Bedrijven die van cloudgebaseerde e-maildiensten gebruikmaken zijn al jaren het doelwit van ceo-frauders, zo waarschuwt de FBI. Tussen januari 2014 en oktober 2019 klopten tal van slachtoffers bij de Amerikaanse opsporingsdienst aan die voor meer dan 2,1 miljard dollar waren opgelicht. Volgens de FBI zijn bedrijven de afgelopen jaren gestopt met het gebruik van on-site e-mailsystemen en kiezen in plaats daarvan voor cloudgebaseerde e-mail.
Het gaat dan om commerciële partijen die allerlei diensten in abonnementsvorm aanbieden. Ceo-frauders voeren phishingaanvallen uit waarbij ze zich als deze e-mailproviders voordoen. Zodra slachtoffers hun gegevens op een phishingsite invoeren kunnen de criminelen op de zakelijke e-mailaccounts inloggen. Daar zoeken ze naar aanwijzingen van financiële transacties. Vaak maken de aanvallers ook regels aan zodat belangrijke e-mails automatisch worden verwijderd. Ook kunnen ze instellen dat berichten automatisch worden doorgestuurd naar een ander account, aldus de FBI.
De criminelen gebruiken de informatie afkomstig uit de gecompromitteerde accounts voor het plegen van fraude. Zo krijgen derde partijen waarmee het gecompromitteerde bedrijf communiceert verzoeken om toekomstige betalingen naar andere rekeningen over te maken. Tevens zoeken de criminelen in het adresboek van het gecompromitteerde account naar potentiële nieuwe slachtoffers. Zo kan een gecompromitteerd account bij één bedrijf tot meerdere slachtoffers binnen een sector leiden, zo waarschuwt de FBI.
Er zijn echter maatregelen die organisaties kunnen nemen om dergelijke aanvallen te voorkomen. Voor eindgebruikers wordt aangeraden om voor alle e-mailaccounts multifactorauthenticatie in te schakelen, moet personeel over ceo-fraude worden geïnformeerd en moeten aanpassingen aan betalingen en rekeningen in persoon of via een bekend telefoonnummer worden bevestigd.
Op beheerdersniveau adviseert de FBI om het doorsturen van e-mails naar externe adressen te verbieden. Ook moet er een waarschuwing worden toegevoegd aan berichten die van externe partijen afkomstig zijn. Tevens wordt aangeraden om legacy e-mailprotocollen te verbieden waarmee multifactorauthenticatie is te omzeilen, zoals imap, pop en smtp. Organisaties moeten daarnaast waarschuwingen voor verdachte activiteit inschakelen, zoals vreemde inlogpogingen, en gebruikmaken van de beveiligingsstandaarden DKIM en DMARC die onder andere spoofing tegengaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.