Check Point: “Hackers misbruiken het thuiswerken om geldtransacties te onderscheppen”

Bunnik, 8 juni 2020 – Onderzoekers van Check Point, leverancier van cyberbeveiligingsoplossingen, zagen de afgelopen weken een stijging in BEC-fraude. Omdat veel werknemers nu thuis werken, doen cybercriminelen zich voor als CEO’s en CFO’s die hun medewerkers vragen om snel een bankoverschrijving te doen. Uiteraard naar een verkeerde bestemmeling.

Samengevat:

• Fraudeurs bestuderen zorgvuldig de handelingen van hun potentiële slachtoffers en houden deze organisaties maandenlang in de gaten
• Private equity-fondsen, durfkapitaal en mensen die geld toewijzen, zijn de belangrijkste doelen Een cyberbende stal 1,3 miljoen USD van drie private equity-fondsen
• De FBI beschouwt deze oplichterij als de grootste bedreiging in termen van geld

Onderzoekers van Check Point zeggen dat de omschakeling naar meer thuiswerken hackers heeft geïnspireerd om geldtransacties te kapen. Omdat we in deze periode meer afhankelijk zijn van digitale communicatie zoals e-mail om zaken te doen, zetten hackers een zogenaamde ‘BEC’-fraude op om te profiteren van mensen die elkaar niet face-to-face zien.

Wat is BEC-fraude?
BEC, wat staat voor Business Email Compromise, is een soort van fraude die gericht is op elektronische overschrijvingen. Een BEC-aanval begint met het hacken en vervalsen (spoofing) van e-mails om zich voor te doen als de manager van een bedrijf, meestal de CEO en CFO, of soms leveranciers. Eenmaal in het systeem vraagt de cybercrimineel naar een schijnbaar legitieme zakelijke betaling. De e-mail ziet er authentiek uit en lijkt ook effectief van een gekende leidinggevende te komen. Dus de werknemer voldoet aan die vraag. Meestal zal de fraudeur vragen om het geld over te schrijven of om cheques over te maken. Zonder het te beseffen, schrijft de werknemer het geld over naar een bankrekening van cybercriminelen.

BEC-aanvallers vertrouwen sterk op social engineering-tactieken om nietsvermoedende werknemers en leidinggevenden te misleiden. Ze doen zich voor als de CEO of een andere leidinggevende die bevoegd is om overschrijvingen te doen, waarbij de fraudeurs hun potentiële slachtoffers maandenlang nauwlettend in de gaten houden.

BEC: van enkeling naar georganiseerde misdaad door corona
Normaal gesproken wordt BEC-fraude door één persoon uitgevoerd. De onderzoekers van Check Point stelden echter vast dat deze oplichtingpraktijken steeds geavanceerder worden, waardoor ze nu als georganiseerde misdaad worden geclassificeerd. In april 2020 publiceerden de Check Point-onderzoekers een artikel over hoe ze een schema ontrafelden waarbij een cyberbende, die door de onderzoekers de ‘Florentine banker’ werd genoemd, een overschrijving van 1,3 miljoen USD tussen drie private equity-firma’s kaapte. Maandenlang bestudeerde de groep de e-mails van de targets, manipuleerden ze de correspondentie, registreerden ze lookalike-domeinen en cashten ze onmiddellijk op strategische momenten. Door een snelle interventie van Check Point Incident Response kon iets meer dan de helft van het gestolen bedrag worden teruggevonden.

Aanval in vijf stappen
Volgens de onderzoekers van Check Point zijn private equity en durfkapitaalbedrijven het primaire doelwit van BEC-fraude, omdat hackers weten dat deze organisaties vaak grote sommen geld overmaken (vaak aan partijen die ze niet live gezien hebben).

