Business Email Compromise (BEC) begon rond 2013 als een serieus probleem, toen de Internet Crime Complaints Center (IC3) van de Amerikaanse overheid de eerste klachten hierover registreerde. Sindsdien zijn de verliezen door BEC-fraude wereldwijd gestegen, en in 2023 ontving IC3 maar liefst 21.489 klachten, met financiële verliezen die opliepen tot meer dan $2,9 miljard.
Inleiding
In deze blog lees je hoe je zakelijke e-mailaccounts veilig houdt en je organisatie beschermt tegen phishing en gerelateerde vormen van fraude.
Wat is Business Email Compromise?
De meeste definities van BEC beschrijven dit als een vorm van fraude waarbij zakelijke e-mailaccounts worden gecompromitteerd. In dit scenario wordt een gecompromitteerd account gebruikt om ogenschijnlijk legitieme e-mails te sturen naar collega’s, zakenpartners of klanten, vaak met een verzoek voor een financiële transactie. Dit kan gaan om een overboeking, betaling van een factuur, aankoop van cadeaubonnen, of simpelweg het verleiden van de ontvanger om malware te downloaden om een verdere aanval mogelijk te maken.
In dergelijke gevallen is het bijna onmogelijk voor traditionele e-mailbeveiliging om de dreiging te detecteren, omdat de e-mail afkomstig is van een geldig account. Er wordt dus sterk vertrouwd op het vermogen van de ontvanger om te herkennen dat de e-mail ongebruikelijk is.
Hoe voorkom je Business Email Compromise?
De beste manier om BEC-aanvallen te voorkomen, is het stoppen van de initiële accountcompromittering, die meestal plaatsvindt door phishing van het beoogde slachtoffer. Hieronder beschrijven we de huidige stand van phishing-aanvallen, de gevolgen van cyberaanvallen en hoe je jouw organisatie hiertegen kunt beschermen.
De huidige stand van phishing
Het onderzoeksteam van Eye Security heeft een toename opgemerkt in zowel de hoeveelheid als de complexiteit van phishing-aanvallen. Een bijzonder verraderlijke vorm van credential phishing is de ‘Adversary in the Middle’-aanval' (AitM), een onderwerp dat we eerder bespraken in onze blog “Hoe Eye Security je kan beschermen tegen Evil Proxies.” Deze aanval gaat verder dan enkel het nabootsen van een Microsoft-inlogpagina met een simpele gebruikersinterface. De techniek kopieert en laadt een exacte versie van de Microsoft-inlogpagina en omzeilt Multi-Factor Authenticatie (MFA). Dit is een man-in-the-middle-aanpak die kan leiden tot volledige overname van het account van het slachtoffer door de aanvaller.
Deze dreiging is zo groot dat we besloten hebben om deze blog te schrijven en 15 maatregelen te belichten waarmee je de kans kunt verkleinen dat jouw bedrijf slachtoffer wordt van Business Email Compromise.
1. Stap over op een Zero-Trust model
Het Zero-Trust model, waarin continu de identiteit van de gebruiker wordt geverifieerd, biedt een steviger beveiliging dan het traditionele ‘castle-and-moat’ model.
Afbeelding 1. Het verschil tussen een zero-trust model en een castle-and-moat model
Bij Zero-Trust moet een gebruiker zichzelf voortdurend opnieuw identificeren. Dit model stelt organisaties in staat om bijvoorbeeld toegang te beperken, afhankelijk van de situatie, en verdachte activiteiten op te sporen.
Laat me het uitleggen. Stel je een kasteel voor waar de poortwachter je identiteit aan de ingang controleert. Eenmaal binnen zijn er geen verdere controles, en mag je vrij door verschillende gebouwen bewegen. Dit is de essentie van het castle-and-moat-model.
Het zero-trust-model daarentegen, verhoogt de beveiliging aanzienlijk door de gebruiker continu te verifiëren — een principe dat samengevat wordt in de uitdrukking: "Vertrouw, maar verifieer". In dit model nadert een gebruiker de poort, en de poortwachter verifieert hun identiteit. Als de informatie klopt, mag de gebruiker naar binnen.
Eenmaal binnen in het beveiligde kasteel, komt de gebruiker een andere bewaker tegen. Deze bewaker, anders dan de eerste, neemt geen genoegen met de initiële identificatie. In plaats daarvan vraagt hij om een “code” van de gebruiker. Deze extra laag van verificatie is een cruciaal aspect van het zero-trust-model. Het doel is de beveiliging te versterken door aan te nemen dat geen enkele gebruiker of apparaat volledig te vertrouwen is, zelfs niet als ze eerder al door controles zijn gekomen.
