Bescherm jezelf en anderen tegen email-fraude – 10 tips

Recent ontving ik een kort e-mailbericht van een collega: “Kunnen wij SEPA betalingen naar het VK doen?” Direct gingen er alarmbellen af. Ik had nog nooit contact gehad met die (nieuwe) collega, ik ga niet over het betalingsverkeer en er stond een banner boven het bericht dat de afzender niet kon worden geverifieerd. Het bleek een vals bericht bedoeld om een overboeking van € 20.000 te laten doen.

Maar wat nu als ik wél verantwoordelijk was geweest voor de bankbetalingen en als de betreffende collega wél gebruikelijk om overboekingen vraagt? Of wat wanneer zo’n zelfde e-mail bij jouw organisatie bij de CFO binnenkomt?

Dat overkomt mij niet!

‘CEO-fraude’ zoals deze methode wordt genoemd, blijft lucratief. De afgelopen jaren zijn verschillende incidenten geweest waarvan de bekendste waarschijnlijk Pathé is met een schade van ruim 19 miljoen euro. CEO-fraudes en andere phishing, smishing, vishing en whaling technieken (vergeet de namen vooral direct weer) worden gekenmerkt door één gemeenschappelijke deler en dat is het opwekken van vertrouwen. Soms bouwt de crimineel wekenlang een relatie op met het slachtoffer door over onbeduidende zaken te mailen alvorens de haak uit te gooien. Een beetje zelfvertrouwen is prima maar daarnaast is ook waakzaamheid en een aantal technische waarborgen van belang om niet het slachtoffer te worden van fraude.

Spoofing

Een ander risico is dat jouw klant slachtoffer wordt van een fraude uit jouw naam. Banken hebben hier veel last van. Het is helaas heel eenvoudig (en niet gereguleerd) om het caller id bij een oproep te veranderen in een ander nummer. Het is ook mogelijk te mailen met een vals afzendadres (‘email spoofing’).  Dit laatste is ook niet te voorkomen maar wel te detecteren zoals ook met de mail van ‘mijn collega’ is gebeurd. Het is daarom belangrijk de legitieme servers van jouw maildomein te registreren om te voorkomen dat jouw goede naam misbruikt wordt door een crimineel[1]. Je zou toch niet willen dat jouw klant gedupeerd wordt door iemand die jouw identiteit aanneemt?

Waakzaamheid

Naast technische ingrepen om e-mailverkeer veilig te houden, is het ook goed om aan de waakzaamheid van medewerkers te werken. Er zijn verschillende commerciële en overheidsorganisaties die simulaties aanbieden om de weerbaarheid tegen phishing te onderzoeken en daar op maat training op te bieden. Daarnaast is het goed dit onderwerp bespreekbaar te maken op interne overleggen en onderstaande tips te delen.

Toepasselijke wetgeving

In Nederland bestaat geen wetgeving die technische eisen stelt aan de uitwisseling van e-mail. Artikel 32 van de AVG spreekt echter over: “passende technische (…) maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen”.  Er zijn verschillende handreikingen door gezaghebbende overheidsinstellingen die zulke technische maatregelen adviseren[2].

Wat doet CROP op dit gebied?

Naast het doorvoeren van de SPF, DKIM en DMARC maatregelen maakt CROP gebruik van tooling om malafide berichten te onderscheppen en patronen van kwaadaardige code op te sporen. Vertrouwelijke bijlagen ontvangen en versturen we via een versleutelde verbinding. Verder volgen alle medewerkers een awareness programma en bouwen we aan een cultuur waarin we van fouten leren. Informatiebeveiliging blijft een constante cyclus van het nemen van maatregelen, evalueren en bijstellen. Ook bij onze klanten maken wij informatiebeveiliging graag bespreekbaar en biedt onze IT-audit afdeling ook praktische security diensten.

Tot slot

Het beschermen van het e-mailverkeer is een taak van zowel de verzender als ontvanger van e-mail. Helaas wordt e-mail veel misbruikt voor cybercriminaliteit. Maar door de kwetsbaarheid te verkleinen, kun je jezelf wapenen tegen frauduleuze berichten.

De tips

1. Kijk op internet.nl naar de instelling van de publicatie van jouw domein voor web en e-mail.
2. Stel SPF in op het maildomein. Stel als het uitvoerbaar is ook DKIM en DMARC in.
3. Voorzie binnenkomende mail die niet aan SPF voldoet van een waarschuwing en deel die ook met de afzender als de mail wél legitiem is.
4. Train medewerkers op de gevaren van phishing en andere cybercrime.
5. Stel e-mailberichten zo op dat het voor de ontvanger duidelijk is dat ze legitiem zijn.
6. Lees e-mail zoveel mogelijk in een e-mailclient en niet op de telefoon omdat de echtheidskenmerken dan veel makkelijker te verifiëren zijn.
7. Blokkeer het uitvoeren van e-mailbijlagen (inclusief macro’s).
8. Overweeg de inzet van hulpmiddelen om de mailstroom te monitoren.
9. Bel de afzender op als je een bericht niet vertrouwt. Stuur geen reply.

Gebruik andere platformen die minder makkelijk te misbruiken zijn (zoals Teams en portalen) wanneer dit mogelijk is.

[1] Dit kan door het instellen van een SPF-record, DKIM sleutel en DMARC-record. Hier zijn geen kosten aan verbonden maar afhankelijk van de situatie kan het wel arbeidsuren kosten. Overleg dit met je systeembeheerder.

[2] Zie bijvoorbeeld de factsheet ‘Bescherm Domeinnamen tegen Phishing’ van het Nationaal Cyber Security Center van de overheid. Via de website internet.nl kun je jouw domein op enkele basale web en e-mailinstellingen laten controleren.