Hoffmann ziet nieuwe categorie domeinnamen opduiken in CEO fraude

21 juli 2016

De onderzoekers van Hoffmann constateren een toename van CEO fraude bij haar opdrachtgevers. De werkwijze voorziet er in dat een medewerker een valse e-mail krijgt van zijn directeur met het verzoek om met spoed geld over te maken. In recente zaken van Hoffmann is een aangepaste werkwijze geconstateerd waarbij de valse e-mail afkomstig blijkt te zijn van een domein ‘nl-bedrijfsnaam.com’ of ‘eu-bedrijfsnaam.com’, door de fraudeur aangemaakt. Als bedrijfsnaam is de naam van het aan te vallen bedrijf gebruikt. Het blijkt dat deze e-mails voor echt worden aangezien, zodat medewerkers denken in opdracht van de directeur te handelen en grote sommen geld gewoon overmaken.

Toegepaste methode voor CEO fraude

Er worden diverse methoden voor CEO fraude toegepast door internetcriminelen. Via de genoemde methode wordt er een vergelijkbare domeinnaam aangemaakt die lijkt op die van het doelwit. Vaak ziet zo’n domeinnaam er zeer betrouwbaar uit en verschillen deze met maar één letter van het origineel (bijvoorbeeld een w vervangen door vv, een i door een l). Vervolgens wordt er een e-mail gestuurd vanaf het e-mailadres van de CEO, maar dan met de valse domeinnaam, naar een medewerkers van de financiële afdeling met het verzoek tot een internationale betaling. Vaak ligt het eerste bedrag rond € 100.000. Bij succesvolle betaling worden hogere vervolgbetalingen gevraagd.

Gebruik van domeinnamen die beginnen met nl- en eu-

In recent onderzochte zaken is gebleken dat Internetcriminelen nu ook gebruik maken van mailadressen waarbij de domeinnaam van het aangevallen bedrijf wordt voorafgegaan door ‘nl-‘, dus nl-bedrijfsnaam.com of ‘eu-‘, dus eu-bedrijfsnaam.com. In de gehanteerde methode wordt dit domein geregistreerd op dezelfde dag als de dag waarop de CEO fraude e-mail wordt verstuurd. Hoffmann schat in dat internetcriminelen deze methoden gebruiken, omdat meer bedrijven zich beschermen tegen spoofing, een techniek waarbij e-mails daadwerkelijk vanaf het domein van het aangevallen bedrijf afkomstig lijken te zijn.

In juli bijna 500 verdachte nl- domeinnamen geregistreerd

Op basis van open bronnen onderzoek heeft Hoffmann geconstateerd dat er in de periode 15 juni – 17 juli 2016 in totaal bijna 500 verdachte, mogelijk frauduleuze, domeinnamen zijn vastgelegd met de prefix ‘nl-‘ en ‘eu-‘. Het gaat veelal om grote organisaties. "Onze inschatting is dat er gekozen wordt voor grotere bedrijven omdat gemiddeld genomen de afstand van de werkvloer tot de directie groter is en vaker dit soort zaken via de e-mail worden afgehandeld, zonder verder persoonlijk contact", aldus Maarten IJzermans, Unitmanager Risk Management. Hoffmann is bezig de bedrijven die het betreft te informeren. Een aantal van de onlangs geregistreerde domeinnamen is (met succes) gebruikt voor CEO fraude.

Hoe kunnen bedrijven zich weerbaar maken tegen CEO fraude?

Voor een goede informatiebeveiliging is het belangrijk om te kiezen voor een integrale aanpak, gericht op techniek, op het inrichten van de juiste processen en op het gedrag van de medewerkers om hen te leren hoe zij zich zo veilig mogelijk kunnen gedragen in hun communicatie. In geval van betalingen is het belangrijk dat medewerkers zich bewust zijn van deze vorm van fraude en voorbeelden zien van hoe internetcriminelen op dit gebied te werk gaan. Verder is het verstandig om duidelijke processen in te richten ten aanzien van (grote) betalingen. Het verdient de voorkeur dat grote betalingen alleen plaatsvinden na een persoonlijke controle door de bevoegde manager. Ook kunnen er technische maatregelen genomen worden om een besmetting via vervalste e-mails tegen te gaan.