image

NCSC: Nederlandse bedrijven doelwit van ceo-fraude

woensdag 29 juni 2016, 14:20 door Redactie, 8 reacties

Afgelopen week zijn tientallen Nederlandse bedrijven het doelwit van ceo-fraude geworden, zo laat het Nationaal Cyber Security Centrum (NCSC) van de overheid vandaag weten. Het NCSC werd door een partner gewaarschuwd dat de ceo-fraudemails waren verstuurd.

Bij ceo-fraude, ook bekend als business email compromise, doen oplichters zich voor als de directeur of andere bestuurders van een organisatie of bedrijf en sturen vervolgens een e-mail naar iemand van de financiële afdeling. In de e-mail wordt gevraagd om een groot geldbedrag naar een buitenlandse rekening over te maken. "Om de e-mails geloofwaardig te maken, worden ze verstuurd vanaf een domeinnaam die sterk lijkt op die van legitieme bedrijven, maar dan met een kleine toevoeging. In deze gevallen door een toevoeging van ‘nl’ vóór de bedrijfsnaam in het e-mailadres. Bijvoorbeeld: @nl-naambedrijf.com", zo laat de politie weten.

Om te voorkomen dat de aangevallen Nederlandse bedrijven daadwerkelijk geld zouden overmaken hebben de politie het NCSC en andere partijen besloten om de bedrijven te bellen en zo te waarschuwen. Een groot aantal bedrijven had de e-mails al als fraudeleus bestempeld, maar volgens de politie hadden enkele bedrijven al betalingen klaar staan. Volgens het NCSC heeft ervoor zover bekend geen fraude plaatsgevonden. Vorig jaar werd chemieconcern DSM nog het doelwit van ceo-fraude, maar werd de aanval door oplettende medewerkers ontdekt.

Volgens de FBI blijft deze vorm van fraude zich ontwikkelen en zijn allerlei soorten bedrijven het doelwit van de criminelen. De Amerikaanse opsporingsdienst liet onlangs nog weten dat criminelen op deze manier al 3,1 miljard dollar hebben weten te stelen, waardoor het één van de schadelijkste vormen van cybercrime is.

Reacties (8)
29-06-2016, 15:57 door Anoniem
Er zijn grosso modo twee soorten van deze ceo fraude berichten. Een die gemakkelijk te herkennen is aan afwijkend taalgebruik en afwijkende betaalmethode (in het VK: "same day UK to UK payment"). En een veel gesophisticeerder type met normaal Engels, typosquatted domeinen en geloofwaardige emails.

Enkele voorbeelden van de eerste soort:


------------

Hi Voornaam1.

Hope your day is going on well , I need you to send out a same day UK to
UK payment immediately , Kindly email me the required details you will
need to send out the payment .

I will appreciate a swift email response.

Kind regards ,

Voornaam2 Achternaam2

------------

Hi Voornaam1,

Are we able to process a same day payment? let me know what we need to effect it, would the payee's sort code and account number suffice?

Regards.
Voornaam2

------------

Voornaam1,

Are you at your desk?

Kind regards,

Voornaam2

Sent from my iPhone

------------

Hi Voornaam1.
.

Are you available to send out a same day UK payment for me ? Kindly supply
the necessary details you will need to process a payment .

Kind regards.

Voornaam2 Achternaam2.


------------

Let op de leestekens en het 419 taalgebruik. De namen zijn namen van de CEO en bijvoorbeeld een CFO.

Geen van bovenstaande mails komt ook maar in de buurt van een geloofwaardig bericht bij native Engels sprekende ontvangers.

Voorkom dergelijke fraude dit door procedures in te stellen waarbij 2 factor authenticatie of PGP signeren van berichten nodig is.

Reken er niet op dat je spamfilter de berichten zal afvangen, ze worden typisch eenmalig en doelgericht verstuurd.
29-06-2016, 16:25 door Anoniem
3.1 miljard .... allemaal weg d.m.v overboekingen / bankrekeningen. En waar klaagt Europol normaal gesproken over? Bitcoin...

Hoe zit het met de opsporing? Tot op heden nog weinig arresties gehad voor zover ik het nieuws heb gevolgd. Af en toe had men mazzel dat een bank de transactie terug kon draaien of onderscheppen. Het lijkt mij dat men sneller bij een persoon uitkomt waar op door gerechereerd kan worden dan bij Bitcoins. Ik heb dit ooit meegemaakt in een CIRT rol en daar was het geld bij een bank in het Midden Oosten opgenomen daar een money mule. Uit hem en zijn digitale gegevens zou je wellicht weer verder kunnen zoeken.

Het waren toen voornamelijk bendes uit Nigeria en China.
29-06-2016, 17:20 door karma4
CEO fraude social engineering low tech gebaseerd op de angst voor onwelvalligheid aan de CEO. De verhouding en aanpak is bekend. Een van de grootste schadeposten.
Waar maakt men zich druk om... high tech zero day exploits want angst voor het onbekende.
29-06-2016, 18:09 door AdKoolen
"Om de e-mails geloofwaardig te maken, worden ze verstuurd vanaf een domeinnaam die sterk lijkt op die van legitieme bedrijven, maar dan met een kleine toevoeging. In deze gevallen door een toevoeging van ‘nl’ vóór de bedrijfsnaam in het e-mailadres. Bijvoorbeeld: @nl-naambedrijf.com", zo laat de politie weten.

