nieuws

Social engineering fraude niet gedekt door cyberverzekering

Schade 1933

Het idee achter social engineering is eenvoudig: een crimineel laat een werknemer denken dat hij met iemand anders te maken heeft – zijn leidinggevende, de directeur of een klant – en overtuigt de werknemer een betaling te doen. Tegen de tijd dat de fraude ontdekt wordt, is het geld verdwenen en meestal niet terug te halen. Dit type fraude is uitgegroeid tot een wereldwijd probleem.

Social engineering fraude niet gedekt door cyberverzekering

Je CEO stuurt je vanaf zijn vakantieadres een e-mail om te vertellen dat een zeer geheime deal eindelijk gesloten is. Hij vraagt je direct een groot bedrag over te maken. De hele deal kan in duigen vallen als de betaling niet op tijd rond is. O ja, en nog iets: dit is allemaal zeer vertrouwelijk, u mag het er met niemand over hebben totdat hij maandag weer terug op kantoor is, en de deal is afgerond.

Dergelijke scenario’s komen steeds vaker voor. Ze hebben allemaal iets gemeen: ze vallen onder de noemer social engineering-fraude en kunnen tot enorme financiële schade leiden. Uit onderzoek van Trend Micro blijkt dat criminelen erin slaagden per incident gemiddeld 109.000 euro buit te maken in 90 landen. Dit realiseerden ze door het verzenden van e-mails waarin medewerkers gevraagd werd het juiste bankrekeningnummer voor bepaalde transacties door te geven.

Sommige landen worden vaker getroffen dan andere. Zo werd 2 procent van de bedrijven in Frankrijk en Noorwegen het slachtoffer van social engineering, maar bedroeg dit cijfer voor het Verenigd Koninkrijk wel 9 procent. Mogelijk komt dit doordat internationale fraudeurs moeite hebben met bepaalde talen.

Zwakste schakel

“Een van de redenen dat het aantal gevallen van social engineering toeneemt, is dat het een relatief eenvoudige vorm van fraude is,” zegt Anthony Wright, UKI Senior Financial Lines Underwriter bij Chubb. “Als het om beveiliging gaat, zijn individuen vaak de zwakste schakel. En bij social engineering draait het vooral om het duperen van individuen”, vertelt hij. “Zonder controlemechanismen om social engineering te voorkomen, sta je machteloos op het moment dat je het doelwit van een fraudeur wordt”, voegt hij daaraan toe.

De meest basale vorm van social engineering is het versturen van grote aantallen identieke e-mails naar organisaties waarin gevraagd wordt om betalingen aan een bepaalde leverancier (zoals een elektriciteits- of telefoonmaatschappij) voortaan naar een andere bankrekening over te maken. Dit type fraude is relatief eenvoudig te herkennen. Vaak bevat het e-mailbericht opvallende taalfouten, waardoor het niet waarschijnlijk is dat het afkomstig is van het bedrijf in kwestie.

Profiel opbouwen

Meer verfijnde pogingen tot social engineering zijn veel moeilijker te herkennen. Een fraudeur kan digitale informatie over een bepaald bedrijf verzamelen voordat hij contact legt. Dat doet hij door bijvoorbeeld de video van een presentatie van de CEO van het bedrijf op YouTube te bekijken om te zien hoe hij praat, en hoe zijn manier van doen is. Daarna gaat hij op de website van het bedrijf op zoek naar een geschikte medewerker, van wie hij persoonlijke gegevens opzoekt op Facebook, LinkedIn en andere sociale media.

“Een fraudeur kan digitale informatie verzamelen voordat hij contact legt”

“Met behulp van deze bronnen kan de crimineel een heel profiel van ‘Tim van de boekhouding’ opbouwen: hij werkt sinds vijf jaar bij het bedrijf, hij speelt golf en rapporteert aan Mandy”, legt Graham Hollingdale, UKI Financial Lines Development Underwriter bij Chubb uit. “Vervolgens kan de fraudeur nagaan wanneer de CEO op vakantie is (bijvoorbeeld met behulp van Facebook), en doen alsof hij de CEO is. Hij kan Tim bellen of e-mailen, even over golf kletsen en vervolgens met een geloofwaardig verhaal op de proppen komen over waarom er een betaling gedaan moet worden waarvan Mandy niks mag weten.”

