Pathé, verschillende gemeentes: het zijn niet de minste organisaties die slachtoffer zijn geworden van CEO-fraude. Juist voor MKB-bedrijven is de kans groter slachtoffer te worden van deze of een andere vorm van e-mailfraude. Wat is CEO-fraude? Welke vormen van e-mailfraude zijn er nog meer? En het belangrijkste: hoe kun je jezelf hier als MKB-bedrijf tegen wapenen?
Het veelkoppige monster van e-mailfraude
Pathé: 19 miljoen euro. Een Rotterdams staalbedrijf: 11 miljoen euro. Een bedrijventerrein in Zoetermeer: 1 miljoen euro. Oftewel: CEO-fraude kan een organisatie (extreem) duur komen te staan.
Wat is CEO fraude?
Bij CEO-fraude doen oplichters zich op gehaaide wijze voor als een directeur of iemand anders met een hoge functie binnen de organisatie. Ze overtuigen medewerkers om een betaling te verrichten, vaak met het argument dat het om een gevoelige of vertrouwelijke transactie gaat.
Naast CEO-fraude worden Nederlandse MKB-bedrijven ook vaak slachtoffer van andere vormen van e-mailfraude. We zetten de belangrijkste voor je op een rijtje.
eBook: 15 Security Basics voor het MKB
Voorkom dat je bedrijf slachtoffer wordt van deze 15 meest gebruikte trucs door cybercriminelen.
DownloadPhishing
Cybercriminelen sturen e-mails die lijken te komen van een betrouwbare afzender, denk aan een bank of de Belastingdienst. Vaak wordt in de mails doorgelinkt naar nagemaakte websites, waarmee de phishers gevoelige data zoals wachtwoorden, creditcardnummers of bankgegevens proberen te stelen.
Spear phishing
Bij deze gerichte vorm van phishing sturen oplichters op maat gemaakte berichten naar een specifieke persoon of organisatie. Vaak beschikken de fraudeurs over gedetailleerde en persoonlijke informatie waarmee ze het bericht geloofwaardig maken. Deze persoonlijke informatie is vaak afkomstig van gehackte social media accounts. Lees hier meer over het beveiligen van je social media accounts.
419-fraude
De oplichters beloven een hoge vergoeding in ruil voor hulp, maar eerst moet het slachtoffer een voorschot betalen. Een voorbeeld: het slachtoffer zou een loterij hebben gewonnen en moet nu de kansspelbelasting vooruitbetalen. De fraudevorm is vernoemd naar het oplichtingsartikel in het Nigeriaanse wetboek van strafrecht, aangezien veel van de fraudeurs afkomstig zijn uit Nigeria.
Factuurfraude
Oplichters sturen per e-mail een factuur die precíés lijkt op een rekening die een organisatie daadwerkelijk verwacht (bijvoorbeeld van een leverancier), alleen zijn de betalingsgegevens veranderd.
Supportscam
Het slachtoffer ontvangt een e-mail waarin wordt gesuggereerd dat hij of zij een computerprobleem heeft en contact moet opnemen met de supportafdeling. Vervolgens installeren de oplichters malware, laten ze het slachtoffer betalen voor nepdiensten of stelen ze gevoelige gegevens.
Checklist E-mail Security
Hoe mail je zo cybersecure mogelijk met collega's en klanten? Ontdek 8 tips om e-mail fraude te voorkomen.
DownloadMKB-bedrijven: júíst interessant voor criminelen
Tuurlijk, bij grotere bedrijven kunnen cybercriminelen meer geld buitmaken. Toch is twee op de drie cyberaanvallen gericht op MKB-bedrijven. Deze organisaties zijn namelijk vaak kwetsbaarder – ook criminelen verkiezen het liefst de weg van de minste weerstand.
Hoe komt het dat MKB-bedrijven hun cybersecurity in de regel minder goed op orde hebben? Hoofdzakelijk wegens beperkte budgetten en middelen, minder bewustzijn en een gebrek aan zowel expertise als specialisten op IT-vlak. Daarbij draait het niet alleen om mindere technologische beschermingsmaatregelen, maar vaak ook om gebrekkig beleid en onzorgvuldige procedures op financieel gebied.
Voorkom e-mailfraude met deze vier maatregelen
Ja, als MKB-bedrijf loop je inderdaad meer risico op e-mailfraude. Maar nee, als je je zaken op orde hebt dan hoef je niet in paniek te raken. De volgende vier maatregelen zijn namelijk bijzonder effectief om e-mailfraude te voorkomen.
