Wat is BEC-fraude?

Business E-mail Compromise (BEC) is een soort fraude waarbij cybercriminelen zich in een op maat gemaakte e-mail voordoen als iemand anders om geld of gevoelige bedrijfsinformatie te ontfutselen.

Voorbeeld van een BEC-fraude e-mail

Hoe werkt BEC-fraude?

Een medewerker bij een bedrijf heeft vaak divers e-mailcontact met verschillende partners, klanten en collega’s. We spreken over BEC-fraude wanneer een aanvaller zich voordoet als één van deze e-mailcontacten met het doel om (vertrouwelijke) bedrijfsinformatie te ontfutselen en een medewerker of ondernemer te misleiden om een geldbedrag over te maken.

Bij dit type fraude heeft een aanvaller vaak specifieke medewerkers op het oog als doelwit. Denk bijvoorbeeld aan medewerkers die financiële handelingen verrichten of in rechtstreeks contact staan met de directie. De e-mailberichten worden vaak op maat (na)gemaakt zodat het net lijkt alsof deze afkomstig zijn van een collega of partner met een - misschien op het eerste oog geen onverwacht - verzoek. Omdat het hier niet gaat om fraude waarbij een groot aantal spam- of phishingberichten wordt verstuurd, is het voor spamfilters lastig om BEC-fraudeberichten te herkennen.

Soorten BEC-fraude

De meest voorkomende vormen van BEC-fraude zijn: 

  • CEO-fraude

    Bij CEO-fraude doet een aanvaller zich voor als iemand met een hooggeplaatste functie zoals de Chief Excecutive Officer (CEO) van een bedrijf. Vanuit de naam van deze persoon wordt geprobeerd druk uit te oefenen op medewerkers binnen het bedrijf om een geldbedrag over te maken. Een voorbeeld van CEO-fraude is de situatie waarbij de bioskoopketen Pathé voor 19 miljoen euro werd opgelicht. Een Franse vastgoedontwikkelaar werd voor 38 miljoen opgelicht.

  • Factuurfraude

    In het geval van factuurfraude doet een aanvaller zich voor als een leverancier waarvan je als bedrijf verwacht een factuur te krijgen. De factuur wordt meestal vervalst met een ander bankrekeningnummer. Het worden ook wel 'spookfacturen' genoemd. Er kan ook worden verzocht om het bankrekeningnummer in het facturatiesysteem aan te passen. Een voorbeeld van factuurfraude is de situatie waarbij voetbalclub Lazio Roma voor 2 miljoen euro werd opgelicht.

Wat kun je doen tegen BEC-fraude?

Net als bij phishing wordt bij BEC-fraude geprobeerd een slachtoffer te misleiden. Daarom geldt ook voor BEC-fraude veel van het advies dat gegeven wordt bij phishing. Op de Phishingpagina vind je bijvoorbeeld de Phishing Bingokaart en de Phishing Quiz die kunnen helpen bij het herkennen van phishing.

In het geval van BEC-fraude is het met name belangrijk om alert te zijn op e-mails die urgentie meegeven aan een verzoek om op die manier extra druk uit te oefenen. Daarnaast moet je waakzaam zijn voor verzoeken die nét wat afwijken van het normale proces. Zorg dat processen binnen de organisatie worden nageleefd en neem direct, bijvoorbeeld telefonisch, contact op met de afzender wanneer een afwijkend of verdacht verzoek wordt gedaan. Bijvoorbeeld het versneld betalen van een factuur, het wijzigen van een bankrekening of het bevestigen van een order.

Identiteitsfraude voorkomen

Besef dat naast het alert zijn op mailtjes die je zelf binnenkrijgt, ook jouw eigen bedrijf misbruikt kan worden om bij jou of andere bedrijven BEC-fraude toe te passen. Sta daarvoor stil bij de volgende 2 risico's en bijpassende maatregelen.

  • Spoofing

    Bij spoofing lukt het een aanvaller om e-mails te versturen vanuit de domeinnaam van een ander bedrijf. Om dit tegen te gaan is het belangrijk dat je als bedrijf de e-mail beveiligingsstandaarden voor alle domeinnamen die je gebruikt inricht. Zo voorkom je dat aanvallers eenvoudig jouw domeinnamen kan spoofen en gebruikt in een BEC-fraude aanval.

  • Email Account Compromise (EAC)

    Het lukt een aanvaller soms om toegang te krijgen tot een e-mailaccount van een bedrijf. Bijvoorbeeld omdat in een eerder stadium inloggegevens zijn gestolen. Met deze toegang is het vrij eenvoudig om vanuit dat e-mailaccount een e-mail te versturen. Daarnaast kan een aanvaller bestaande e-mails inzien en zo een beter inzicht krijgen in de processen (of openstaande facturen) van een bedrijf. Deze bedrijfsinformatie kan gebruikt worden bij een BEC-aanval. Om dit te voorkomen is het belangrijk dat medewerkers gebruik maken van sterke en unieke wachtwoorden. Daarnaast zorgt het inrichten van tweefactorauthenticatie ervoor dat ook wanneer inloggegevens gestolen zijn, inloggen niet zomaar lukt.

Factuurfraude bij een softwarebedrijf

Een softwarebedrijf leek alle basisprincipes van veilig digitaal ondernemen toegepast te hebben. En toch ging het mis. Cybercriminelen omzeilden op slinkse wijze de tweefactorauthenticatie beveiliging van een e-mailaccount en stuurden valse e-mails naar klanten met openstaande facturen. Uiteraard met vermelding van een gewijzigd bankrekeningnummer.


 

Test je kennis over online fraude

Test je kennis over de meest voorkomende soorten online fraude in het zakelijke verkeer met de 8 vragen in deze Fraude Quiz.