Er zijn grosso modo twee soorten van deze ceo fraude berichten. Een die gemakkelijk te herkennen is aan afwijkend taalgebruik en afwijkende betaalmethode (in het VK: "same day UK to UK payment"). En een veel gesophisticeerder type met normaal Engels, typosquatted domeinen en geloofwaardige emails.

Enkele voorbeelden van de eerste soort:


Let op de leestekens en het 419 taalgebruik. De namen zijn namen van de CEO en bijvoorbeeld een CFO.

Geen van bovenstaande mails komt ook maar in de buurt van een geloofwaardig bericht bij native Engels sprekende ontvangers.

Voorkom dergelijke fraude dit door procedures in te stellen waarbij 2 factor authenticatie of PGP signeren van berichten nodig is.

Reken er niet op dat je spamfilter de berichten zal afvangen, ze worden typisch eenmalig en doelgericht verstuurd.

3.1 miljard .... allemaal weg d.m.v overboekingen / bankrekeningen. En waar klaagt Europol normaal gesproken over? Bitcoin...

Hoe zit het met de opsporing? Tot op heden nog weinig arresties gehad voor zover ik het nieuws heb gevolgd. Af en toe had men mazzel dat een bank de transactie terug kon draaien of onderscheppen. Het lijkt mij dat men sneller bij een persoon uitkomt waar op door gerechereerd kan worden dan bij Bitcoins. Ik heb dit ooit meegemaakt in een CIRT rol en daar was het geld bij een bank in het Midden Oosten opgenomen daar een money mule. Uit hem en zijn digitale gegevens zou je wellicht weer verder kunnen zoeken.

Het waren toen voornamelijk bendes uit Nigeria en China.

CEO fraude social engineering low tech gebaseerd op de angst voor onwelvalligheid aan de CEO. De verhouding en aanpak is bekend. Een van de grootste schadeposten.
Waar maakt men zich druk om... high tech zero day exploits want angst voor het onbekende.

"Om de e-mails geloofwaardig te maken, worden ze verstuurd vanaf een domeinnaam die sterk lijkt op die van legitieme bedrijven, maar dan met een kleine toevoeging. In deze gevallen door een toevoeging van ‘nl’ vóór de bedrijfsnaam in het e-mailadres. Bijvoorbeeld: @nl-naambedrijf.com", zo laat de politie weten.

Indien mailservers "kwetsbaar" zijn is het zeer eenvoudig om een mail te sturen die ogenschijnlijk afkomstig is van de "CEO" van het betreffend bedrijf naar de CFO van dat bedrijf met het verzoek om snel 10.200,- euro over te maken met kenmerk factuurnr 20160629-233 op rekeningnr XYZ. De "CEO", die op dat moment in het buitenland is, vertelt in die mail dat hij bij terugkomst op de zaak de originele factuur bij de CFO zal brengen. Een en ander na grondige social engineering door de "Phishers" die een goed beeld hebben gevormd van de aan te vallen organisatie en precies weten wie welke functie heeft en een goed moment afwachten. (zeker weten dat de CEO niet gestoord wil, kan worden)

e-mail spoofing is vrij eenvoudig te doen, ook voor ICT-leken.
Zie bijvoorbeeld: https://emkei.cz/

Gewoon duidelijke afspraken maken, bv. dat een CEO geen (spoed)betaalopdrachten meer geeft per e-mail.
Of hij doet het voortaan zelf, of hij geeft het telefonisch door. Mensen hangen tegenwoordig de godganse dag aan dat ding, ook CEO's, dus moet dat helemaal geen probleem zijn.
Een andere mogelijkheid is een geheime code meesturen, die telkens anders is, net zoiets als een tancode. Zolang die code niet overeenkomt, dan geen betaalopdrachten uitvoeren. Om dat nog veiliger te maken: de ene helft van tevoren afspreken (nooit digitaal opslaan en nooit op papier zetten) en de andere helft volgens die tanlijst.

Wanneer kan je een waarschuwing van het NCSC verwachten en wanneer niet?

Ik krijg de indruk dat het NSCC alleen voor phishing wil waarschuwen als een partner ze een waarschuwing geeft en ze anders net doen alsof hun neus bloed.

Bij bedrijven die groot genoeg zijn om een CEO en CFO te hebben worden bijna dagelijks pogingen met fraude gedaan om onterecht geld of goederen te krijgen. Als je een beetje op het www zoekt krijgje een indruk. valse papieren facturen met echt lijkende logo's en websites. Fraudeurs die zich voordoen als ontevreden klant en producten gratis krijgen doordat ze weten hoe de klantenservice werkt en waar er geen controle is. Fraudeurs die met social engineering opbellen als medewerker en zo opdrachten laten uitvoeren om diensten of producten aan te schaffen. En nog veel en veel meer.

Dat soort bedrijven zijn groot genoeg om die risico's te kennen en er zelfs aparte anti-fraudecontrolers voor in dienst hebben of al jaren peperduur voor inhuren.

Waarom waarschuwt het NCSC nu dan pas voor een van de vele vormen van fraude waarbij de fraudeur ook het internet gebruikt? En waarom deden ze dat eerder niet? En gaan ze dat voor alle andere fraude dan ook doen waarbij domeinnamen gebrukt worden met de naam van een bedrijf er in? Of hoef je eigenlijk niets te verwachten en heb je geluk als ze wel waarschuwen?

En waarom waarschuwt het NCSC niet voor al die phishingmails uit naam van bedrijven met een CEO, zoals ING Rabobank SNS Ziggo KPN waarbij ook valse domeinen en websites met de namen van die bedrijven worden gebruikt om geld te stelen of belangrijke betaalgegevens te krijgen? Of is dat niet belangrijk omdat die ontvangers geen CEO hebben en geen geld hebben om peperdure antifraudeconsultants in te huren?

Als ik het bericht van het NCSC letterlijk neem waarschuwen ze omdat ze een tip hebben gekregen van een partner en ze heel goed hebben samengewerkt met politie, de banken (Electronic Crimes Taskforce) en de Fraudehelpdesk en daarom de nu wel een waarschuwing geven.

Pas daarmee op. Je kunt een telefoonnummer faken, dus ook bijvoorbeeld een sms bericht.

CEO fraude gaat niet alleen via emails of SMSjes.

Ik heb laatst meegemaakt dat in de mail de "CEO" vertelde dat de geaddresseerde een telefoontje van een advocaat zal krijgen die zal toelichten waar het geld naar toe over gemaakt moet worden etc.
En die persoon werd inderdaad gebeld door iemand die ook nog goed Nederlands sprak.