In een eerdere blog stonden we al eens stil bij de meest populaire cyberaanval onder cybercriminelen: phishing. Aangezien dit soort aanvallen voor criminelen relatief weinig moeite kosten en toch een hoge slagingskans hebben, vormen ze vaak een van de grootste risico’s op het gebied van cybersecurity voor organisaties. De kans van slagen wordt voor criminelen nog groter wanneer ze hun aanval op één organisatie, of zelfs specifieke personen binnen die organisatie, richten. Vaak doen ze zich in zo’n geval voor als een management- of directielid en beroepen ze zich op hun “autoriteit” om je te overtuigen geld over te maken of gevoelige informatie te delen. Deze vorm van phishing heet ook wel Business Email Compromise (BEC) of CEO-fraude.

Toch leert ervaring dat lezen over een cyberaanvalsvorm één ding is, maar dat dit soort aanvallen in de praktijk herkennen iets anders is. Vandaar dat we in dit blog aan de hand van een paar spraakmakende praktijkvoorbeelden de risico’s en mogelijk verstrekkende consequenties van dit soort aanvallen zullen illustreren. De gevolgen van phishing kunnen namelijk nog veel verder reiken dan alleen het lekken van een wachtwoord of bedrijfsinformatie.

CEO-fraude bij bioscoopketen Pathé

Veel Nederlanders zullen bekend zijn met de bioscoopketen Pathé. Toch weten minder mensen dat dit bedrijf in 2018 slachtoffer is geworden van een uitzonderlijk succesvolle phishingaanval, waarbij een enorm bedrag is buitgemaakt. Algemeen directeur Dertje Meijer en financieel directeur Edwin Slutter kregen op 8 maart een mail van het (zogenaamde) Franse hoofdkantoor met het verzoek om met spoed ruim 8 ton over te maken voor een geheime overname van een buitenlands bedrijf. Bij het verzoek werd zelfs een (fictieve) ondertekende bevestiging van de overname gestuurd. Doordat het verzoek van ‘bovenaf’ kwam, besloten Meijer en Slutter het bedrag over te maken. Toen de criminelen eenmaal beet hadden, durfden ze over te gaan tot nog gewaagdere verzoeken. Ze vroegen 2,5 miljoen euro extra. Toen ook dit bedrag werd overgemaakt stuurden de criminelen nieuwe facturen, telkens voor hogere miljoenenbedragen. Al met al hebben ze ruim 19.244.304 euro ontvangen voordat de fraude aan het licht kwam. In de nasleep van dit incident zijn zowel Meijer en Slutter ontslagen bij Pathé.

Dit incident illustreert nog maar eens dat iedereen doelwit en mogelijk slachtoffer kan worden van CEO-fraude. Ondanks de duidelijke waarschuwingssignalen (creëren van urgentie, beroep op autoriteit, persoonlijke benadering), waren de directeuren bij Pathé niet in staat de fraude te herkennen. Het onderstreept de noodzaak dat iedereen binnen een bedrijf, ongeacht zijn of haar functie, op de hoogte moet zijn in het herkennen van phishing en CEO-fraude.

CEO-fraude bij Oostenrijkse FACC

Dat er zelfs nóg meer buitgemaakt kan worden met deze vorm van fraude, bewees producent van vliegtuigonderdelen FACC. Een medewerker van de financiële afdeling kreeg een mail van ‘CEO’ Walter Stephan waarin verzocht werd ruim 50 miljoen(!) euro over te maken voor een geheime acquisitie. Gezien de ‘spoed’ van het verzoek en het feit dat deze vraag direct van de (zogenaamde) CEO kwam, maakte de medewerker dit bedrag zonder het te verifiëren bij de de buitenlandse partij. Toen de fraude aan het licht kwam, kon er nog slechts één van de betalingen van 10 miljoen euro stopgezet worden. De overige 40 miljoen was toen al spoorloos verdwenen. Ook hier kostte het incident de kop voor de directeur van het bedrijf.

Hack Amerikaanse verkiezingscampagne 2016

Een ander prominent en spraakmakend voorbeeld is dat van de Amerikaanse verkiezingen in 2016. De voorzitter van de verkiezingscampagne van Clinton, John Podesta, ontving een schoolvoorbeeld van een phishingmail waarin gevraagd werd zijn Google wachtwoord te resetten (zie afbeelding hieronder).

Hoewel de mail het verdachte domein googlemail.com bevatte in plaats van de standaard google.com die je zou verwachten, werd dit niet opgemerkt. Ook andere rode vlaggen zoals de verdachte link en ietwat atypische titel van de mail bleven onopgemerkt. Als gevolg heeft Podesta op de link geklikt en dacht hij zijn wachtwoord te veranderen. In de praktijk liet hij zijn wachtwoord achter op een frauduleuze website en gaf hij hiermee toegang tot duizenden geheime mails aan Russische hackers. Deze verschenen in de loop van 2016 op WikiLeaks en vormden een smet op de campagne van Hillary Clinton, waar haar tegenstander Donald Trump dankbaar gebruik van maakte.

Ook dit voorbeeld laat zien dat een simpele phishingmail verregaande consequenties kan hebben, soms zelfs op een breder maatschappelijk niveau. Als Podesta beter op de hoogte was van de typische rode vlaggen die het mailtje bevatte, zou hij er hoogstwaarschijnlijk niet ingetrapt zijn en had de presidentscampagne van Clinton niet onder de gelekte mails hoeven lijden.

Benieuwd hoe een phishing mail tot een ransomware-aanval op de KVNB heeft kunnen leiden? Lees meer via onderstaande blog.

Hulp bij herkennen van phishing en CEO-fraude

Dit blog toont nog maar eens aan dat iedereen een doelwit kan worden van phishing en CEO-fraude, met alle gevolgen van dien. De schade kan oplopen tot ver in de miljoenen, kan mensen hun baan kosten of in uiterste gevallen zelfs gevolgen voor de hele maatschappij hebben. Het onderstreept de noodzaak dat iedereen binnen een organisatie op de hoogte moet zijn van de belangrijkste waarschuwingssignalen van phishing en weet hoe zich hiertegen te wapenen. Hieronder nogmaals de belangrijkste stappen die je kunt nemen om je organisatie hiertegen te beschermen:

1. Train op het herkennen van phishing (door bijvoorbeeld workshops, of e-learnings)
2. Richt goede e-mail security in met een expert
3. Simuleer regelmatig aanvallen op medewerkers en je technologie
4. Implementeer verbeteringen over de assen mens, proces en techniek

Kan je hier wel wat hulp bij gebruiken en ben je benieuwd wat wij hierin kunnen betekenen?