Nederland populair onder CEO-fraudeurs

In Nederland krijgen meer dan 90 procent van de bedrijven te maken met phishingmails, waarmee ons land koploper is in Europa. Dit kan de opmaat zijn naar CEO en CFO-fraude, waarbij cybercriminelen zich voordoen als hoger geplaatste medewerkers om bedrijven op te lichten. Deze vorm van fraude wordt ook wel CxO-fraude genoemd.

Volgens het ‘2023 State of the Phish-rapport’ van Proofpoint vormen BEC-aanvallen (Business Email Compromise) een grote bedreiging voor Nederlandse organisaties, waarbij Nederlandse bedrijven met 92 procent het vaakst te maken hebben. Hierdoor is het risico op CxO-fraude ook fors hoger.
 
Bij CxO-fraude gaat het vaak om een authentiek lijkende e-mail, waarbij een externe partij zich voordoet als bijvoorbeeld de CFO van het bedrijf. Door middel van BEC-aanvallen vragen hackers vaak om het telefoonnummer van een medewerker van de financiële afdeling, om zich vervolgens via Whatsapp voor te doen als de CFO of een andere leidinggevende. Door een bijbehorende profielfoto te gebruiken lijkt het alsof er gewhatsappt wordt met de echte CFO. Vervolgens vragen de hackers om een betaling te doen of andere vertrouwelijke informatie te verstrekken.
 
Telefonische fraude is moeilijker te detecteren en te voorkomen dan e-mailfraude, omdat het vaak buiten de bedrijfssystemen om gebeurt. Daarom is het essentieel om duidelijke procedures te volgen en medewerkers op de hoogte te stellen van de werkwijze binnen het bedrijf. Hanteer bijvoorbeeld altijd een vierogenprincipe bij betalingen boven een bepaald bedrag en verifieer verzoeken om betaalrekeningen aan te passen. Door spamfilters correct en streng in te stellen, kunnen phishingmails en e-mail impersonatie beter worden herkend en gefilterd. Ook bij de onboarding van nieuwe medewerkers is het van belang aandacht te schenken aan security en te benadrukken dat het belangrijk is alert te blijven op mogelijke fraudepogingen. Ten slotte is het belangrijk om alert te blijven en het e-mailadres van de afzender te controleren. Wees op je hoede bij een ongewone hoeveelheid spelfouten en afwijkend taalgebruik, dit kan wijzen op een frauduleuze mail.
 
Kortom, het is belangrijk om als bedrijf alert te blijven en aandacht te schenken aan cybersecurity. Met de juiste maatregelen kunnen bedrijven het risico op CxO-fraude verminderen en zich beter beschermen tegen cybercriminelen.

Het is belangrijk om duidelijke procedures te hanteren
Het is essentieel om standaardprocedures te volgen en jezelf af te vragen waarom je hiervan zou afwijken. Zorg er daarom voor dat de procedures duidelijk zijn en dat medewerkers op de hoogte zijn van de werkwijze binnen het bedrijf. Hanteer onder andere altijd een vierogenprincipe bij betalingen boven een bepaald bedrag. Indien iemand je vraagt om een betaalrekening aan te passen, verifieer dit dan met de betreffende instantie.
 
Spamfilters
Door de spamfilters correct en streng instellen kunnen phishingmails en de hierbij veelgebruikte techniek ‘email impersonatie’ gemakkelijker worden herkend en gefilterd. Dit zorgt ervoor dat de kans op het openen van gevaarlijke mails afneemt.
 
Aandacht security bij onboarding
Nieuwe medewerkers zijn vaak nog niet volledig op de hoogte van de werkwijze binnen het bedrijf en kunnen daarom eerder in de valkuil van fraude trappen. Daarom is van belang bij de onboarding aandacht te schenken aan security en te benadrukken dat het belangrijk is alert te blijven op mogelijke fraudepogingen.
 
Wees alert
Controleer het e-mailadres van de afzender. Wees daarnaast op je hoede bij een ongewone hoeveelheid spelfouten en afwijkend taalgebruik, bijvoorbeeld wanneer iemand altijd afsluit met ‘vriendelijke groet’ en nu ‘met hartelijke groet’ schrijft. Dit kan allemaal wijzen op een frauduleuze mail.
 
Maak het bespreekbaar
Mocht iemand toch een verdachte mail hebben geopend, dan is het belangrijk dat dit direct gerapporteerd wordt aan de IT-afdeling of de security officer. Hiervoor is een open bedrijfscultuur nodig. Door het bespreekbaar te maken, kan de rest van de organisatie op de hoogte worden gebracht van de mogelijke fraudepoging en kunnen er maatregelen worden genomen om de schade te beperken.