De wereldwijde schade door ceo-fraude is inmiddels de 55 miljard dollar gepasseerd, zo stelt de FBI. De Amerikaanse opsporingsdienst hanteert het containerbegrip Business Email Compromise (BEC). Daar vallen allerlei e-mailgerelateerde fraudes onder, waaronder ceo-fraude. Het doel is altijd om een doelwit geld over te laten maken naar de rekening van de oplichters.

Zo weten aanvallers via bijvoorbeeld phishing of zwakke of hergebruikte wachtwoorden toegang tot e-mailaccounts te krijgen. Via de gekaapte accounts, maar ook door gebruik te maken van gespoofte e-mailadressen of typosquatting, waarbij ze domeinen registreren die op die van een legitieme organisatie lijken, sturen de aanvallers malafide e-mails.

De oplichters doen zich zo bijvoorbeeld voor als leverancier en verzoeken afnemers om betalingen naar andere rekeningen over te maken, of wordt de financiële administratie van een aangevallen organisatie verzocht om bepaalde facturen te betalen, waarbij het geld moet worden overgemaakt naar door de aanvallers opgegeven rekeningen.

Van oktober 2013 tot en met december 2023 werd BEC-fraude in 186 landen gerapporteerd, met een totaal schadebedrag van 55,4 miljard dollar. Volgens de FBI was er van december 2022 tot december 2023 een negen procent toename van de gerapporteerde schade door Business Email Compromise. Daarbij maken oplichters vaak gebruik van banken in het Verenigd Koninkrijk en Hong Kong als tussenstop voor het geld, gevolgd door China, Mexico en de Verenigde Arabische Emiraten.

De FBI adviseert organisaties om aanpassingen in rekeninggegevens via een secundair kanaal te bevestigen. Tevens wordt aangeraden om voor alle accounts een uniek wachtwoord/passphrase te gebruiken en die periodiek te wijzigen. Verder is het belangrijk om het e-mailadres van de afzender te verifiëren, met name op een mobiele telefoon. Ook wordt aangeraden om rekeningen geregeld op onregelmatigheden te controleren.