1. Train je medewerkers
Ook bij e-mailfraude geldt: veel incidenten voeren terug tot menselijke fouten of onoplettendheden. Via een security-awareness-training leren je medewerkers hoe ze de verschillende vormen van e-mailfraude kunnen herkennen, wat de ‘basishygiëne’ van informatiebeveiliging inhoudt (zoals sterke en wisselende wachtwoorden, omgaan met gevoelige informatie, etc.) én worden ze vertrouwd gemaakt met de interne beveiligingsbeleidslijnen en -procedures.
Hebben je medewerkers een security-awareness-training gehad? Dan heeft de gemiddelde phishing- of CEO-fraudepoging veel minder kans van slagen.
2. Technologische maatregelen
Op technologisch vlak kun je verschillende maatregelen nemen die de kans op e-mailfraude verkleinen. Denk aan:
- E-mailfilters (op basis van bijvoorbeeld DKIM, DMARC en SPF) die binnenkomende mails scannen op tekenen van fraude. Mogelijk frauduleuze mails worden automatisch gemarkeerd, naar de spammap verplaatst of geblokkeerd.
- Tweefactorauthenticatie is één van de effectiefste cybersecuritymaatregelen, die met name doeltreffend is bij phishing. Zelfs als phishers inloggegevens buitmaken, kunnen ze niet inloggen. Immers: ze beschikken niet over de tweede factor, wat tegenwoordig vaak de smartphone van medewerkers is.
3. Een robuust cybersecuritybeleid
Een robuust cybersecuritybeleid in algemene zin helpt ook tegen e-mailfraude. Denk (buiten de al genoemde maatregelen) aan zaken als een incident response plan dat de schade van een fraudegeval kan beperken, een asset administratie, een organisatie breed beleid voor wachtwoorden en software -updates, anti-virussoftware, een solide back-up- en herstelproces én regelmatige audits.
4. Strakke financiële procedures
Strakke financiële procedures zijn ook een probaat middel tegen e-mailfraude. Enkele voorbeelden:
- Het vier-ogenprincipe: voor bepaalde betalingen of handelingen zijn altijd twee mensen nodig zodat zij elkaar kunnen controleren.
- Verifieer ongewone betalingsverzoeken, bijvoorbeeld door KvK- en bankrekeninggegevens te controleren en/of te onderzoeken of je de voorgestelde transactie aan een bepaalde klant kunt koppelen.
- Houd regelmatig audits om onregelmatigheden op te sporen, zodat je fraude snel kunt aanpakken. In veel gevallen van CEO-fraude blijven oplichters na de eerste succesvolle poging doorgaan, waardoor de fraude tot wel maanden of zelfs jaren kan blijven voortduren.
Je e-mailsecurity op orde met KPN EEN MKB internet
Kies je als MKB-bedrijf voor KPN EEN MKB Internet? Dan zet je meteen een grote stap op het gebied van (e-mail)security op kantoor. Bij dit pakket zit namelijk standaard Extra Veilig Internet. Het KPN-modem beschermt in dat geval alle verbonden apparaten – van laptops tot beveiligingscamera’s – op basis van DNS- en webfiltering.
DNS-filtering wil zeggen dat frauduleuze websites worden geblokkeerd, waardoor jouw gebruikers niet op (bekende) phishing-sites kunnen komen. Het webfilter van Extra Veilig Internet werkt gedetailleerder, aangezien het webpagina’s ook blokkeert op basis van content die zo goed als zeker wijst op een fraudepoging.
Censornet: ook voor thuis en onderweg
Censornet, de security-dienst voor KPN EEN MKB-klanten, beveiligt álle apparaten en applicaties die binnen je organisatie worden gebruikt. Als geïntegreerde cloudgebaseerde beveiligingsoplossing werkt Censornet ook thuis en onderweg. Censornet controleert niet alleen op beveiligingsproblemen en verdacht gedrag van gebruikers, ook kun je er bepaalde applicaties, websites of acties mee blokkeren.
Het mooie? Met Censornet tackel je meteen het zwakste-schakel-in-je-cybersecurity-probleem door van je medewerkers een ‘menselijke firewall’ te maken. Via een virtueel security-awareness-trainingsprogramma kunnen ze namelijk alles leren over bekende cyberdreigingen, realistische phishing-simulaties doen én hun cyberverdedigingsvaardigheden verbeteren. Het gedetailleerde dashboard toont hoe sterk de beveiliging van je organisatie is, welke personen slecht hebben gescoord en waar verbeterkansen liggen.
Meer weten over Censornet en hoe jij als KPN EEN MKB klant deze tool kunt gebruiken? Maak dan nu een afspraak met onze MKB-adviseurs.
