Pas op voor BEC-fraude: Tips voor het MKB
Het Nationaal Cyber Security Centrum (NCSC-NL) slaat samen met vier grote securitypartijen alarm over de aanhoudende dreiging van Business E-mail Compromise (BEC) binnen het midden- en kleinbedrijf. Om mkb-ondernemers, die extra kwetsbaar blijken voor deze vorm van online fraude, beter te beschermen, heeft het samenwerkingsverband een nieuwe publicatie uitgebracht vol praktische inzichten en handvatten. BEC geldt inmiddels als een van de grootste veroorzakers van directe financiële schade bij organisaties.
Bij Business E-mail Compromise doen cybercriminelen zich geraffineerd voor als een vertrouwde relatie binnen of buiten de organisatie – zoals een leverancier, een collega of zelfs de algemeen directeur (de zogeheten 'CEO-fraude'). Door mails te kapen of e-mailadressen nagenoeg identiek na te bootsen, slagen criminelen erin om medewerkers te bewegen tot het overmaken van grote geldbedragen of het aanpassen van bankrekeningnummers op openstaande facturen.
Grote impact op het mkb
Mkb-ondernemers lopen hierbij extra risico. Waar grote enterprises vaak over uitgebreide securityteams en strikte, gelaagde controleprocessen beschikken, zijn de lijnen binnen het mkb korter en is het onderlinge vertrouwen groot. Criminelen misbruiken juist dat vertrouwen.
De publicatie is het directe resultaat van een intensieve publiek-private samenwerking binnen het zogeheten Programma Cyclotron. Deelnemende securityspecialisten Orange Cyberdefense, Attic Security, Invictus Incident Response en Tesorion zien het aantal BEC-incidenten in hun dagelijkse praktijk fors toenemen. Zij hebben hun gezamenlijke expertise en real-life casuïstiek gebundeld om ondernemers te tonen hoe een BEC-incident zich achter de schermen ontwikkelt.
Waar kun je als mkb’er op sturen?
Uit de praktijkervaringen van de Cyclotron-partners blijkt dat BEC-fraude zelden een puur technisch probleem is. Het succes van de aanval valt of staat met organisatorische en procesmatige factoren. De publicatie adviseert ondernemers onder meer te focussen op:
Vaste verificatieprocedures: Spreek af dat wijzigingen van bankrekeningnummers door leveranciers áltijd via een tweede, geverifieerd kanaal (zoals een bekend telefoonnummer) worden gecontroleerd.
Bewustwording op de administratie: Train medewerkers die over betalingen gaan op de specifieke kenmerken van BEC, zoals ongebruikelijke spoed of afwijkend taalgebruik van leidinggevenden.
Technische basisbeveiliging: Zorg voor een strikte inrichting van e-mailauthenticatie (zoals SPF, DKIM en DMARC) om het vervalsen van bedrijfsdomeinen te bemoeilijken.
Kracht van Programma Cyclotron
Het feit dat deze cybersecuritygids gratis beschikbaar wordt gesteld, onderstreept het doel van Programma Cyclotron. Binnen dit netwerk wisselen hoog-volwassen publieke partijen, zoals het NCSC, en private cybersecuritybedrijven continu actuele dreigingsinformatie uit. Door deze data te combineren, kunnen cyberdreigingen in Nederland sneller in kaart worden gebracht en kunnen organisaties effectiever reageren voordat er schade ontstaat.
De publicatie ‘Business E-mail Compromise (BEC): praktische inzichten en handvatten voor mkb’ers’ is vanaf nu kosteloos te downloaden via de kanalen van het NCSC en de deelnemende Cyclotron-partners.
Meer over cybersecurity
Over Witold Kepinski