Indien mailservers "kwetsbaar" zijn is het zeer eenvoudig om een mail te sturen die ogenschijnlijk afkomstig is van de "CEO" van het betreffend bedrijf naar de CFO van dat bedrijf met het verzoek om snel 10.200,- euro over te maken met kenmerk factuurnr 20160629-233 op rekeningnr XYZ. De "CEO", die op dat moment in het buitenland is, vertelt in die mail dat hij bij terugkomst op de zaak de originele factuur bij de CFO zal brengen. Een en ander na grondige social engineering door de "Phishers" die een goed beeld hebben gevormd van de aan te vallen organisatie en precies weten wie welke functie heeft en een goed moment afwachten. (zeker weten dat de CEO niet gestoord wil, kan worden)

e-mail spoofing is vrij eenvoudig te doen, ook voor ICT-leken.
Zie bijvoorbeeld: https://emkei.cz/
29-06-2016, 22:19 door Anoniem
Gewoon duidelijke afspraken maken, bv. dat een CEO geen (spoed)betaalopdrachten meer geeft per e-mail.
Of hij doet het voortaan zelf, of hij geeft het telefonisch door. Mensen hangen tegenwoordig de godganse dag aan dat ding, ook CEO's, dus moet dat helemaal geen probleem zijn.
Een andere mogelijkheid is een geheime code meesturen, die telkens anders is, net zoiets als een tancode. Zolang die code niet overeenkomt, dan geen betaalopdrachten uitvoeren. Om dat nog veiliger te maken: de ene helft van tevoren afspreken (nooit digitaal opslaan en nooit op papier zetten) en de andere helft volgens die tanlijst.
29-06-2016, 22:52 door Anoniem
Wanneer kan je een waarschuwing van het NCSC verwachten en wanneer niet?

Ik krijg de indruk dat het NSCC alleen voor phishing wil waarschuwen als een partner ze een waarschuwing geeft en ze anders net doen alsof hun neus bloed.

Bij bedrijven die groot genoeg zijn om een CEO en CFO te hebben worden bijna dagelijks pogingen met fraude gedaan om onterecht geld of goederen te krijgen. Als je een beetje op het www zoekt krijgje een indruk. valse papieren facturen met echt lijkende logo's en websites. Fraudeurs die zich voordoen als ontevreden klant en producten gratis krijgen doordat ze weten hoe de klantenservice werkt en waar er geen controle is. Fraudeurs die met social engineering opbellen als medewerker en zo opdrachten laten uitvoeren om diensten of producten aan te schaffen. En nog veel en veel meer.

Dat soort bedrijven zijn groot genoeg om die risico's te kennen en er zelfs aparte anti-fraudecontrolers voor in dienst hebben of al jaren peperduur voor inhuren.

Waarom waarschuwt het NCSC nu dan pas voor een van de vele vormen van fraude waarbij de fraudeur ook het internet gebruikt? En waarom deden ze dat eerder niet? En gaan ze dat voor alle andere fraude dan ook doen waarbij domeinnamen gebrukt worden met de naam van een bedrijf er in? Of hoef je eigenlijk niets te verwachten en heb je geluk als ze wel waarschuwen?

En waarom waarschuwt het NCSC niet voor al die phishingmails uit naam van bedrijven met een CEO, zoals ING Rabobank SNS Ziggo KPN waarbij ook valse domeinen en websites met de namen van die bedrijven worden gebruikt om geld te stelen of belangrijke betaalgegevens te krijgen? Of is dat niet belangrijk omdat die ontvangers geen CEO hebben en geen geld hebben om peperdure antifraudeconsultants in te huren?

Als ik het bericht van het NCSC letterlijk neem waarschuwen ze omdat ze een tip hebben gekregen van een partner en ze heel goed hebben samengewerkt met politie, de banken (Electronic Crimes Taskforce) en de Fraudehelpdesk en daarom de nu wel een waarschuwing geven.
30-06-2016, 03:35 door Anoniem
Door Anoniem: Gewoon duidelijke afspraken maken, bv. dat een CEO geen (spoed)betaalopdrachten meer geeft per e-mail.
Of hij doet het voortaan zelf, of hij geeft het telefonisch door. Mensen hangen tegenwoordig de godganse dag aan dat ding, ook CEO's, dus moet dat helemaal geen probleem zijn.

Pas daarmee op. Je kunt een telefoonnummer faken, dus ook bijvoorbeeld een sms bericht.
30-06-2016, 10:52 door Anoniem
CEO fraude gaat niet alleen via emails of SMSjes.

Ik heb laatst meegemaakt dat in de mail de "CEO" vertelde dat de geaddresseerde een telefoontje van een advocaat zal krijgen die zal toelichten waar het geld naar toe over gemaakt moet worden etc.
En die persoon werd inderdaad gebeld door iemand die ook nog goed Nederlands sprak.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.