Business Email Compromise (BEC): Hoe een wereldwijde fraude $55 miljard overschreed en hoe je het kunt voorkomen

Gepubliceerd op 12 september 2024 om 19:10

De wereldwijde schade door Business Email Compromise (BEC), een vorm van cyberfraude, heeft de afgelopen jaren ongekende hoogten bereikt. Volgens de FBI is er inmiddels voor meer dan $55 miljard aan schade gerapporteerd, verspreid over 186 landen. Maar wat is BEC precies, hoe werkt het, en waarom zijn cybercriminelen er zo succesvol mee? In dit artikel leggen we alles uit over BEC-fraude en geven we je tips om jezelf en je bedrijf hiertegen te beschermen.

Wat is BEC-fraude?

Business Email Compromise (BEC) is een geavanceerde vorm van e-mailfraude waarbij aanvallers zich voordoen als een betrouwbare entiteit, zoals een CEO, CFO, of een leverancier, om slachtoffers te misleiden en hen te laten geloven dat ze geld moeten overmaken naar de rekening van de aanvallers. Deze vorm van fraude maakt gebruik van zeer doordachte social engineering-technieken om bedrijven en individuen te overtuigen van de legitimiteit van de frauduleuze verzoeken.

BEC-fraude kan zich voordoen in verschillende vormen, maar de meest voorkomende methode is dat aanvallers toegang krijgen tot het e-mailaccount van een persoon met autoriteit, zoals een CEO of directeur. Dit kan worden gedaan via phishing of door het gebruik van zwakke of hergebruikte wachtwoorden. Zodra ze toegang hebben tot dit account, gebruiken ze de geloofwaardigheid van de afzender om andere medewerkers, vaak in de financiële afdeling, te overtuigen om een groot bedrag over te maken naar een frauduleuze bankrekening.

Een andere veelgebruikte techniek is spoofing, waarbij criminelen een e-mailadres nabootsen dat bijna identiek is aan dat van een legitiem bedrijf of persoon. Dit wordt vaak gecombineerd met typosquatting, waarbij een domein met een kleine wijziging in de naam wordt geregistreerd (bijvoorbeeld "microsof.com" in plaats van "microsoft.com"). Deze subtiele veranderingen worden vaak over het hoofd gezien door drukke medewerkers.

Wat deze fraude extra gevaarlijk maakt, is dat BEC zich richt op legitieme processen binnen bedrijven, zoals het uitvoeren van betalingen aan leveranciers. Omdat de communicatie zo goed lijkt op normale bedrijfsprocessen, is het voor medewerkers moeilijk om een frauduleus verzoek te herkennen, vooral wanneer het verzoek van hogerop lijkt te komen.

Hoe werkt BEC?

De criminele strategie achter Business Email Compromise is vernuftig en veelzijdig. Aanvallers gebruiken vaak een combinatie van technische en psychologische technieken om toegang te krijgen tot bedrijfsnetwerken en de benodigde informatie te verkrijgen. Een veelgebruikte methode is phishing, waarbij werknemers worden misleid om hun inloggegevens prijs te geven door te reageren op een geloofwaardige, maar valse e-mail. Wanneer een aanvaller deze gegevens heeft, kunnen ze toegang krijgen tot het zakelijke e-mailaccount van een hooggeplaatste medewerker.

In andere gevallen kunnen aanvallers toegang krijgen via malware of andere vormen van computerinbraak, waarbij ze niet alleen e-mails onderscheppen, maar ook gegevens stelen of wijzigen om een bedrijf verder te compromitteren. Zodra een account is overgenomen, observeren de aanvallers vaak eerst de e-mailcommunicatie om een goed begrip te krijgen van de interne processen en procedures. Dit stelt hen in staat om een geloofwaardige fraudepoging op te zetten, die past binnen de context van het bedrijf.

Naast phishing maken aanvallers ook vaak gebruik van social engineering. Hierbij manipuleert de aanvaller het slachtoffer om vertrouwelijke informatie prijs te geven, zonder dat daarvoor technische inbraak nodig is. Door simpelweg te doen alsof ze iemand van binnen het bedrijf zijn, kunnen aanvallers cruciale informatie verzamelen die hen helpt hun aanvallen te perfectioneren.

