kunt vertrouwen. Er kan immers ingebroken zijn op de e-mailaccount van jouw collega.
Het rekeningnummer: gaat het om een 'nieuw rekeningnummer' voor een bepaalde partner of leverancier? Bel hen dan even op om na te gaan of dit klopt.
Hanteer het vier-ogenprincipe: vraag rechtstreeks aan jouw collega of hij/zij wel degelijk deze opdracht gegeven heeft. In een tijd van toenemende globalisering en digitalisering, waarbij collega’s elkaar steeds minder persoonlijk kennen, is dat niet meer altijd evident, maar wel de enige sluitende manier om CEO-fraude tegen te gaan.

Wat als je toch slachtoffer wordt?

Van zodra je een vermoeden hebt toch slachtoffer te zijn van CEO-fraude, dan contacteer je best zo snel mogelijk jouw bank. Mogelijks kan jouw bank de overschrijving nog annuleren of de rekening van de oplichters blokkeren zodat zij het geld niet meer kunnen afhalen of verder versluizen. Meld ook ieder geval van CEO-fraude via meldpunt.belgie.be (optie ‘CEO-fraude’). Jouw melding wordt dan automatisch doorgestuurd naar de politie, zodat zij de zaak verder kan onderzoeken. Kan de politie de daders identificeren, dan wordt het dossier overgemaakt aan het gerecht en kan je zich burgerlijke partij stellen om jouw geld alsnog te recupereren.

Hulp nodig bij het sensibiliseren van jouw medewerkers?

Met het uitgebreide IT-security-aanbod van Savaco ben je al goed op weg om jouw bedrijf te beschermen tegen online oplichters. En met bovenstaande tips kan je jouw collega's bewustmaken van de gevaren van whale phishing. Wil je graag meer tips om jouw medewerkers te sensibiliseren op het vlak van IT-security? Contacteer onze experts, ze geven je graag uitgebreid advies.