Oplichters die achter de beruchte ceo-fraude zitten blijken nu ook domeinen met een eu- of nl-prefix te registreren, om zo slachtoffers te misleiden en bedrijven voor tonnen op te lichten. Het gaat dan bijvoorbeeld om nl-bedrijfsnaam.com of eu-bedrijfsnaam.com, zo meldt recherchebureau Hoffmann.
Bij ceo-fraude, ook bekend als business email compromise, doen oplichters zich voor als de directeur of andere bestuurders van een organisatie of bedrijf en sturen vervolgens een e-mail naar iemand van de financiële afdeling. In de e-mail wordt gevraagd om een groot geldbedrag naar een buitenlandse rekening over te maken. Het is één van de schadelijkste vormen van cybercrime. Volgens de FBI hebben criminelen via deze vorm van fraude al 3,1 miljard dollar weten te stelen.
Om slachtoffers te misleiden worden verschillende tactieken gebruikt. Naast het spoofen en hacken van e-mailadressen worden ook domeinnamen geregistreerd die erg op dat van het bedrijf lijken. Zo is bijvoorbeeld een w vervangen door vv of een i door een l. Vervolgens wordt er een e-mail gestuurd vanaf het e-mailadres van de ceo, maar dan met de valse domeinnaam, naar een medewerker van de financiële afdeling.
Volgens Hoffmann ligt het eerste betalingsverzoek vaak rond de 100.000 euro. Bij een succesvolle betaling worden hogere vervolgbetalingen gevraagd. Recentelijk blijken de oplichters ook gebruik te maken van e-mailadressen waarbij de domeinnaam van het aangevallen bedrijf wordt voorafgegaan door 'nl-' of 'eu-', dus bijvoorbeeld nl-bedrijfsnaam.com of eu-bedrijfsnaam.com. Iets dat eind juni ook door het Nationaal Cyber Security Center (NCSC) van de overheid werd gemeld. Het domein wordt vaak geregistreerd op dezelfde dag waarop de ceo-fraude plaatsvindt.
In de periode 15 juni tot 17 juli van dit jaar werden in totaal bijna 500 verdachte domeinnamen met de prefix 'nl-' en 'eu-' geregistreerd. Het gaat veelal om grote organisaties. Mogelijk zouden de oplichters deze tactiek toepassen omdat meer bedrijven zich tegen spoofiing beschermen, waarbij bedrijfsmails alleen worden toegestaan als ze daadwerkelijk vanaf het bedrijfsdomein afkomstig zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.