Het meest zorgwekkende aan BEC is de snelheid waarmee de aanvallers handelen nadat ze toegang hebben gekregen. Zodra de frauduleuze betaling is uitgevoerd, wordt het geld vaak snel overgeboekt naar buitenlandse bankrekeningen, vaak via een aantal tussenstations om het moeilijker te maken voor autoriteiten om het geld terug te halen. In veel gevallen wordt het geld naar banken in landen als Hongkong, het Verenigd Koninkrijk, China of de Verenigde Arabische Emiraten gestuurd, waar het daarna verdwijnt in complexe netwerken van rekeningen en geldstromen.

De wereldwijde impact van BEC-fraude

De wereldwijde impact van BEC-fraude is enorm en groeit snel. Tussen oktober 2013 en december 2023 hebben bedrijven en individuen wereldwijd gezamenlijk meer dan $55 miljard verloren door deze vorm van fraude. Dit cijfer vertegenwoordigt alleen de gemelde gevallen, wat betekent dat de werkelijke schade waarschijnlijk nog hoger ligt. Veel bedrijven schamen zich om fraudegevallen openbaar te maken, uit angst voor reputatieschade of juridische problemen.

Volgens de FBI is het aantal meldingen van BEC-fraude de afgelopen jaren dramatisch gestegen, met een toename van 9% in gerapporteerde schade tussen december 2022 en december 2023. Dit komt neer op duizenden bedrijven wereldwijd die jaarlijks worden getroffen, van kleine familiebedrijven tot grote multinationals. Het is een wereldwijd probleem dat geen enkel land of industrie lijkt te ontzien.

Wat deze fraudevorm bijzonder zorgwekkend maakt, is dat de schade vaak in de miljoenen loopt per incident. Grote bedrijven zijn vaak het doelwit vanwege de aanzienlijke geldbedragen die ze dagelijks overboeken. Echter, ook kleine bedrijven kunnen slachtoffer worden, en voor hen kan een enkele BEC-aanval verwoestend zijn.

BEC-aanvallers richten zich niet alleen op financiële transacties, maar ook op persoonlijke informatie van medewerkers. Dit kan later worden gebruikt voor identiteitsfraude of om toegang te krijgen tot andere zakelijke of persoonlijke accounts. Het gebruik van cryptocurrency door aanvallers maakt het nog moeilijker om gestolen fondsen terug te krijgen, aangezien deze transacties vaak moeilijk te traceren zijn en buiten het traditionele banksysteem plaatsvinden.

Hoe je jezelf en je bedrijf kunt beschermen

Hoewel BEC-fraude zeer geavanceerd is, zijn er effectieve maatregelen die bedrijven en individuen kunnen nemen om zichzelf te beschermen. Hier zijn enkele van de belangrijkste preventietips:

  1. Implementeer een strikt verificatieproces: Zorg ervoor dat wijzigingen in bankrekeninginformatie of andere gevoelige verzoeken altijd via een secundair kanaal worden geverifieerd, zoals telefonisch contact of een persoonlijk gesprek. Vertrouw nooit alleen op e-mailverzoeken.

  2. Gebruik unieke, sterke wachtwoorden voor alle accounts: Het gebruik van hergebruikte of zwakke wachtwoorden maakt het voor aanvallers gemakkelijk om toegang te krijgen tot meerdere accounts. Maak gebruik van een wachtwoordbeheerder om complexe, unieke wachtwoorden te genereren en te beheren.

  3. Activeer tweefactorauthenticatie (2FA): 2FA voegt een extra beveiligingslaag toe, waardoor het voor aanvallers moeilijker wordt om toegang te krijgen, zelfs als ze de inloggegevens hebben gestolen. Dit is een van de meest effectieve maatregelen tegen accountovername.

