Regelmatig duiken nieuwe vormen van internetfraude op waartegen ondernemers zich moeten wapenen. Vooral aan het aantal trucjes waarvan internetcriminelen zich bedienen om de inloggegevens van bankklanten te bemachtigen lijkt geen eind te komen. Dit zogenoemde ‘phishing’ verandert steeds weer van gedaante.
Veel mensen weten inmiddels wel dat je niet zomaar op links in e-mails moet klikken. Minder bekend is dat ook bijvoorbeeld WhatsApp en social media worden gebruikt om bankklanten de inloggegevens te ontfutselen voor online bankieren. Zelfs Google Alerts en WeTransfer worden ingezet om slachtoffers naar foute phishing-sites te lokken.
Phishing via sms
Recent trok internetoplichting via sms veel aandacht. De banken waarschuwen voor sms’jes die qua taalgebruik bedrieglijk veel lijken op de berichten die ze zelf naar klanten zouden kunnen sturen. Als je in zo’n bericht op een foute link wordt geklikt, komt het slachtoffer op een neppagina van de bank terecht die nauwelijks van echt is te onderscheiden.
Ook bedrijven zijn doelwit van phishing-aanvallen. Volgens Kaspersky (beveiligingssoftware) is het percentage zakelijke slachtoffers wereldwijd toegenomen van 15 naar 31 procent. Rik van Duijn, beveiligingsonderzoeker bij KPN Security, is daar niet verbaasd over. Volgens hem hebben bedrijven het meeste last van twee soorten phishing. “Bij de eerste vorm van phishing wordt een werknemer gevraagd een actie uit te voeren waardoor de aanvaller toegang krijgt tot het systeem en veelal een virus installeert. De tweede vorm is CEO-fraude, waarbij veelal uit naam van een manager of eigenaar via de mail of een ander communicatiemiddel contact met een werknemer wordt opgenomen. Deze krijgt dan bijvoorbeeld opdracht een betaling te uit te voeren.”
CEO-fraude
Deze methode van criminele hackers staat bekend als ‘whaling’, ook wel CEO-fraude genoemd. Van Duijn: “De hoogste baas vraagt iemand op de financiële afdeling een groot bedrag over te maken naar een klant die op zijn geld wacht. Zo kreeg de Nederlandse tak van bioscoopketen Pathé de opdracht om voor een geheime overname 19 miljoen euro over te maken naar het Franse hoofdkantoor. Een bende fraudeurs deed zich daarbij voor als een directielid. Twee topmensen van Pathé in Nederland trapten erin. Het kostte beiden hun baan, terwijl Pathé naar het geld kon fluiten. FACC, een Oostenrijkse leverancier van vliegtuigonderdelen, verloor bij een soortgelijk geval van fraude zelfs 50 miljoen euro.”
Soms hebben bedrijven meer geluk. Van Duijn verhaalt over een groep managers die voor overleg bijeen waren. Zegt de een tegen de ander: Waarom mail je me nu om een overboeking goed te keuren, ik zit hier toch gewoon naast je? Pas toen kreeg men door dat dit verzoek van buitenaf kwam. Bij veel CEO-fraude zoeken de criminelen eerst goed uit hoe het er in een bedrijf aan toegaat. Via LinkedIn brengen ze de organisatie in kaart, compleet met de hiërarchische structuur.
Social engineering
Ook met andere vormen van social engineering worden de aanvallers steeds handiger. Tv-presentatrice Violet Falkenburg kreeg van iemand die zich als haar dochter voordeed, via WhatsApp bericht dat haar telefoonnummer was gewijzigd. Bij het nieuwe nummer stonden de naam en foto van haar dochter. Falkenburg voerde de mutatie door in haar contactenlijst. Kort daarna vroeg ‘dochterlief’ haar om een factuur te voldoen omdat problemen had het inloggen bij de bank. Nadat de tv-presentatrice twee keer geld had overgemaakt, waarschuwde de bank voor fraude. Falkenburg appte haar ‘dochter’ of alles klopte. De ‘dochter’ stelde haar snel gerust. ‘'Nee hoor mam, dit klopt echt”, zo luidde de reactie. De fraudeur noemde nog haar werkgever in de app en sprak precies de taal die ze van haar dochter was gewend. Opnieuw werd geld overgemaakt. Dit voorval bewijst wel hoe geraffineerd de oplichters te werk gaan.
Volgens Van Duijn kost het weinig moeite om iemands foto toe te voegen aan een vals account waardoor de ontvanger denkt met een bekende te maken te hebben. Vervolgens stuur je een app met de boodschap “Hé, ik heb een nieuw nummer, het oude mag je weggooien.” Daarna meld je je met het bericht dat er een storing is bij de bank. Ook Marktplaats is een geliefd jachtterrein voor fraudeurs.
Nepsite
Van Duijn: “Het begint met een gestolen marktplaats account, een account dat al vaker iets succesvol heeft verkocht. Dat schept vertrouwen. De volgende stap is de koper te vragen ter verificatie van diens identiteit een cent over te maken. Het slachtoffer belandt dan op een nepsite van een bank of een dienst als Tikkie. Als de inloggegevens worden ingevoerd, komen deze in handen van de oplichters die vervolgens een rekening kunnen leeghalen.” Voor het nabootsen van websites hoef je geen genie te zijn. Op zwarte internetmarkten zijn de inlogpagina’s van banken en andere diensten, ook wel panelen genaamd, te koop.
Consumenten en zakelijke gebruikers moeten zich bewust zijn van de gevaren van phishing. “Maar de aanvallers gaan zo geraffineerd te werk dat het vergroten van de bewustwording alleen niet voldoende is,” stelt Van Duijn. “Tegen phishing moeten ook veiligheidsmaatregelen worden genomen. We kunnen van ons personeel onmogelijk verwachten dat ze, naast hun reguliere werk, elke poging tot social engineering afslaan. Ondernemers moeten als eerste een spamfilter instellen. Wat niet binnenkomt, is ook niet schadelijk. Wanneer er toch malware doorkomt, dan kan antivirussoftware bescherming bieden. Verder is belangrijk dat die twee verdedigingslinies op de juiste manier worden geconfigureerd en op elkaar afgestemd. Zorg ook dat het netwerk goed wordt beveiligd. Je moet zicht hebben op wat daar gebeurt. Het kan niet zo zijn dat als een werknemer een keer niet oplet, dit direct verstrekkende gevolgen heeft voor de volledige organisatie.”
Veiligheidsexpert Van Duijn besluit zijn betoog met een tip. Om CEO-fraude tegen te gaan kan bij de configuratie van de mailserver een waarschuwing worden ingesteld. Als e-mail van buiten de organisatie komt, komt in de onderwerpregel automatisch een melding te staan dat het een extern verzoek betreft. Zo wordt duidelijk gemeld dat de ontvanger met een externe aan het communiceren is.
Meer weten? Kijk hier voor meer informatie over identity & privacy.
