Tijdens de Corona crisis werken veel mensen thuis. Contact met collega’s vindt plaats via telefoon, Whatsapp, videovergaderingen en e-mail. Cybercriminelen hebben het nog nooit zo gemakkelijk gehad om hun slag te slaan.
Je krijgt een belangrijke mail van je leidinggevende met het verzoek om vertrouwelijke documenten door te sturen. Is het echt een opdracht van je chef?
Verzekeringsmaatschappijen en IT-beveiligingsbedrijven waarschuwen voor een toenemend aantal frauduleuze e-mails waarin cybercriminelen zich voordoen als superieuren en geld naar hun eigen rekeningen laten overmaken.
Ongeveer 90% van alle cyberaanvallen begint met een e-mail.
De methode staat onder cyberdeskundigen bekend als “CEO-fraude. De fraudeurs stelen de e-mailadressen en online identiteiten van senior managers en hun medewerkers en laten vervolgens geld overmaken naar hun rekeningen.
Cybercriminelen maken momenteel gretig gebruik van de corona chaos.
AGCS, een industriële verzekeraar van Allianz, waarschuwt dat in sommige landen het aantal pogingen tot cyberaanvallen tussen medio februari en medio maart is vervijfvoudigd.
En de Japanse IT-beveiligingsonderneming Trend Micro schat dat er in het eerste kwartaal meer dan 900.000 aan corona gerelateerde spammails over de hele wereld zijn verstuurd. Trend Micro heeft geanalyseerd dat online fraudeurs in bijna realtime op de verspreiding van de epidemie hebben gereageerd.
IT-beveiligingsstandaarden in het thuiskantoor vaak te laag
De daders bereiden hun aanvallen vaak zeer grondig voor om zo geloofwaardig mogelijk in de virtuele huid van echte bestuurders te kruipen.
CEO-fraude wordt vaak geflankeerd door gerichte phishing-e-mails, telefoontjes of nep-websites. De corona-pandemie doet de economie wankelen, maar voor cybergangsters is de crisis blijkbaar een stimuleringspakket.
Voor een succesvolle cyberaanval moet de hacker de interesse en emoties van de betrokkenen wekken. De Corona crisis leent zich daar uitstekend voor.
De experts van AGCS zijn bezorgd dat sommige bedrijven hun IT-beveiligingsnormen hebben verlaagd, zodat de werknemers van thuis uit kunnen inloggen op het bedrijfsnetwerk. “Alleen omdat we “nonchalant” gekleed zijn in het thuiskantoor betekent niet dat we “nonchalant” mogen zijn met IT-technologie en beveiligingsstandaarden”, zegt AGCS-manager Jens Krickhahn.
Het enorme bedrag van ruim 19 miljoen Euro dat cybercriminelen met CEO-fraude bij de bioscoopketen Pathé hebben buitgemaakt zal deze week in menige managementvergadering worden besproken. En dat is ook belangrijk. We leggen aan de hand van twee vragen uit waarom.
Hoe groot is de kans dat onze organisatie ook slachtoffer wordt van CEO-fraude of een andere vorm van cybercrime?
Hoe kunnen wij voorkomen dat onze organisatie ooit zelf slachtoffer wordt van cybercriminaliteit of een menselijke fout van onze eigen medewerkers?
Eigenlijk zou deze vraag ruim vijf maanden na de invoering van de Algemene Verordening Gegevensbescherming (AVG) helemaal niet gesteld hoeven te worden. Want alle organisaties moeten hun privacybeleid eigenlijk nu op orde hebben.
AVG wekelijks op agenda managementoverleg
Aan de andere kant is het juist uitstekend als managers de AVG standaard op de vergaderagenda hebben staan. Is er deze week nog iets gebeurd waar we qua privacybeleid en AVG iets mee moeten doen?
Als het goed is heeft het management alle risico’s in kaart gebracht en zijn er technische en organisatorische maatregelen genomen om problemen zoals bij Pathé te voorkomen.
Budget vragen voor structurele Security Awareness Trainingen
Naar aanleiding van de CEO-fraude bij Pathé is het daarom uitstekend als managers tijdens het managementoverleg nu aandacht en budget vragen voor structurele Security Awareness Trainingen.
Een eenmalige Security Awareness presentatie van een uurtje is dan onvoldoende. Dat levert niets op. De goed opgeleide financieel manager die bij Pathé de mist in ging had jarenlang bij accountantsbureau KPMG gewerkt, had geen goed gevoel bij de opdrachten die hij per mail kreeg, maar ging toch het schip in.
De mens is de zwakste schakel in het cybersecuritybeleid van iedere organisatie.
Die Security Awareness presentatie moet onderdeel zijn van een trainingsprogramma en een privacycampagne binnen de organisatie. Uit onderzoeken blijkt dat alleen medewerkers die regelmatig getraind worden na een jaar werkelijk alert zijn voor alle signalen dat er iets mogelijk niet klopt.
