Alle bedrijven vertrouwen tot op zekere hoogte op e-mail. Op e-mail gebaseerde aanvallen tegen bedrijven zijn daarom een krachtig hulpmiddel voor cybercriminelen. Ze zijn ook moeilijk te beschermen omdat ze slechts één persoon in een bedrijf nodig hebben om met hen om te gaan en voor hen te vallen.
Phishing-e-mails zijn het meest voor de hand liggend. Tijdens een phishing-aanval wordt een medewerker gevraagd op een link te klikken en wordt zijn wachtwoord gestolen. Maar bedrijven moeten ook uitkijken voor meer geavanceerde aanvallen.
Vendor Email Compromise (VEC) is een nieuwe aanval die is gebaseerd op het compromitteren van zakelijke e-mail. Dus wat is het en hoe werkt het?
Wat is een compromis voor zakelijke e-mail?
Compromis voor zakelijke e-mail (BEC)-aanvallen hebben doorgaans betrekking op de imitatie van werknemers op hoog niveau. De aanvaller leert eerst genoeg over een bedrijf om te weten wie er werkt. Dit is niet moeilijk, omdat bedrijven vaak veel van deze informatie online delen.
De aanvaller maakt een e-mailadres aan met de naam van de CEO en neemt contact op met een werknemer die zich voordoet als die persoon. De medewerker wordt dan gevraagd om een spoedoverboeking te doen. De e-mail zal zowel een plausibele reden hiervoor als een gevoel van urgentie bevatten.
De aanval berust op het feit dat werknemers vaak de overstap maken uit angst om ontslagen te worden of anderszins met repercussies geconfronteerd te worden.
Wat is een e-mailcompromis van een leverancier?
VEC-aanvallen zijn een type BEC-aanval. In tegenstelling tot traditionele BEC-aanvallen, richten ze zich specifiek op leveranciers. Verkopers werken doorgaans met een groot aantal verschillende bedrijven. Het idee is dat als een aanvaller zich met succes kan voordoen als een leverancier, hij van al die bedrijven kan stelen.
VEC-aanvallen vergen meer werk en duren langer om te implementeren. Maar afhankelijk van de grootte van de verkoper kan de winst ook aanzienlijk hoger zijn.
Terwijl een werknemer zich misschien afvraagt waarom zijn baas plotseling wil dat hij een grote bankoverschrijving doet, is het vaak volkomen normaal dat een leverancier dit verzoek in de vorm van een factuur doet. Een VEC-aanval richt zich ook vaak op meerdere bedrijven, terwijl een BEC-aanval zich slechts op één bedrijf richt.
Hoe werkt VEC?
Er zijn veel variaties op het compromitteren van e-mail van leveranciers en de hoeveelheid inspanning die wordt geleverd, hangt af van de grootte van de leverancier en de potentiële beloning. De meeste VEC-aanvallen omvatten echter de volgende fasen.
Phishing tegen de verkoper
Een succesvolle VEC-aanval begint met het proberen toegang te krijgen tot e-mailaccounts die aan een leverancier zijn gekoppeld. Dit wordt meestal bereikt door phishing-e-mails te sturen naar werknemers van het bedrijf. Als een medewerker toestaat dat zijn inloggegevens worden gestolen, kan de aanvaller toegang krijgen tot zijn account en de aanval beginnen.
Leren over de verkoper
Zodra inloggegevens zijn gestolen, kan de aanvaller inloggen op de e-mail van de werknemer en informatie krijgen over het bedrijf en zijn klanten. De aanvaller moet begrijpen hoe vaak facturen worden verzonden, hoe ze eruit zien en naar wie ze worden gestuurd.
Tijdens deze fase stuurt de aanvaller meestal alle e-mails van het legitieme account door naar hun eigen account. Hierdoor kunnen ze het bedrijf volgen zonder door te gaan met toegang tot het account. Dit is nodig omdat de informatie die nodig is om de aanval te plegen vaak vele weken in beslag neemt en ze onder de radar kunnen blijven.
Nadat er voldoende informatie over de leverancier is verzameld, kan de aanvaller proberen zich voor te doen als deze. De aanvaller kan het e-mailadres van de leverancier gebruiken waartoe hij al toegang heeft. Of ze kunnen een nieuw e-mailadres aanmaken dat vergelijkbaar is met dat van de leverancier.
Ze nemen dan contact op met klanten en vragen om grote bankoverschrijvingen. Op dit moment begrijpt de oplichter zowel hoe legitieme e-mails verschijnen als wat voor soort overdrachtsverzoeken zinvol zijn. Hierdoor kunnen ze e-mails maken die zeer realistisch zijn.
Veel bedrijven betalen de factuur automatisch zonder om verificatie te vragen.
Wat gebeurt er als u een slachtoffer bent van VEC?
E-mailcompromis van leveranciers treft twee partijen, namelijk het bedrijf en hun klanten.
Hoewel de verkoper zijn reputatie kan schaden, verliezen ze geen geld rechtstreeks aan de aanvallers. Er wordt informatie gestolen van hun e-mailaccounts, maar deze informatie wordt gebruikt om geld van andere mensen te stelen.
De primaire slachtoffers van deze aanval zijn de klanten. Het bedrag dat ze verliezen, hangt af van hoeveel ze gewoonlijk aan de verkoper betalen en of de aanvaller in staat is om hen meer dan dat bedrag te laten sturen. Omdat de aanvallers anoniem zijn, is het meestal onmogelijk om de betaling terug te vorderen.
Hoe te beschermen tegen VEC
Zowel leveranciers als hun klanten kunnen zichzelf beschermen tegen VEC-aanvallen door de training van medewerkers te vergroten en de manier waarop e-mails worden geopend te veranderen.
Train werknemers om frauduleuze e-mails te identificeren
Dit type aanval wordt aanzienlijk moeilijker als de werknemers die voor zowel de leverancier als hun klanten werken, worden getraind om frauduleuze e-mails op te sporen. Alle medewerkers moeten de dreiging begrijpen gesteld door phishing.
Elke e-mail die een factuur bevat, moet ook extra worden onderzocht voordat een betaling wordt gedaan. De e-mails die naar de klanten van de leverancier worden gestuurd, zijn vaak realistisch en worden op het gebruikelijke tijdstip verzonden. Maar ze kunnen nog steeds worden gedetecteerd omdat het e-mailadres niet overeenkomt of omdat de betaling naar een andere bankrekening wordt gevraagd.
Twee-factorenauthenticatie implementeren
Twee-factorenauthenticatie (2FA) kan beschermen tegen phishing. Eenmaal toegevoegd aan een account, voorkomt het dat iemand inlogt, tenzij ze toegang hebben tot het 2FA-apparaat.
Dit voorkomt dat VEC-aanvallen plaatsvinden, want zelfs als een medewerker de aanvaller zijn wachtwoord geeft, kan de aanvaller het niet gebruiken.
E-mailcompromis van leveranciers is een belangrijke bedreiging om te begrijpen
Compromis met e-mail van leveranciers is een nieuw type compromis met zakelijke e-mail waarvan alle leveranciers en hun klanten op de hoogte moeten zijn. Het is vooral problematisch voor bedrijven die vaak aanzienlijke sommen geld betalen aan hun leveranciers, maar leveranciers zelf moeten zich ook bewust zijn van de mogelijke schade aan hun reputatie.
Zoals de meeste op e-mail gebaseerde aanvallen, vertrouwt VEC op zakelijke medewerkers die niet weten hoe ze frauduleuze e-mails kunnen identificeren. Het kan daarom worden voorkomen door meer training. Simpel maar effectief.