Om beter te begrijpen hoe deze hackers precies van hen proberen te profiteren, maakte Check Point een overzicht van de vijf stappen in de aanvalsmethodologie:

1. Observatieronde. Vanaf het moment dat de hackers controle krijgen over het e-mailaccount van het slachtoffer, beginnen ze de e-mails mee te lezen. Ze kunnen dagen, weken of zelfs maandenlang observeren en verkennen voordat ze actief ingrijpen in de communicatie. In deze periode brengen ze geduldig alle procedures en systemen van het bedrijf in kaart.
2. Controleren en isoleren. De aanvallers beginnen vervolgens het slachtoffer te isoleren van derden en interne collega’s door kwaadaardige mailboxregels te creëren. Deze e-mailregels leiden e-mails met specifieke inhoud of onderwerpen om naar een map die de hackers controleren (en onzichtbaar is voor het slachtoffer), waardoor in wezen een ‘Man in the Middle’-aanval ontstaat.
3. Lookalike-website. De aanvallers registreren lookalike-domeinen – websites die visueel bijna identiek zijn aan de echte websites van de organisaties die betrokken zijn bij de e-mailcorrespondentie die ze willen onderscheppen. De aanvaller verstuurt e-mails vanaf deze lookalike-domeinen. Er wordt een nieuwe conversatie gestart of doorgegaan met een bestaand gesprek, waardoor het slachtoffer in de veronderstelling is dat zijn gesprekspartner legitiem is.
4. Verzoek om geld over te schrijven. De aanvallers beginnen vervolgens met het injecteren van frauduleuze bankrekeninggegevens via twee technieken: A: Het onderscheppen van bestaande, legitieme overschrijvingen. B: Het genereren van nieuwe overschrijvingsverzoeken.
5. Geld overmaken. Cyberbendes manipuleren het gesprek totdat de derde partij de nieuwe bankgegevens goedkeurt en de transactie bevestigt. Als de bank de transactie afwijst vanwege een mismatch in de valuta van de rekening, de naam van de begunstigde of een andere reden, zijn de aanvallers er direct bij – ze controleren immers de mailbox van het slachtoffer – om de afwijzingen op te lossen totdat ze het geld in handen hebben.

Lotem Finkelstein, manager Threat Intelligence bij Check Point: “We zitten midden in een enorme verschuiving in criminele activiteiten. Hackers maken gebruik van het feit dat we allemaal thuis werken. We zien BEC-fraude als onderdeel van deze bredere trend. Als je een bedrijf of organisatie bent waarvan bekend is dat je grote sommen geld overmaakt, moet je weten dat je een primair doelwit bent voor dit type oplichting. Als je thuis werkt, kan iemand al  jouw e-mails controleren en manipuleren, vooral als je een aangewezen persoon bent binnen een organisatie die geld toewijst. We voelen ons verplicht om bedrijven, met name financiële instellingen, te informeren over deze praktijken en hoe ze veilig kunnen blijven. Zeker omdat we verwachten dat BEC-fraude in 2020 verder zal oprukken gezien de thuiswerkcultuur.”

Hoe bescherm je je organisatie tegen BEC-fraude?

De researchers van Check Point geven vijf tips om zich te beschermen tegen deze vorm van cybercrime:

1. Schakel multi-factor authenticatie in voor zakelijke e-mailaccounts. Voor dit type authenticatie zijn meerdere gegevens nodig om in te loggen, zoals een wachtwoord, meestal via een ander kanaal (bijvoorbeeld sms). Het implementeren van multi-factor authenticatie maakt het moeilijker voor een cybercrimineel om toegang te krijgen tot de e-mail van medewerkers.
2. Open geen e-mail van onbekende partijen. Als je dat wel doet, klik dan niet op links en open geen bijlagen, omdat deze vaak malware bevatten die toegang geeft tot jouw computersysteem.
3. Controleer het e-mailadres van de afzender. Een gespoofd e-mailadres heeft vaak een extensie die vergelijkbaar is met het legitieme e-mailadres. Maar er zitten verschillen in de schrijfwijze of er is een voorvoegsel.
4. Controleer altijd voordat je geld of data verstuurt. Maak het een standaardwerkwijze voor werknemers om e-mailverzoeken voor een overboeking of vertrouwelijke informatie altijd te bevestigen.
5. Gebruik ‘Doorsturen’ in plaats van ‘Beantwoorden’ op zakelijke e-mails. Door het doorsturen van de e-mail moet je het juiste e-mailadres handmatig intikken of uit je adresboek selecteren. Doorsturen zorgt ervoor dat je het juiste e-mailadres van de beoogde ontvanger gebruikt.