“CEO fraude” richt pijlen op MKB

Een toenemend aantal meldingen van klanten maakt dat wij u graag op de hoogte willen brengen van “CEO fraude” door middel van phishing.

Met het concept phishing bent u waarschijnlijk bekend: in een legitiem ogende e-mail van een gerenommeerde instantie wordt u gevraagd op een ingesloten link te klikken. Deze link zou moeten leiden naar een pagina met de gewenste informatie, maar is in werkelijkheid een pagina die met malware is geïnfecteerd.

CEO/CFO phishing lijkt op dit concept, maar richt zich specifiek op de financiële- afdeling of medewerker van een bedrijf. De mail is zodanig opgesteld dat de verzender de directeur (CEO/CFO) lijkt te zijn, welke in de mail opdracht geeft een (spoed)betaling te doen. Vaak goed van vertrouwen zal de financiële afdeling deze betaling uitvoeren, waarna het leed is geschied. Aangezien veel van de gebruikte informatie op de bedrijfswebsite en/of social media beschikbaar is (naam directeur, e-mail adres administratie etc.), is het voor fraudeurs zeer eenvoudig om een dergelijke mailwisseling tot stand te brengen.

Voorheen ondervonden vooral grote (internationale) bedrijven schade CEO-fraude, maar op dit moment worden ook kleinere bedrijven en verenigingen gedupeerd.

Het belangrijkste wapenfeit wat u tegen deze vorm van fraude kunt doen is het creëren van bewustzijn en potentiele doelwitten binnen uw organisatie op de hoogte brengen van deze manier van fraude. Signalen van een mogelijke frauduleuze e-mail zijn onder andere:

• Een onbekend afzendadres
• Het ontbreken van e-mail handtekening
• Een afwijkende toon- en taalgebruik
• Een ongebruikelijk verzoek

Algemene interne richtlijnen voor het verrichten van betalingen moeten aanvullend zorgen dat onjuiste betalingen worden gedaan. Helaas zijn er tegen deze vorm van fraude geen technische hulpmiddelen beschikbaar.

De website fraudehelpdesk.nl heeft een checklist opgesteld, die aanvullende toelichting en maatregelen beschrijft. Gezien de vele vormen van fraude via e-mail, adviseren wij u om in ieder geval ons supportteam in te schakelen. Wij beoordelen graag of de gebruikte methode technisch kan worden voorkomen.

Ondanks dat deze methode van fraude technisch niet te bestrijden valt, zijn er diverse mogelijkheden om uw IT omgeving optimaal te beveiligen. In het continue kat-en-muisspel tussen de kwaad- en goedwillenden is het van belang dat passende maatregelen worden getroffen. Aan de Microsoft Clouddiensten Office 365 en Azure worden continue nieuwe veiligheid gerichte functies toegevoegd die hierbij kunnen ondersteunen.

Als uw IT partner praten wij u graag bij op welke gebieden van uw IT omgeving aanvullende veiligheidsmaatregelen kunnen worden genomen. Relatief eenvoudige acties als een aangescherpt wachtwoordbeleid en het inzetten van meervoudige authenticatie kunnen bijdragen aan een veiligere omgeving en daarmee de kans op toekomstige schade te verkleinen.