PrivacyZone kan samen met partners een trainingsprogramma en een privacycampagne voor jouw organisatie opzetten. Wij verzorgen presentaties en trainingen op locatie in combinatie met korte maandelijkse security awareness e-learning modules en phishingtests. Medewerkers worden regelmatig op de proef gesteld. Bel 06-31995740 of mail naar info@privacyzone.nl als je meer wilt weten.
Hoe herken je phishing, vishing, shishing, malware of ransomware?
Leer medewerkers – en dus ook managers – hoe ze kunnen herkennen dat er een poging wordt gedaan om door phishing, vishing, shishing, malware of ransomware binnen te dringen in de systemen van de organisatie.
Hoe hadden de verantwoordelijke managers bij Pathé kunnen herkennen dat er iets niet klopte?
Achteraf weet iedereen het beter. Maar wat had jij gedaan als je als manager binnen een bedrijf niet geacht wordt om vragen te stellen over beslissingen van het topmanagement? Als je geacht wordt opdrachten klakkeloos uit te voeren?
Misschien maakt de eigen bedrijfscultuur het cybercriminelen wel erg gemakkelijk om door social engineering autoriteitsgevoelige medewerkers te manipuleren.
AVG houdt niet op bij de website
Veel managers denken ten onrechte nog steeds dat hun organisatie aan de AVG voldoet als de website op orde is.
Sommige managers denken dat het voldoende is om een verwerkingsregister bij te houden.
Veel managers denken dat de AVG pure bureaucratie is.
Pakkans door Autoriteit Persoonsgegevens groter dan je denkt
Denken dat de pakkans als gevolg van een controle klein is omdat de Autoriteit Persoonsgegevens te weinig mensen zou hebben om iedereen te controleren.
Ze vergeten daarbij dan dat de Autoriteit Persoonsgegevens eigenlijk helemaal niet veel hoeft te doen om zwarte schapen op te sporen.
De Autoriteit Persoonsgegevens wordt geholpen door professionele cybercriminelen, slordige medewerkers van bedrijven en slachtoffers van overtredingen van de AVG.
Autoriteit Persoonsgegevens wordt geholpen door proffessionele cybercriminelen
De Autoriteit Persoonsgegevens wordt geholpen door cybercriminelen? Door ethical hackers zeker… Nee echt, door echte professionele cybercriminelen.
Cybercriminaliteit is de snelst groeiende vorm van criminaliteit ter wereld. Er wordt meer geld verdiend met het hacken van computers dan met drugs.
Het risico om slachtoffer te worden van een cybercrimineel is vele maken groter dan het risico om regulier gecontroleerd te worden door de Autoriteit Persoonsgegevens.
Slachtoffers van cybercriminaliteit zijn vanwege de AVG verplicht dat zelf te melden bij de AP
In die zin wordt de Autoriteit Persoonsgegevens geholpen door professionele cybercriminelen. Iedere succesvolle hack door een cybercrimineel heeft voor getroffen organisaties namelijk automatisch tot gevolg dat zij zelf een datalekmelding moeten doen bij de Autoriteit Persoonsgegevens.
Enorme imagoschade door negatieve publiciteit
Daarnaast groeit de kans dat andere slachtoffers van een hack of een datalek door eigen schuld – klanten en medewerkers – een klacht indienen bij de AP en misschien ook publiciteit zoeken.
De directie van Pathé had de CEO-fraude waarschijnlijk graag buiten de media gehouden. De imagoschade is enorm. En daarbij komt nog eens de gigantische financiele schade.
Door de AVG is het echter vrijwel onmogelijk om overtredingen van de privacywet onder de tafel te werken.
Managers lopen persoonlijk enorme risico’s
Managers die dat doen lopen zelf enorme risico’s. Zij zijn volgens de AVG zelf verantwoordelijk en zelfs hoofdelijk aansprakelijk. En ze kunnen door hun werkgever worden ontslagen, weten de managers die slachtoffer waren van de CEO-fraude bij Pathé nu. De rechtbank in Amsterdam heeft het ontslag goedgekeurd.
Neem geen risico. Bel nu met PrivacyZone en maak een afspraak: 06-31995740.
CEO-fraude levert de bioscoopketen Pathé een schade van maar liefst 19 miljoen Euro op! De Nederlandse directie is volgens de rechtbank in Amsterdam terecht ontslagen wegens nalatigheid.
De gang van zaken bij deze CEO-fraude wordt naar alle waarschijnlijkheid een klassieker bij Security Awareness Trainingen voor managers. Het vonnis van de rechtbank beschrijft stap voor stap hoe de directie in de geraffineerde val van de cybercriminelen stapte.
Bij het lezen van het vonnis vraag je je af hoe de goed opgeleide topmanagers zo naief konden zijn. De financieel directeur had notabene jarenlang bij accountantskantoor KPMG gewerkt.
Toch liet hij zich misleiden door de professionele social engineering manipulatie van de professionele oplichter.
De directie van de Nederlandse tak van de Franse bioscoopketen Pathé ontving op 8 maart een e-mail van het ‘hoofdkantoor’ in Parijs. Met het dringende verzoek om meteen 800.000 euro over maken als aanbetaling voor een overname in Dubai. Er werd om strikte vertrouwelijkheid gevraagd. Er mocht niet over gebeld worden. Alleen mailwisseling via hetzelfde mailadres.