Medewerkers complimenteren

Bij social engineering worden vaak uiterst simpele technieken ingezet, zoals het geven van complimenten. “Je werkt al vijf jaar bij het bedrijf, dus ik weet dat ik op jou kan vertrouwen om deze belangrijke, vertrouwelijke betaling te doen”, is een typisch voorbeeld van een zin die de een social engineering-fraudeur zou kunnen gebruiken.

“Een fraudeur geeft de werknemer vervolgens ook nog het gevoel dat de transactie dringend is. Hij zegt bijvoorbeeld dat de betaling voor een bepaalde tijd gedaan moet zijn omdat de deal anders niet doorgaat, of iets van gelijke strekking”, vertelt Graham. “Dat doet hij om de werknemer het gevoel te geven dat hij verantwoordelijk is voor het slagen van de deal. Die neemt vervolgens niet de tijd om te controleren of de transactie wel rechtmatig is, of hij wijkt in zijn haast af van de gebruikelijke betaalprocedures.”

Interne communicatie

Social engineering kan nog effectiever zijn als een crimineel in het e-mailsysteem heeft kunnen inbreken en toegang heeft tot interne communicatie tussen managers en andere werknemers, licht Anthony toe. “Fraudeurs kunnen duizenden e-mails per dag verzenden in de hoop één iemand te misleiden. Er is altijd wel iemand die toehapt als je maar genoeg e-mails rondstuurt. Maar we zien ook dat fraudeurs steeds meer tijd aan research besteden. Ze lezen de e-mailwisseling tussen bepaalde personen in een bedrijf en kopiëren vervolgens de stijl van deze berichten.”

Niet alle social engineering-fraude heeft echter tot doel medewerkers betalingen te laten doen, waarschuwt Anthony. Vaak gaat het meer om goederen dan om geld. “Een opvallend geval van social engineering-fraude had betrekking op camera-apparatuur. Een toeleverancier van een omroep ontving een bestelling van de omroep. Een werknemer werd overgehaald een grote hoeveelheid dure apparatuur op een bepaalde locatie af te leveren”, vertelt hij. “De omroep had echter nog nooit op die locatie gewerkt, en had de apparatuur ook niet besteld. Op een vergelijkbare manier belde, iemand die beweerde een klant te zijn, een bedrijf en haalde goederen op die nooit meer zijn teruggevonden.”

Fraude-verzekering

Door middel van een verzekering kan het risico van social engineering verkleind worden. Het is wel van belang dat je weet welk type verzekering er nodig is, stelt Anthony. “Hierover bestaat nog veel onduidelijkheid”, vertelt hij. “Sommige bedrijven denken dat ze slachtoffer zijn geworden van cybercrime wanneer ze in de val van een e-mailbericht zijn getrapt, of ze met e-bankieren geld hebben overgemaakt. Social engineering is echter uitgesloten van de dekking voor cybercrime of computerinbraak. Wat u in zo’n geval nodig hebt, is een fraudeverzekering.”

“Het is opvallend dat veel bedrijven geen werk maken van dit type verzekering, terwijl het relatief goedkoop is,” zegt Bryan Banbury, de managing director van verzekeringsmakelaar Russell Scanlan. “Om zich fysiek te beschermen, installeren bedrijven een inbraakalarm en videobewaking, barricaderen ze de ramen  en hebben ze ook nog een verzekering als back-up. Maar voor zaken als social engineering  is het gros nog helemaal niet verzekerd.”

Preventieve maatregelen

Het goede nieuws is dat moderne fraudeverzekeringen dekking bieden voor financiële verliezen in plaats van voor specifieke misdaden. Dat betekent dat een bedrijf waarschijnlijk ook gedekt is als een medewerker in een social engineering-val trapt en geld overmaakt. Zelfs wanneer hij vrijwillig goederen aan fraudeurs overhandigt.

