Hoe we een stokje hebben gestoken voor CEO-fraude in ons bedrijf
Bij CEO-fraude worden medewerkers – vaak werkzaam op financiële of administratieve afdelingen – benaderd waarbij het lijkt alsof zij een e-mail ontvangen van hun baas. Er wordt in deze mails gevraagd om hulp bij betalingen waardoor de ‘persoon’ aan de andere kant enorme hoeveelheden euro’s buit kan maken. Eerder dit jaar gebeurde dat bijvoorbeeld ook bij een Rotterdams staalbedrijf. De schade? 11 miljoen euro.
Maar hackers proberen het blijkbaar ook bij organisaties bom vol privacy professionals en security experts, zoals Privacy1. Ja dat klopt, wij werden doelwit van CEO-fraude. Maar gelukkig konden we er snel een stokje voor steken.
Wilma Hartsuiker is onze nieuwe managementassistente. Enorm blij zijn we met haar komst! Uiteraard werd dit vol trots vermeld op haar LinkedIn. Naast mensen die voor haar applaudisseerden, waren er ook wat kwaadwillenden die hun kans wilden grijpen om een leuk zakcentje bij te verdienen. Want, dikke kans dat een managementassistente toegang heeft tot de financiën. Tel daarbij op dat een nieuwe medewerker vast en zeker alles overheeft voor zijn of haar nieuwe baas en: kassa!
De hacker mailde haar op zaterdag met een uit Tsjechië afkomstig e-mailadres. Gespoofd, zodat het leek alsof de mail van mij – Marie-José, de vermeende CEO – afkomstig was. ‘’Heb je het druk?’’ werd er gevraagd. Aan Wilma, die op dat moment heerlijk van het weekend genoot. Ze zag de mail maandag pas, waardoor we samen een slim aanvalsplannetje konden bedenken.
Game on!
De rollen omgedraaid
We konden met onze ervaring inschatten wat de vervolgvraag van deze persoon zou zijn. Dus besloten we de hacker te antwoorden met de vraag wat er zo dringend was. We klikten uiteraard niet op de links in de mail, dat is uit den boze. Maar dat terzijde.
De hacker vroeg ons – of Wilma – om een aantal Google Play kaarten te kopen. De codes konden we doorsturen en uiteraard werd alles via Tikkie terugbetaald #yeahright. We verzonnen een leuk antwoord, codeerden deze, waardoor het leek alsof we de codes daadwerkelijk verstuurden waarop natuurlijk snel de reactie volgde: ‘’de codes werken niet. Maak een foto en mail ze maar.’’.
We stuurden onze decodeer-link. Als hij deze gebruikt heeft, werd hij verrast door een grappige opmerking. We vonden het namelijk best een stoere actie om CEO-fraude te plegen bij een bedrijf dat gespecialiseerd is in het voorkomen ervan. Hadden we z’n gezicht maar kunnen zien.
Alles begint en eindigt met het juiste bewustzijnsniveau
We hebben het incident vervolgens netjes gemeld bij de Fraudehelpdesk en onze huishacker Martijn Baalman, onder anderen bekend van onze podcasts, ernaar laten kijken.
Wees je altijd bewust dat (nieuwe) medewerkers in ondersteunende rollen via LinkedIn gescreend worden en vervolgens makkelijker en sneller dan je denkt slachtoffer kunnen worden van CEO-fraude. Deze vorm van fraude wordt namelijk (helaas) steeds vaker gebruikt, vaak met succes. Wil je medewerkers leren wapenen tegen dit soort fraudepraktijken en andere vormen van social engineering? Bekijk dan de mogelijkheden voor onze fysieke of online escaperoom, Hack the Room. Zo leer je op een laagdrempelige en effectieve manier de denk- en werkwijze van een hacker en loop je als bedrijf aantoonbaar minder risico op fraude en hacks.