Bij iedere manager zouden meteen alle alarmbellen af moeten gaan. En zeker bij managers die in verband met de Algemene Verordening Gegevensbescherming (AVG) een Security Awareness Training hebben gehad.
De Nederlandse directie van Pathé vond het verzoek ook vreemd, maar betaalde desondanks. En werd zo slachtoffer van een klassieke vorm van CEO-fraude die het bedrijf uiteindelijk ruim 19 miljoen Euro heeft gekost.
Pathé is exploitant van bioscopen. Het Franse bedrijf is in Nederland marktleider. Pathé had in 2017 een omzet van 209 miljoen euro. Het aantal werknemers in Nederland is ongeveer 1900.
Beide directieleden werden meteen na de ontdekking van hun grote fout op non-actief gesteld en later op staande voet ontslagen.
De financieel directeur vocht zijn ontslag aan. Tevergeefs. De rechter heeft bepaald dat hij nog tot 1 december 2018 moet worden doorbetaald. Volgens de rechter heeft hij verwijtbaar gehandeld.
Volgens de rechter is niet aangetoond dat de twee ontslagen directieleden zelf betrokken zijn geweest bij de fraude.
“Pathé lijkt het doelwit te zijn geworden van een professionele bende van fraudeurs, welke door geraffineerde communicatie het vertrouwen van enkele Pathé-medewerkers wisten te winnen”, valt te lezen in het vonnis.
Ooit gehoord van CEO-fraude? Nee, het gaat niet over witte boorden criminaliteit. Niet over managers die hun zakken vullen. Het gaat over cybercrime.
CEO fraude is een methode die cybercriminelen toepassen om organisaties te misleiden. Ze doen zich voor als de CEO.
De daders verzamelen eerst uitgebreide informatie over de gewoonten en verantwoordelijkheden van een bedrijf.
Met deze kennis krijgen zij toegang tot het bedrijfsnetwerk of geven via e-mail en telefonisch contact aan geselecteerde medewerkers opdrachten voor banktransacties.
RTL-Z maakte er een item over met een praktijkvoorbeeld uit de bankwereld.
De cybercriminelen gebruiken ‘social engineering’ methoden om aan gevoelige informatie over de CEO’s te komen.
De term ‘social engineering’ te maken vat manipulatieve technieken samen die gebruikt worden om misbruik te maken van menselijke eigenschappen zoals behulpzaamheid, vertrouwen of respect voor autoriteiten. Op slinkse wijze kunnen onbevoegden zo wachtwoorden lospeuteren voor het bedrijfsnetwerk of bijvoorbeeld bancaire overschrijvingen goedkeuren van de bedrijfsrekening.
CEO Fraude: daders doen zich voor als bestuurders
De cybercriminelen vermommen zich daarbij als CEO, gedelegeerd bestuurder of bestuurslid en kunnen door hun voorkennis vaak heel goed omgangsvormen nabootsen.
In de meeste gevallen doen de daders ook alsof ze onder tijdsdruk staan en dringen ze er bij hun slachtoffers op aan om het bevel vertrouwelijk te behandelen.
Op deze manier willen de fraudeurs voorkomen dat er vragen worden gesteld en dat het gebruikelijke beginsel van dubbele controle wordt gehanteerd.
Als de slachtoffers het gevraagde bedrag overmaken, is de kans om het volledig in te vorderen klein en alleen met enorme inspanningen mogelijk.
De financiële gevolgen en de schade aan het imago en de zakelijke relaties kunnen voor bedrijven ingrijpend zijn.
De meest effectieve bescherming tegen social engineering is het gebruik van gezond verstand.
De meesteffectieve bescherming tegen maakbaarheid is het gebruik van gezond verstand.
De volgende beschermingsmaatregelen maken het voor de aanvaller moeilijker:
Gebruik persoonlijke en professionele informatie spaarzaam op sociale netwerken.
Met name uitnodigingen voor het netwerk van persoonlijk onbekende personen dienen met voorzichtigheid te worden behandeld. Omdat internetcriminelen informatie uit allerlei bronnen gebruiken en deze combineren tot een zo gedetailleerd mogelijk beeld van hun potentiële slachtoffers.
Deze informatie kan zo dienen om de identiteit van gebruikers in een vervalst contact zeer authentiek weer te geven en in hun rol bij social engineeringaanvallen te sluipen.
Onbekenden moeten voorzichtig zijn wanneer zij bellen of contact opnemen via e-mail, vooral als het gaat om gevoelige gegevens. Open nooit wachtwoorden of accountinformatie per telefoon of e-mail.
E-mails kunnen worden onderworpen aan een eerste korte controle op plausibiliteit en betrouwbaarheid met behulp van de 3-seconden controle.
Je kunt ook proberen de authenticiteit van de vermeende afzender te controleren door te bellen.
Wie de motivatie en trucs van social engineering aanvallers kent en begrijpt, is al goed voorbereid. In geval van twijfel is het echter beter om nogmaals te vragen dan nodig is.