Elk jaar gaan criminelen er met miljarden vandoor. Niet door in te breken in chique kunstgalerieën of bankkluizen, maar door op het juiste moment de juiste e-mail naar de juiste persoon te sturen. Zo doen ze dat.
In dit artikel leer je:
Wat business email compromise eigenlijk is
Hoe deze aanvallen stap voor stap worden uitgevoerd
De meest voorkomende soorten BEC-aanvallen
Een praktijkvoorbeeld van een aanval van $37 miljoen
Hoe je je bedrijf beschermt voordat het een doelwit wordt
Wat is business email compromise in cybersecurity?
Business email compromise is een cyberaanval waarbij criminelen zich voordoen als iemand die je vertrouwt om je te misleiden zodat je geld stuurt of gevoelige gegevens deelt. Wat het gevaarlijk maakt, is het geduld en de planning. Aanvallers besteden weken aan het leren hoe een bedrijf communiceert, wie de bevoegdheid heeft en wanneer ze moeten toeslaan. Tegen de tijd dat de e-mail aankomt, lijkt die op een normale e-mail van iemand die je kent.
Hoe werkt een business email compromise-aanval?
Er is een beproefd draaiboek voor deze aanvallen, en oplichters volgen het elke keer.
Stap 1 – Vind het doelwit
Het hele punt van een business email compromise-aanval is dat die overtuigend moet zijn. Gelukkig voor aanvallers is het internet een goudmijn aan informatie over potentiële doelwitten. Een snelle blik op je socialmediaprofiel kan je baan, goede vrienden en zelfs je manier van praten onthullen. Voeg daar persberichten over toekomstige bedrijfsplannen en bio's van bedrijfswebsites aan toe, en het begint geloofwaardig te lijken.
Aanvallers kunnen al die informatie verzamelen en binnen enkele seconden een e-mail maken die eruitziet en klinkt als het echte werk.
Stap 2 – Kom in de inbox
Om de inhoud van de e-mail echt te laten lijken, moeten aanvallers die verpakken in een glanzend, geloofwaardig jasje. Als het e-mailadres niet van een vertrouwde bron lijkt te komen, valt de hele oplichting in het water.
Aanvallers kunnen het domein spoofen door een naam te registreren zoals acme-corp.com in plaats van acmecorp.com. Of, als ze slim genoeg zijn, de echte inbox hacken, waardoor het bijna onmogelijk wordt om het van een echt bericht te onderscheiden.
Als het eruitziet als een eend en kwaakt als een eend, zullen de meesten denken dat het een eend is.
Stap 3 – Bouw vertrouwen op
Bij deze aanvallen is geduld de sleutel. Aanvallers kunnen zich wekenlang verbergen in een gehackte inbox, e-mailthreads lezen en communicatiestijlen leren kennen. Wanneer de e-mail uiteindelijk aankomt, gaat die op in eerdere e-mails en weerspiegelt die de toon en het verloop van het gesprek.
Stap 4 – Doe het verzoek
Zodra aanvallers je door en door kennen — je manier van praten, de namen en functies van je collega's en wat er in je bedrijf speelt — en ze zich met succes toegang tot je e-mail hebben verschaft, wordt het verzoek verstuurd.
Meestal gaat het om iets dat niet gemakkelijk ongedaan kan worden gemaakt. Het kan gaan om geld overmaken naar een bankrekening of het delen van privé-informatie. De sleutel is dat het onomkeerbaar moet zijn.
Zodra het doelwit beseft dat er iets mis is, moet de schade voor de aanvaller al zijn aangericht. Als ze extra sluw zijn, sturen ze het misschien zelfs tijdens een feestperiode wanneer iedereen minder alert is en de kans op succes groter is.
Stap 5 – Verdwij n zonder een spoor achter te laten
Nadat het geld is verstuurd, wordt het snel verplaatst via een reeks tussenrekeningen. Die bevinden zich meestal in het buitenland, waardoor het geldspoor zelfs voor opsporingsdiensten erg moeilijk te volgen is.
Voorbeeld van business email compromise
Business email compromise is de eindbaas van digitale aanvallen. Het gaat meestal om grote bedrijven en duizelingwekkende geldbedragen.
In 2019 verloor een van Toyota's grootste leveranciers tientallen miljoenen bij één enkele overboeking. De aanvaller brak in in het e-mailsysteem van Toyota Boshoku. Ze lazen berichten en leerden hoe het bedrijf communiceerde. Toen een grote geldoverboeking ter sprake kwam, vroegen ze iemand binnen het bedrijf met de bevoegdheid om geld over te maken om de bankgegevens voor de overboeking bij te werken. Het zag er legitiem uit, en het geld werd verstuurd.
Zomaar ineens, $37 miljoen, weg.
Soorten business email compromise-aanvallen
Niet alle voorbeelden van business email compromise zien er hetzelfde uit. Natuurlijk is het doel altijd om mensen te misleiden zodat ze zoveel mogelijk geld overhandigen, maar de aanpak kan heel verschillend zijn.
CEO-fraude (nabootsing van leidinggevenden)
Dit is de bekendste vorm van BEC. Een aanvaller doet zich voor als een senior leidinggevende, meestal een CEO of CFO, en zet iemand in finance onder druk om geld over te maken. Het werkt vanwege de machtsverhouding. Als de baas iets wil, staan de meeste mensen niet stil om te vragen waarom. Als dit dan wordt gecombineerd met een geloofwaardig achtergrondverhaal, is dat genoeg om iemand te laten handelen zonder er twee keer over na te denken.
