Business E-mail Compromise

  • Hans Wagtelenberg
  • dinsdag 29 april 2025 om 07:32
Misschien wel één van de meest voorkomende stukjes cyber ellende naast ransomware (waarbij het ene soms overgaat in het andere) is Business E-mail Compromise (BEC). Veel bedrijven hebben het al eens meegemaakt en vaak is het een vrij prijzige aangelegenheid. 

BEC is een vorm van oplichting waarbij cybercriminelen zich voordoen als vertrouwde partijen, zoals de CEO, een leverancier of andere vertrouwde derde. Het doel is om onschuldige en vaak welwillende medewerkers te verleiden tot het doen van ongeautoriseerde of ongewilde betalingen.

Soms gaat het om relatief kleine bedragen, maar in de wereld van StackSecure komen we onverschuldigde betalingen tegen van vaak wel honderdduizenden euro’s en in sommige extreme gevallen nog veel meer. 

bec
Laten we beginnen met een klein versimpeld voorbeeld uit de praktijk: 

Middels een phishing e-mail krijgt een kwaadwillende toegang tot de mailbox van Nancy, hoofd van de financiële administratie bij leverancier A.

De kwaadwillende bekijkt een maand lang alle mails met facturen die worden verstuurd door Nancy naar de klanten van leverancier A en komt tot de conclusie dat klant X wekelijkse forse facturen ontvangt. Klant X is dus gewend relatief vaak grote bedragen te betalen aan leverancier A en daarmee dus een interessant slachtoffer.

Nadat de kwaadwillende genoeg informatie heeft verzameld opent deze een reeds verstuurde factuur en bewerkt deze zodat het rekeningnummer wordt aangepast naar een rekening waar de kwaadwillende toegang tot heeft (het liefst een rekening van een katvanger uiteraard). 

Deze bewerkte factuur wordt verstuurd naar de administratie van klant X door de kwaadwillende vanuit de mailbox van Nancy. Omdat het bericht wordt verstuurd vanuit de mailbox van Nancy gaan er bij klant X geen (technische) alarmbellen af. Het is immers een bericht met een factuur van Nancy zoals deze regelmatig ontvangen worden.

De mail met de factuur is in de stijl geschreven van Nancy, geheel met een mooi opvolgend factuurnummer maar wel met een kleine opmerking dat het rekeningnummer van leverancier A is gewijzigd. 

Uiteraard verwijdert de kwaadwillende dit bericht uit de verzonden berichten in Nancy’s mailbox zodat niemand bij leverancier A op de hoogte is van de verstuurde valse mail. Tevens heeft de kwaadwillende in de mailbox van Nancy een regel ingesteld die eventuele reacties en vragen van klant X naar een mailbox van de kwaadwillende stuurt en verwijdert uit de mailbox van Nancy om als het even kan onopgemerkt te blijven.

Op deze wijze kan de kwaadwillende netjes eventuele berichten, met de vraag of het nieuwe rekeningnummer klopt, beantwoorden zonder dat Nancy deze berichten voorbij ziet komen. Altijd makkelijk.

Ondertussen is het de vaste betaaldag bij klant X waar financieel medewerkster Joke net de facturen heeft klaargezet voor betaling. Uiteraard, want Joke doet haar werk secuur, heeft ze het gewijzigde rekeningnummer netjes aangepast. 

De mail met het wijzigingsverzoek kwam van Nancy, die ze al jaren kent en verder was er niets opvallends te zien. Omdat Joke niet van gisteren is had ze nog wel even het bericht beantwoord met de vraag of er inderdaad een nieuwe rekeningnummer gebruikt moest worden. Deze mail werd netjes beantwoord door de kwaadwillende uit naam van Nancy. Joke was gerustgesteld. 

De betaling wordt uitgevoerd… Het geld is weg en Joke vreest voor haar baan.

Het is een erg simpel voorbeeld, maar het komt vaker voor dan men zou vermoeden. Tevens worden dit soort situaties vaak niet of slechts deels gemeld. Buiten het feit dat partijen soms uit schaamte (wij hebben kennelijk onze zaakjes niet goed geregeld) de vuile was niet buiten willen hangen kan er ook nog een aansprakelijkheidscomponent meespelen.

Wat maakt BEC nu zo gevaarlijk en anders dan de gewone phishing e-mails?

  • Het zijn geen oppervlakkige berichten maar geavanceerde aanvallen, die na een diepgaand onderzoek op het doel worden afgestemd. 
  • De afzender is vaak een vertrouwde partij die al gecompromitteerd is. Dus bijvoorbeeld een echte mail vanuit een bekende leverancier met een factuur zoals u deze gewend bent (wellicht met een iets wat afwijkend bankrekeningnummer).
  • Aanvallers zijn bekend met de communicatiestijl en kunnen deze vaak volledige imiteren, daarbij zijn dit soort e-mails door het gebruik van AI tegenwoordig moeilijker te spotten.
  • De berichten gaan vaak over bekende leveranciers, projecten of andere business processen die spelen bij de ontvangende organisatie. Ze lijken dus geheel logisch.
  • Men kan gelaagd te werk gaan, een e-mail met een hoge factuur met een andere bankrekening valt misschien op, maar als men enkele dagen eerder een wijziging van het bankrekeningnummer doorgeeft dan is er al een grotere kans dan het lukt om de administratie iets te laten gireren naar de rekening van de kwaadwillende. Met een beetje geluk zelfs alle klaarstaande facturen die betaald moeten worden.

 

Wat kun je doen tegen Business E-mail Compromise.


Uiteraard zal ik beginnen met het schaamteloos promoten van onze eigen StackSEP dienst die een laag aanvullende bescherming biedt bovenop hetgeen wat meestal al in de bekende cloudplatformen zit. Deze tool fungeert als extra filter, wordt op de organisatie afgesteld en middels wekelijkse rapportage vindt een continu verbeterproces plaats.

Nu we de belangrijkste maatregel ;-) hebben gehad kunnen we verder met de aanvullende maatregelen zoals het hebben van goede procedures. 

Het wijzigen van een bankrekening gaat namelijk een stuk moeilijker als een organisatie hier een duidelijk beleid voor heeft. 

Denk bijvoorbeeld aan een duidelijk proces waarbij elke wijziging van een bankrekening telefonisch geverifieerd moet worden. Gebruik bij het verifiëren wel het bij de organisatie bekende telefoonnummer en niet het nummer wat gemeld staat in de e-mail met het verzoek tot wijziging (dat zou zomaar ook eens vals kunnen zijn).

Een dergelijk procedure werkt ook goed bij e-mails betreffende valse spoedbetalingen vanuit de CEO. Indien geen telefonische verificatie, dan geen betaling.  Zie het als beleidsmatige verificatie en multi factor authenticatie.

Tevens ook zeker belangrijk om te benoemen is het trainen van medewerkers op dit gebied (uiteraard bieden we dit en nog veel meer via ons platform StackAware). Een gewaarschuwd mens telt voor twee en daarom is het goed medewerkers te bewapenen met kennis op dit gebied. 

Voor aanvullende vragen over Business E-mail Compromise, over onze eigen StackSEP oplosising of bij interesse in het trainen van medewerkers binnen de eigen organisatie dan verwijs ik graag door naar onze afdeling sales.