Maar Graham wijst erop dat de meeste verzekeraars van hun klanten verwachten dat zij procedures hanteren waarmee ze zichzelf tegen dit type fraude beschermen. Deze maatregelen kunnen het risico op bepaalde vormen van social engineering aanzienlijk (en inmiddels aantoonbaar) verkleinen. “Als je een fraudeverzekering afsluit, krijg je waarschijnlijk ook goede tips over preventie, die je met je werknemers kunt delen”, vertelt hij. “Helaas kun je ook met goede preventieve maatregelen nooit uitsluiten dat je het slachtoffer wordt van social engineering.”

Terugbelprocedure

Ter preventie kan bijvoorbeeld een terugbelprocedure worden ingevoerd, waarbij de persoon die om een betaling vroeg, wordt teruggebeld. Tref extra maatregelen op het gebied van betalingen door bijvoorbeeld een goedgekeurde lijst met rekeningen in het leven te roepen. Of laat elke betaling door twee managers goedkeuren.

Graham voegt hieraan toe dat het verstandig kan zijn zelfs nog strengere controles in te bouwen. Dit kan bijvoorbeeld nodig zijn voor filialen of bedrijven waar slechts een paar mensen werken. Of voor buitenlandse vestigingen, die bijzonder gevoelig kunnen zijn voor dit soort fraude. “Dit geldt vooral voor gebieden waar mensen vanuit hun cultuur niet gewend zijn kritische vragen te stellen bij een opdracht die van een hogergeplaatste persoon lijkt te komen. In plaats van de wens van hun superieur in twijfel te trekken, zijn ze geneigd het verzoek eenvoudigweg uit te voeren.”

Social engineering fraude: drie types

Drie veel voorkomende types van social engineering-fraude en hoe je jezelf hiertegen kunt beschermen

  1. De ‘nep-CEO’

Vraag medewerkers, alvorens een betaling te doen, altijd:

  • om de directeur terug te bellen die de opdracht voor die betaling gaf. Op het nummer in de telefoonlijst van het bedrijf (en niet op het telefoonnummer dat in een e-mail staat);
  • bij een andere manager na te gaan of het betaalverzoek legitiem is, en te controleren of de bankrekening op een lijst van goedgekeurde rekeningnummers staat.
  1. Frauduleuze betalings- en overschrijvingsverzoeken

Laat medewerkers altijd:

  • weigeren betalingsinstructies per telefoon of e-mail te ontvangen of te verstrekken;
  • betalings- of overschrijvingsverzoeken alleen accepteren die schriftelijk, op briefpapier van het bedrijf, gedaan worden;
  • alle verzoeken controleren door ter bevestiging van de authenticiteit een bekende contactpersoon terug te bellen.
  1. E-mailfraude en wijzigingsverzoeken voor bankgegevens

Laat medewerkers altijd:

  • het bericht controleren op taalfouten en controleren of de afzender op een goedgekeurde lijst van contactpersonen staat;
  • op het e-mailadres van de afzender in het bericht klikken om te zien of het geen vals e-mailadres maskeert;
  • een terugbelprocedure volgen en een bekende contactpersoon bellen om de authenticiteit van het bericht te controleren;
  • het klantdossier controleren op eerdere verzoeken om bankgegevens aan te passen of grote bedragen aan nieuwe klanten over te maken.

Algemene beveiligingsmaatregelen

  • Houd een goedgekeurde lijst van leveranciers bij, inclusief de belangrijkste contactpersonen met hun e-mailadres en telefoonnummer.
  • Leveranciers moeten weten dat verzoeken om wijziging van bankgegevens altijd schriftelijk op briefpapier van het bedrijf gedaan moeten worden. En dat ze ondertekend moeten zijn door een tekenbevoegde persoon.
  • Zorg voor een dubbele controle bij het aannemen van nieuwe leveranciers om fraude met fictieve leveranciers te voorkomen.

Dit artikel is afkomstig uit Progress Magazine 2017.

Dit is een partnerbijdrage van Chubb. Bekijk hier een volledig overzicht van partnerberichten van Chubb.

Reageer op dit artikel