Hoe één mail €200.000 kan kosten

In één van onze recente onderzoeken werd een bedrijf slachtoffer van een zorgvuldig uitgevoerde fraude: twee maanden nadat er door een werknemer op een phishingmail werd ingegaan – verstuurd vanuit een reeds eerder gehackt bedrijf – werd een bedrag van €200.000 overgeschreven naar een rekeningnummer dat gecontroleerd werd door de hacker of een zogenaamde money mule.

Dit scenario is geen alleenstaand incident. Deze week nog melden media een gelijkaardige aanval: een buitenlandse hacker kraakte de mailbox van een firma uit Diest en wijzigde het rekeningnummer op een factuur. VRT NWS: Buitenlandse hacker kraakt mailbox van firma uit Diest en zet eigen rekeningnummer op factuur.

i-Force wil dit type fraude daarom graag nog eens onder de aandacht brengen en enkele praktische aanbevelingen meegeven om dergelijke verliezen te voorkomen.

Hoe verloopt deze fraude in de praktijk?

1. 1. Een hacker of criminele groep krijgt toegang tot de mailbox of facturatieomgeving van een bedrijf (voornamelijk via phishing, social engineering of een eerder datalek).
   2. Binnen die mailbox worden uitgaande facturen of betalingsverzoeken aangepast
   3. Het bedrijf dat de factuur betaalt, vertrouwt op de factuur – vaak op basis van louter e-mail verificatie – en voert de betaling uit.
   4. Enkele weken of maanden later blijkt dat de betaling nooit is toegekomen op de juiste rekening – met financiële schade voor het slachtoffer tot gevolg.

In het genoemde nieuws­voorbeeld uit Diest had een hacker vanuit het buitenland toegang gekregen tot de bedrijfs­mailbox en daar het rekening­nummer op de factuur aangepast. Het bedrijf betaalde zonder extra verificatie – en moest achteraf concluderen dat het geld weg was.

In het recente i-Force dossier werd een waarschuwing van het gehackte bedrijf genegeerd, werd ondanks expliciete vraag van de bank niet naar de leverancier gebeld en werd enkel op e-mail vertrouwd. Met alle fatale gevolgen van dien.

Waarom zijn bedrijven kwetsbaar?

• Vertrouwen op e-mail en reeds bekende correspondenten creëert een vals gevoel van veiligheid.
• In veel organisaties ontbreekt het aan een rigoureuze second-factor verificatie bij betaling – bijvoorbeeld: Is dit rekeningnummer werkelijk van onze leverancier?
• De waarschuwingen (bijv. van phishing / hacking) worden soms niet voldoende opgevolgd of serieus genomen.
• Na hacking van een mailbox door phishing kunnen hackers weken (of zelfs maanden) meelezen – hun acties worden pas gestart wanneer deze een interessante uitgaande factuur of betalingsverzoek onderscheppen.
• Het interne bewustzijn rond “rekening­nummer wijziging”-fraude is vaak beperkt —phishing wordt vooral geassocieerd met wachtwoord-diefstal, minder met factuurwijziging.

Wat kunnen bedrijven doen om zich te beschermen?

De combinatie van het menselijke automatisme (“we betalen onze bekende leverancier”), het binnendringen van e-mailaccounts  en het gebrek aan verificatiemechanismen maakt dit type fraude zeer succesvol voor cybercriminelen.

Enkel ‘technische’ maatregelen nemen of vertrouwen op e-mailcorrespondentie volstaat niet: het moet gaan om een integrale combinatie van proces, techniek én awareness.

Hieronder onze aanbevelingen op basis van zowel praktijkervaring als recente incidenten:

1. 1. Standaard controle van het rekeningnummer
      Voer bij elke betaling een standaardcontrole uit op het rekeningnummer, zeker wanneer het afwijkt van eerdere betalingen.
   2. Leverancier bellen, niet enkel mailen
      Wanneer een factuur of betalingsverzoek een wijziging van bankgegevens vermeldt (of zelfs van contactpersoon), bel altijd het bekende telefoonnummer van de leverancier (niet het nummer in de e-mail) en verifieer: “Hebben jullie deze wijziging aangegeven?”
      In ons recent incident response dossier: de waarschuwingen waren, maar de verificatie vond niet plaats.
   3. Standaard proces voor wijziging bankrekeningnummer
      Definieer intern een proces waarin iedere wijziging van bankrekeningnummer moet goedgekeurd worden door minstens twee personen, mits correcte (telefonische) verificatie met de leverancier.
   4. Bewustzijnstraining voor medewerkers
      Leg uit dat phishing niet enkel credential-diefstal is – het kan ook gaan om manipulatie van facturatie. En simuleer scenario’s van bankrekening­wijziging-fraude in uw organisatie.
   5. Technische maatregelen (ter ondersteuning van processen)
      • Verplicht gebruik van de nieuwe verificatie systemen voor begunstigde (Verificatie van de naam van de begunstigde: banken starten met gefaseerde invoering | Febelfin) zoals bvb in Isabel (https://support.isabel.eu/nl-NL/knowledgebase/article/KA-02608)
      • Beperkte toegang tot facturatiesystemen en mailboxen
      • Multi-factor-authenticatie (MFA) op e-mailaccounts en monitoring op ongewoon extern inloggen, aanmaken van e-mailregels en mailbox forwarding.
   6. Incidentreactieparaatheid
      • Zorg voor een uitgewerkt en getest incident response plan en wees forensisch voorbereid: activeer de nodige logging en garandeer dat deze lang genoeg wordt bewaard om gebeurtenissen correct te kunnen reconstrueren in geval van incidenten.
      • Zorg dat medewerkers duidelijk weten bij wie ze terecht kunnen wanneer er een vermoeden van een cyberincident / factuurfraude is.
      • In geval van een incident: blokkeer onmiddellijk de betaling, informeer bank/financiële instelling, rapporteer aan uw forensisch/incident­respons­team.
   7. Overweeg het afsluiten van een cyberverzekering

Neem vandaag nog actie

Laat deze incidenten – zowel dat van de firma uit Diest als ons recent cyber incident response onderzoek – een waarschuwing zijn: vertrouw niet automatisch op de e-mailcorrespondentie en bekende leveranciers, maar bouw in uw organisatie een robuust proces in waarin wijziging van betalings­gegevens altijd telefonisch wordt bevestigd, wijzigings­verzoeken via strikt gedefinieerde procedures verlopen, en medewerkers getraind zijn om signalen op te pikken. Zo voorkomt u dat een hacker via een mailbox uw financiële veiligheid doorbreekt.

Heeft u nog vragen over hoe u uw weerbaarheid tegen cyber criminaliteit verbeterd? Wij helpen u graag. Als onafhankelijke dienstverlener op het vlak van fraude, forensics, integriteit, incident respons en cyber security richt i-Force zich op het helpen van bedrijven in hun weerbaarheid tegen cyber criminaliteit.