Wat is CEO-fraude?
Dus wat is CEO-fraude eigenlijk?
CEO-fraude is een geavanceerde e-mailzwendel die cybercriminelen gebruiken om werknemers te misleiden zodat ze geld overmaken of vertrouwelijke bedrijfsinformatie verstrekken.
Cybercriminelen sturen slimme e-mails waarin ze zich voordoen als de CEO van het bedrijf of andere leidinggevenden van het bedrijf en vragen werknemers, meestal van HR of boekhouding, om hen te helpen door een overboeking te sturen. Deze cybercriminaliteit, vaak Business Email Compromise (BEC) genoemd, maakt gebruik van vervalste of gecompromitteerde e-mailaccounts om e-mailontvangers te misleiden tot actie.
CEO-fraude is een social engineering-techniek die berust op het winnen van het vertrouwen van de e-mailontvanger. De cybercriminelen achter CEO-fraude weten dat de meeste mensen niet goed naar e-mailadressen kijken of kleine spellingsverschillen opmerken.
Deze e-mails gebruiken vertrouwde maar dringende taal en maken duidelijk dat de ontvanger de afzender een groot plezier doet door hem te helpen. Cybercriminelen azen op het menselijke instinct om elkaar te vertrouwen en op de wens om anderen te willen helpen.
CEO-fraude-aanvallen beginnen met phishing, spear phishing, BEC en walvisvangst om zich voor te doen als bedrijfsleiders.
Is CEO-fraude iets waar het gemiddelde bedrijf zich zorgen over moet maken?
CEO-fraude wordt een steeds vaker voorkomende vorm van cybercriminaliteit. Cybercriminelen weten dat iedereen een volle inbox heeft, waardoor het gemakkelijk is om mensen te overrompelen en te overtuigen om te reageren.
Het is van cruciaal belang dat werknemers het belang begrijpen van het zorgvuldig lezen van e-mails en het verifiëren van het adres en de naam van de afzender van de e-mail. Bewustwordingstraining en permanente educatie op het gebied van cyberbeveiliging helpen mensen eraan te herinneren hoe belangrijk het is om cyberbewust te zijn als het gaat om e-mails en de inbox.
Wat zijn de oorzaken van CEO-fraude?
Cybercriminelen gebruiken vier belangrijke tactieken om CEO-fraude te plegen:
Social engineering
Social engineering vertrouwt op het menselijke instinct van vertrouwen om mensen te misleiden om vertrouwelijke informatie op te geven. Met zorgvuldig geschreven e-mails, sms'jes of telefoontjes wint de cybercrimineel het vertrouwen van het slachtoffer en overtuigt hij hem om de gevraagde informatie te verstrekken of hem bijvoorbeeld een overboeking te sturen. Om succesvol te zijn heeft social engineering maar één ding nodig: het vertrouwen van het slachtoffer. Al deze andere technieken vallen onder de categorie social engineering.
Phishing
Phishing is een cybercriminaliteit die tactieken gebruikt, waaronder misleidende e-mails, websites en sms-berichten, om geld, belastinggegevens en andere vertrouwelijke informatie te stelen. Cybercriminelen sturen een groot aantal e-mails naar verschillende werknemers van het bedrijf, in de hoop een of meer ontvangers te misleiden om te reageren. Afhankelijk van de phishingtechniek kan de crimineel vervolgens malware gebruiken met een downloadbare e-mailbijlage of een bestemmingspagina opzetten om gebruikersreferenties te stelen. Beide methoden worden gebruikt om toegang te krijgen tot het e-mailaccount, de contactenlijst of vertrouwelijke informatie van de CEO, die vervolgens kan worden gebruikt om gerichte CEO-fraude-e-mails naar nietsvermoedende ontvangers te sturen.
Speervissen
Spear phishing-aanvallen gebruiken zeer gerichte e-mails tegen individuen en bedrijven. Voordat ze een spear phishing-e-mail verzenden, gebruiken cybercriminelen het internet om persoonlijke gegevens over hun doelwitten te verzamelen die vervolgens worden gebruikt in de spear phishing-e-mail. Ontvangers vertrouwen de e-mailafzender en het verzoek omdat het afkomstig is van een bedrijf waarmee ze zaken doen of verwijst naar een evenement dat ze hebben bijgewoond. De ontvanger wordt vervolgens misleid om de gevraagde informatie te verstrekken, die vervolgens wordt gebruikt om verdere cybercriminaliteit te plegen, waaronder CEO-fraude.
