Business e-mail compromise (BEC, man-in-the-email-aanval)

Business e-mail compromise (BEC) is een beveiligingsexploit waarbij de aanvaller zich richt op een werknemer die toegang heeft tot bedrijfsgelden en het slachtoffer overtuigt om geld over te maken naar een bankrekening die door de aanvaller wordt gecontroleerd.

Volgens het Internet Crime Report van de FBI waren BEC-exploits in 2019 verantwoordelijk voor meer dan 1,77 miljard dollar aan verliezen. Zakelijke e-mailcompromittering is een van de top cyberverzekeringsclaims in 2020, en beveiligingsleverancier Proofpoint heeft bedrijven gewaarschuwd dat BEC-exploits steeds vaker worden gekoppeld aan COVID-19. De meest voorkomende slachtoffers van BEC zijn bedrijven die overschrijvingen gebruiken om geld naar internationale klanten te sturen.

 

BEC-exploits beginnen vaak met het gebruik van social engineering om een C-level doelwit malware te laten downloaden, op een geïnfecteerde link te laten klikken of een website te laten bezoeken. Zodra de account van de C-level manager is gecompromitteerd, kan deze worden gebruikt om een andere werknemer zover te krijgen geld naar de aanvaller te sturen.

 

Een populaire BEC-strategie is het sturen van een officieel uitziende e-mail naar iemand op de financiële afdeling van het bedrijf. In zo'n e-mail staat meestal dat er een tijdgevoelige, vertrouwelijke kwestie is waarvoor zo snel mogelijk een betaling moet worden gedaan naar de bankrekening van een klant, partner of ketenpartner. De aanvaller hoopt dat de nietsvermoedende persoon op de financiële afdeling zal denken dat hij zijn bedrijf helpt door een snelle overboeking mogelijk te maken, terwijl hij in werkelijkheid geld naar de bankrekening van de aanvaller stuurt.

Er zijn talloze manieren waarop BEC kan worden gebruikt om doelwitten te bedriegen. Hier volgen enkele voorbeelden:

  • Een gecompromitteerde werknemersrekening vraagt om een wijziging in de begunstigde informatie en maakt betalingen over naar de rekening van de dader.
  • De aanvaller stuurt een nepfactuur naar partner-leveranciers in de hoop dat ze de rekening betalen zonder er vragen over te stellen.
  • De e-mailidentiteit van een advocaat kan worden gebruikt om het doelwit onder druk te zetten voor onmiddellijke betaling.

Cybercriminelen kunnen een gecompromitteerde account (vooral die van HR-medewerkers) verder gebruiken om meer persoonlijk identificeerbare informatie (PII) te verkrijgen om later te gebruiken om het bedrijf of zijn klanten op te lichten. Maatregelen om dit soort financiële fraude te voorkomen zijn onder meer voorlichting van werknemers, het uitvoeren van pentests voor social engineering en de eis dat ten minste twee werknemers hun goedkeuring moeten geven aan verzoeken om betalingswijzigingen.