Vendor email compromise
Aanvallers richten zich op relaties buiten het bedrijf in plaats van te doen alsof ze iemand binnen het bedrijf zijn. Ze richten zich op vertrouwde leveranciers en verkopers, mengen zich in bestaande e-mailgesprekken en vervangen echte betaalgegevens door die van henzelf. Vanuit het perspectief van het slachtoffer lijkt het op een routinematige factuurupdate van een leverancier met wie ze al jaren samenwerken.
Accountovername
Dit is de gevaarlijkste variant omdat er geen spoofing aan te pas komt. De aanvaller gebruikt het echte account. De e-mail komt van een echt adres en gebruikt de juiste toon. Het bericht ziet er volledig normaal uit, omdat het dat technisch gezien ook is.
Omleiding van salarisbetalingen
Deze is niet gericht op het geld van het bedrijf. In plaats daarvan richt die zich op de werknemers. Aanvallers doen zich voor als HR of als een werknemer en vragen om een update van de salarisadministratie, waarbij ze stilletjes een salaris omleiden naar een rekening die zij beheren.
Het slachtoffer ontdekt het pas op betaaldag, en omdat de bedragen kleiner zijn en het verzoek normaal lijkt, activeert het zelden een fraudealarm. Het is een tragere versie van BEC, maar raak genoeg werknemers en het loopt snel op.
BEC vs phishing – Wat is het verschil?
Phishing-e-mails bestaan al heel lang, en de meeste mensen weten hoe zoiets eruitziet. Het is die e-mail die je vertelt dat je een prijs hebt gewonnen, of dat een Nigeriaanse prins je hulp nodig heeft. Ze worden massaal verstuurd en vertrouwen op pure aantallen om iemand onvoorbereid te betrappen.
Waar phishing een net is, is BEC een sluipschutter. Aanvallers besteden weken aan onderzoek naar één bedrijf, soms één specifieke persoon. Tegen de tijd dat de e-mail aankomt, lijkt die op een bericht op dinsdagochtend van iemand die je kent.
Phishing is meestal uit op je inloggegevens, maar BEC slaat die stap helemaal over en gaat rechtstreeks voor het geld of de data.
Hoe herken je een business email compromise-aanval
BEC-aanvallen zijn ontworpen om normaal te lijken. Maar als je weet waar je op moet letten, zijn de signalen er.
De haast— Een e-mail die je onder druk zet om snel geld over te maken, zonder ruimte om te stoppen en te controleren.
De plotselinge verandering — Een leverancier of collega heeft ineens zomaar zijn betaalinformatie bijgewerkt.
Het bijna-juiste adres — De e-mail van de afzender scheelt maar één teken met de echte.
De toon die net niet klopt— Iets voelt niet goed, te formeel, te informeel of vreemd geheimzinnig.
Het verzoek uit het niets — Je wordt gevraagd iets te doen dat normaal via een ander kanaal zou verlopen.
Hoe voorkom je een business email compromise-aanval
Weten hoe deze aanvallen werken is het halve werk. De andere helft is ervoor zorgen dat je bedrijf geen gemakkelijk doelwit is.
Pak de telefoon
Als een e-mail je vraagt om geld over te maken of betaalgegevens bij te werken, antwoord er dan niet op. Bel de persoon rechtstreeks via een nummer dat je al hebt, niet het nummer uit de e-mail. Het kost dertig seconden en het is veruit het effectiefste wat je kunt doen.
Schakel tweefactorauthenticatie in
Als een aanvaller iemands inloggegevens in handen krijgt, kan 2FA een volledige overname van de inbox blokkeren. Het stopt niet alles, maar het maakt accountcompromittering aanzienlijk moeilijker.
Leer je team hoe goed eruitziet
Regelmatige training over wat BEC is, hoe het werkt en hoe de rode vlaggen eruitzien, kan je medewerkers veranderen in een verdedigingslinie.
Laat je tools een deel van het zware werk doen
Spamfilters en domeinauthenticatietools zoals SPF, DKIM, and DMARC kunnen BEC-pogingen eruit filteren voordat ze je team bereiken. AI-gebaseerde detectie gaat nog een stap verder. Het leert hoe normaal e-mailgedrag er binnen je organisatie uitziet en markeert alles wat verdacht is.
Veelgestelde vragen
Business email compromise is wanneer een crimineel zich via e-mail voordoet als iemand die je vertrouwt om je te misleiden zodat je geld stuurt of gevoelige informatie deelt. Aanvallers sturen een overtuigende e-mail die de toon van bedrijfse-mails weerspiegelt en zelfs van een bedrijfsadres afkomstig is.
Ze zijn verwant, maar niet hetzelfde. Phishing gooit een breed net uit en stuurt generieke e-mails naar zoveel mogelijk mensen. BEC-aanvallen zijn gericht. Aanvallers onderzoeken een specifiek bedrijf, een specifieke persoon en een specifiek moment. Het resultaat is veel overtuigender en veel kostbaarder.
De meeste business email compromise-oplichtingen beginnen met onderzoek. Aanvallers bestuderen de structuur en communicatie van een bedrijf. Zodra ze genoeg weten, spoofen ze óf een vertrouwd e-mailadres óf nemen ze een echt adres over.
CEO-fraude. Een aanvaller doet zich voor als een senior leidinggevende en zet iemand in finance onder druk om snel geld over te maken. Het werkt omdat de meeste mensen een dringend verzoek van de baas niet in twijfel trekken.
Ja. Bescherming tegen business email compromise begint bij mensen. Train je team om de rode vlaggen te herkennen, betaalverzoeken telefonisch te verifiëren en tools zoals 2FA en DMARC te gebruiken om je e-mail moeilijker te compromitteren. Geen enkele maatregel is waterdicht, maar de juiste combinatie maakt je een veel moeilijker doelwit.
__1440x360.01kn9s6z8zcf2njg0pzkatjd26.png)

Deel uw gedachten