Wat is business email compromise (BEC)?

Het hacken van zakelijke e-mailadressen

Business email compromise (BEC) is een variant van phishing waarbij de inloggegevens van een zakelijk emailaccount worden gestolen. Vroeger werd zakelijke email over het algemeen gehost op de locatie van de bijbehorende organisatie. Tegenwoordig worden steeds meer online diensten gebruikt zoals Office 365 of G-suite.

BEC komt eigenlijk alleen voor tussen bedrijven en organisaties. Tussen bedrijven en consumenten zie je deze vorm van phishing niet. De reden hiervoor is dat cybercriminelen veel tijd en moeite stoppen in deze vorm van phishing. Voor een factuur van een paar honderd euro tussen bedrijven en consumenten is het de moeite niet waard. Dat is ook de reden dat er vaak grote bedragen gemoeid gaan bij business email compromise.

Naast ransomware wordt business email compromise gezien als de grootste financiële bedreiging op het gebied van cybersecurity. Elk jaar maakt de FBI een rapport over de totale economische schade door verschillende aanvallen. Volgens de statistieken van de FBI bedroegen de verliezen door BEC fraude tussen 2016 en 2021 ruim 43 miljard dollar.

Hoe werkt business email compromise?

Op het moment dat een phisher toegang krijgt tot jouw inbox nadat jouw credentials zijn gephisht, wordt er meegelezen met jouw emails. Door het meelezen met de conversaties die plaatsvinden, kan er worden achterhaald wanneer er een factuur gestuurd moet worden aan bijvoorbeeld een klant. De phisher zal dan een nepfactuur of een echte factuur waarbij hij het rekeningnummer heeft gewijzigd versturen vanuit jouw inbox naar jouw klant.

De klant betaalt de factuur die hij van jou heeft ontvangen. Maar het geld wordt niet naar jouw organisatie overgemaakt, maar naar het rekeningnummer van de criminelen. Wat hierbij lastig is, is dat de klant écht een email van jou heeft ontvangen en de ontvangen factuur heeft betaalt, alleen jij ziet dit geld niet op jouw rekening verschijnen.

Het kan voorkomen dat jouw klant de factuur in twijfel trekt, bijvoorbeeld omdat er ineens naar een ander rekeningnummer geld moet worden overgemaakt. De klant mailt jou met de vraag hoe dat kan, alleen onderschept de phisher de email. De phisher geeft een geloofwaardig antwoord op de mail en de klant betaalt alsnog de factuur. Vaak komt achteraf aan het licht wat er is gebeurt bij BEC. Op het moment dat jij contact opneemt met jouw klant om te vragen wanneer zij de factuur gaan betalen. Dan zullen zij natuurlijk zeggen dat is deze al is betaalt.

Er zijn gevallen bekend waar er meer dan een miljoen euro wordt buitgemaakt door de cybercriminelen door middel van business email compromise. Dit gebeurt ook in Nederland. Omdat de emails zo geloofwaardig overkomen, trappen mensen hier in.

Wie is het slachtoffer bij business email compromise?

Wie het slachtoffer is, is lastig in een BEC situatie. Het bedrijf dat geld over heeft gemaakt naar de criminelen is een slachtoffer, want die ziet zijn geld niet meer terug. Maar ook het bedrijf dat is gehackt door de phisher en het geld van de echte factuur niet heeft ontvangen is slachtoffer. Wat de klant zal niet nog een keer jouw factuur gaan betalen, in zijn ogen is dat al gedaan.

Vaak wordt er een strafrechtelijke procedure gestart tegen de criminelen. Maar er is ook een civielrechtelijke probleem tussen klant en leverancier; zij stellen elkaar in gebreke. De leverancier heeft zijn geld niet ontvangen en de klant heeft in zijn ogen betaalt maar het product/dienst niet ontvangen. BEC is moeilijk om aan te tonen, zeker als je geen goede inhoudelijke kennis hebt van hoe dit aanval scenario werkt. Klant en leverancier geven elkaar de schuld, terwijl het eigenlijk de hacker is die ergens in een inbox zit.

Je kan dus wel zeggen dat business email compromise een vorm van phishing is die hele grote gevolgen heeft. BEC vindt bijna dagelijk plaats. Alleen komt het niet vaak in het nieuws omdat beide partijen er niet bij gebaat zijn als het publiekelijk wordt gemaakt. Dat je het niet hoort, neemt niet weg dat het een ontzettend groot probleem is.

Meer weten over dit onderwerp? Luister dan onze podcast Sh** ik ben gehackt.. wat nu? Hierin vertelt Dennis van Dijk, CISO van de Gemeente Haarlemmermeer, over de hack die bij hun heeft plaats gevonden met behulp van business email compromise. Erik Biemans, hoofd cybersecurity bij Nomios, legt uit hoe wij de gemeente hebben geholpen bij het oplossen van deze hack.

Bij twijfel, altijd bellen

BEC is een redelijk nieuw aanval scenario. Beide partijen hebben een inspanningsverplichting om na te gaan of de factuur klopt. Als jij een factuur ontvangt waar je over twijfelt en terug mailt met de vraag of het wel klopt en je krijgt antwoord van jouw contactpersoon dat alles in orde is, dan kan je beredeneren dat je aan de inspanningsverplichting heb voldaan.

Wanneer je een factuur ontvangt waar je over twijfelt op het klopt. Bel dan jouw contactpersoon even op om het te controleren, en ga niet mailen. Op deze manier kan de phisher niet tussen jullie in zitten.

Verder lezen over dit onderwerp? Lees dan het blog van cybersecurity expert Erik Biemans over hoe je voorkomt dat jouw organisatie het slachtoffer wordt van phishing of BEC.