De appjes vlogen over en weer tussen Security-collega’s van CSN tijdens de achtste aflevering van ‘Oplichters aangepakt’ van misdaadjournalist Kees van der Spek. Ditmaal bevond Kees zich in Johannesburg in verband met een CEO-fraudezaak. Een serieus probleem waar onze Security maar al te graag de tanden inzet. “CEO-fraude kost sommige bedrijven duizenden, soms zelfs miljoenen euro’s. Dat kunnen wij helpen voorkomen”, reageert Security Engineer Freek de Ruiter.
CEO-fraude wordt ook wel whaling of spear phishing genoemd. Een medewerker van de financiële administratie ontvangt een e-mail met daarin de mededeling dat er een flink bedrag overgemaakt moet worden naar een buitenlandse rekening. “CEO-fraude gebeurt heel sneaky”, zegt Freek. “De e-mail lijkt echt verstuurd te zijn door de CEO of CFO, waardoor de kans groot is dat een financiële medewerker geen vraagtekens zet bij de inhoud.”
Komen de persoon en het e-mailadres met elkaar overeen?
Om dit soort situaties te voorkomen worden klanten van CSN Groep gewezen op een extra securitydienst. “Wij hebben een unieke feature ontwikkeld”, meldt Security Engineer Dennis Hoogland trots. “Met de geavanceerde tool ‘Detect impersonation’ wordt gecontroleerd of de persoon matcht met het e-mailadres. Kloppen de gegevens niet, dan wordt de mail geweigerd.”
Automatische controle
Stel je CEO heet Jan Jansen en zijn e-mailadres wordt weergegeven als: Jan Jansen <j.jansen@gmail.com>. Dan is het voor een hacker een koud kunstje om een phishingmail te sturen vanuit: Jan Jansen <abcd1234@gmail.com>.
Als er verder geen links in de e-mail staan, dan zou deze e-mail zonder ‘Detect impersonation’ van CSN Groep gewoon worden doorgelaten. Jij moet als ontvanger dan steeds controleren of de naam en het e-mailadres overeenkomen. Freek: “Met onze tool wordt die controle voor je gedaan, zodat de kans dat je slachtoffer wordt van CEO-fraude tot het minimum wordt beperkt.”
Je organisatie te allen tijde beschermd
Het security-team van CSN Groep volgt al het nieuws rond cyberaanvallen op de voet. “Als je weet dat er vorig jaar 500 meldingen zijn binnengekomen bij de fraudehelpdesk en dat 30 à 40 bedrijven daadwerkelijk hebben betaald, dan zou je je toch serieus moeten afvragen hoe het met jouw beveiliging gesteld is”, meent Dennis. “Zo zou er van de MediaMarkt 43 miljoen euro worden geëist naar aanleiding van een phishingmail. Daar wil je je organisatie te allen tijde tegen beschermen.”
De implementatie van ‘Detect impersonation’ is met een paar uur geregeld, dus plan vandaag nog een afspraak met Karste in om CEO-fraude binnen jouw organisatie te voorkomen.