  4. Train je medewerkers regelmatig: Een goed geïnformeerd team is de eerste verdedigingslinie tegen BEC. Zorg ervoor dat medewerkers regelmatig worden getraind in het herkennen van phishing-e-mails en andere frauduleuze communicatie. Simuleer bijvoorbeeld phishing-aanvallen om hun paraatheid te testen.

  5. Beperk de toegang tot gevoelige informatie: Zorg ervoor dat alleen de medewerkers die het echt nodig hebben toegang hebben tot gevoelige financiële gegevens en accounts. Dit vermindert de kans dat een aanvaller succesvol is, zelfs als ze toegang krijgen tot een account.

  6. Monitor financiële transacties actief: Voer regelmatig controles uit op zakelijke rekeningen om verdachte activiteiten snel op te merken. Vroegtijdige ontdekking van een frauduleuze transactie vergroot de kans dat je het gestolen geld kunt terughalen.

  7. Houd software up-to-date: Zorg ervoor dat alle systemen en software, inclusief e-mailprogramma's, regelmatig worden bijgewerkt om beveiligingslekken te dichten die aanvallers zouden kunnen misbruiken.

Waarom BEC zo succesvol is voor cybercriminelen

Business Email Compromise is zo succesvol omdat het vertrouwt op menselijke zwakheden in plaats van op technische fouten. Terwijl veel bedrijven investeren in geavanceerde firewalls en antivirussoftware, blijft de menselijke factor de zwakste schakel in hun beveiligingsketen. Cybercriminelen gebruiken social engineering om vertrouwen te winnen en slachtoffers te manipuleren om geld of informatie over te dragen zonder dat ze zich ervan bewust zijn dat ze worden misleid.

Een ander aspect dat BEC zo effectief maakt, is dat het zich richt op routineprocessen binnen bedrijven. Betalingen en financiële transacties worden elke dag uitgevoerd, waardoor frauduleuze verzoeken vaak niet direct opvallen. De aanvallers wachten vaak geduldig op het juiste moment om toe te slaan, zoals tijdens vakantieperiodes wanneer besluitvormers mogelijk minder goed bereikbaar zijn.

Verder is het succes van BEC te danken aan de moeilijkheid om gestolen geld terug te krijgen. Doordat het geld vaak via verschillende internationale rekeningen wordt doorgesluisd, kan het traceren ervan weken of zelfs maanden duren. In veel gevallen is het gestolen geld tegen die tijd al verdwenen of omgezet in cryptocurrency.

Cybercriminelen blijven hun technieken aanpassen en verfijnen om de laatste beveiligingsmaatregelen te omzeilen. Dit zorgt ervoor dat BEC een voortdurende dreiging vormt, die moeilijk volledig kan worden uitgeroeid.

Begrippenlijst: Sleutelwoorden uitgelegd

  • Business Email Compromise (BEC): Een vorm van e-mailfraude waarbij criminelen zich voordoen als betrouwbare personen of bedrijven om geld te stelen.
  • Phishing: Een techniek waarbij criminelen zich voordoen als legitieme organisaties om persoonlijke gegevens te verkrijgen.
  • Typosquatting: Het registreren van domeinen met kleine typefouten die lijken op legitieme domeinen om slachtoffers te misleiden.
  • Spoofing: Het vervalsen van een e-mailadres of domein zodat het lijkt alsof een e-mail afkomstig is van een betrouwbare bron.
  • Social Engineering: Het manipuleren van mensen om vertrouwelijke informatie vrij te geven of handelingen uit te voeren die ze normaal niet zouden doen.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Bron: FBI

Meer artikelen over BEC fraude

CEO fraude nu en in de toekomst

Waar oplichters zich vroeger vooral op de gewone burger richtten, komt het nu steeds vaker voor dat criminelen hun snelle babbeltruc aan de deur inruilen voor een cyberaanval op lange termijn, met uitzicht op een aanzienlijk hogere opbrengst. Een van de meest populaire oplichtingstechnieken staat bekend als CEO fraude. Wat is dit precies, en hoe werkt het? We duiken in de wereld van CEO fraude om je te leren hoe je het fenomeen herkent en hoe je jezelf en jouw organisatie er tegen wapent.

Lees meer »