Uitvoerende walvisvangst
Executive walvisvangst is een geavanceerde cybercriminaliteit waarbij criminelen zich voordoen als CEO's, CFO's en andere leidinggevenden van bedrijven, in de hoop slachtoffers te misleiden tot handelen. Het doel is om de autoriteit of status van de leidinggevende te gebruiken om de ontvanger ervan te overtuigen snel te reageren zonder het verzoek met een andere collega te verifiëren. Slachtoffers hebben het gevoel dat ze iets goeds doen door hun CEO en bedrijf te helpen door bijvoorbeeld een derde partij te betalen of belastingdocumenten te uploaden naar een privéserver.
Deze CEO-fraudetechnieken berusten allemaal op één belangrijk element: dat mensen het druk hebben en niet de volle aandacht besteden aan e-mails, website-URL's, sms-berichten of voicemaildetails. Het enige dat nodig is, is een spelfout of een iets ander e-mailadres missen, en de cybercrimineel wint.
Het is belangrijk om werknemers van het bedrijf te voorzien van voorlichting en kennis over beveiligingsbewustzijn die het belang van aandacht schenken aan e-mailadressen, bedrijfsnamen en verzoeken die zelfs maar een zweem van verdenking hebben, versterkt.
Hoe u CEO-fraude kunt voorkomen
- Informeer uw werknemers over veelvoorkomende CEO-fraudetactieken. Profiteer van gratis simulatietools voor phishing om risico's op het gebied van phishing, social engineering en CEO-fraude te onderwijzen en te identificeren.
- Gebruik beproefde beveiligingsbewustzijnstraining en phishing-simulatieplatforms om de risico's van CEO-fraude-aanvallen top-of-mind te houden voor werknemers. Creëer interne cyberbeveiligingshelden die zich inzetten om uw organisatie cyberveilig te houden.
- Herinner uw beveiligingsleiders en cyberbeveiligingshelden eraan om regelmatig de cyberbeveiliging en het fraudebewustzijn van werknemers te controleren met phishing-simulatietools. Profiteer van microlearning-modules voor CEO-fraude om gedrag op te leiden, te trainen en te veranderen.
- Zorg voor doorlopende communicatie en campagnes over cyberbeveiliging, CEO-fraude en social engineering. Dit omvat het opstellen van een sterk wachtwoordbeleid en het herinneren van werknemers aan de risico's die kunnen ontstaan in de vorm van e-mails, URL's en bijlagen.
- Stel regels voor netwerktoegang op die het gebruik van persoonlijke apparaten en het delen van informatie buiten uw bedrijfsnetwerk beperken.
- Zorg ervoor dat alle applicaties, besturingssystemen, netwerktools en interne software up-to-date en veilig zijn. Installeer malwarebescherming en antispamsoftware.
- Integreer bewustmakingscampagnes, training, ondersteuning, opleiding en projectbeheer op het gebied van cyberbeveiliging in uw bedrijfscultuur.
Hoe kan een phishing-simulatie CEO-fraude helpen voorkomen?
- Meet de mate van kwetsbaarheid van bedrijven en werknemers
- Verlaag het risiconiveau van de cyberdreiging
- Vergroot de alertheid van gebruikers op CEO-fraude, phishing, spear phishing, social engineering en walvisvangst door leidinggevenden
- Zorg voor een cyberbeveiligingscultuur en creëer cyberbeveiligingshelden
- Verander het gedrag om de automatische vertrouwensreactie te elimineren
- Implementeer gerichte anti-phishing-oplossingen
- Bescherm waardevolle bedrijfs- en persoonlijke gegevens
- Voldoe aan de nalevingsverplichtingen van de branche
- Beoordeel de impact van bewustmakingstrainingen op het gebied van cyberbeveiliging
- Verminder de meest voorkomende vorm van aanval die datalekken veroorzaakt
Meer informatie over CEO-fraude
Voor meer informatie over CEO-fraude en de beste manieren om uw organisatie beveiligingsbewust te houden, deze link Als u nog vragen heeft.