Dit proces van continue verificatie zorgt voor een sterke verdediging tegen interne bedreigingen. Met het zero-trust principe op de achtergrond kan het model worden gebruikt voor het instellen van conditional access policies, het monitoren van afwijkende gebeurtenissen, en ook voor het implementeren van veilige processen rondom betalingen. In de volgende sectie gaan we hier dieper op in.
2. Geef Phishing Awareness Training
Periodieke phishing-awarenesscampagnes zijn essentieel voor bedrijven om het vermogen van hun medewerkers te vergroten om phishingbedreigingen te herkennen en af te weren. Deze campagnes hebben als doel medewerkers te leren hoe ze kwaadaardige links of verdachte e-mails kunnen herkennen en melden aan het beveiligingsteam, waarmee de kans op succesvolle man-in-the-middle-aanvallen kleiner wordt.
Hoewel het belangrijk is om te erkennen dat awareness-campagnes niet altijd een 100% succesgarantie bieden, spelen ze toch een cruciale rol in het versterken van de eerste verdedigingslinie van een bedrijf. Phishing-e-mails kunnen namelijk sterk lijken op legitieme communicatie, waardoor zelfs de meest alerte medewerkers moeite kunnen hebben om ze te onderscheiden.
Door een sterke cultuur van bewustzijn rondom cyberaanvallen te creëren en uitgebreide trainingen aan te bieden, helpen organisaties hun medewerkers proactief potentiële dreigingen te detecteren en er adequaat op te reageren.
Het is belangrijk op te merken dat medewerkers niet gestraft zouden moeten worden als ze per ongeluk op een phishing-e-mail klikken. Hun primaire rol is immers niet die van phishing-detector. In plaats daarvan moet het melden van verdachte e-mails worden aangemoedigd. Dit is een cruciaal aspect dat vaak over het hoofd wordt gezien, aangezien veel bedrijven de focus leggen op wie heeft geklikt, in plaats van op wie meldingen heeft gedaan.
Uiteindelijk is het doel een werkomgeving te bevorderen waarin medewerkers minder vertrouwen en meer verifiëren, in lijn met de principes van het zero-trust-model. Deze aanpak verbetert niet alleen de beveiliging, maar bevordert ook een cultuur van waakzaamheid en verantwoordelijkheid.
3. Implementeer Multi-Factor Authentication
Eye Security raadt aan om de Microsoft Authenticator te verplichten voor multi-factor authenticatie (MFA) en alle andere MFA-methoden uit te schakelen, zodat gebruikers alleen kunnen inloggen via de Microsoft Authenticator-app. Dit stelt organisaties in staat om specifieke beleidsregels af te dwingen die het bewustzijn van gebruikers vergroten.
Afbeelding 2. Multi-factor authenticatie via de Microsoft Authenticator
Een van deze beleidsregels is number matching, waarbij de gebruiker informatie op zowel de telefoon als het computerscherm moet verifiëren. Dit stimuleert gebruikers om meer alert te zijn op de bezochte pagina, verkleint de kans op ongeautoriseerde toegang en zet hen aan om hun acties zorgvuldiger te overwegen.
Een andere nuttige functie is het beleid voor extra context tijdens het inlogproces. Hiermee toont de authenticator-app de locatie van het apparaat van de eindgebruiker naast de locatie van waaruit de inlogpoging wordt gedaan. Dit is vooral nuttig om potentiële beveiligingsinbreuken te identificeren en te voorkomen, aangezien gebruikers eenvoudig kunnen zien of de inlogpoging afkomstig is van een onbekende locatie. Als ze zich niet op die locatie bevinden, kunnen ze direct herkennen dat de poging niet van hen is en de toegang weigeren.
4. Pas een sterk wachtwoordbeleid toe
Het afdwingen van een sterk wachtwoordbeleid voorkomt ongeautoriseerde toegang, omdat het een extra barrière vormt tegen wachtwoord-raden en brute-force-aanvallen. Een sterk wachtwoord bevat idealiter minstens 12 tekens met een mix van hoofdletters, kleine letters, cijfers en speciale tekens.
Het is ook belangrijk om gemakkelijk te raden persoonlijke informatie, zoals geboortedata of veelvoorkomende woorden, te vermijden. Het wordt aanbevolen om elke 90 tot 180 dagen een wachtwoordwijziging te vereisen. Eye Security adviseert het wachtwoordbeleid van Google te volgen, dat te vinden is in deze handleiding van Google.
5. Gebruik een wachtwoordmanager
Een wachtwoordmanager is een nuttige tool die medewerkers kan helpen sterke wachtwoorden te genereren en veilig op te slaan voor al hun online accounts. Deze tools zijn vooral handig omdat ze het eenvoudiger maken om wachtwoorden regelmatig te wijzigen en gebruikers ontlasten van het onthouden ervan. Zo wordt voorkomen dat ze wachtwoorden opschrijven of zwakke wachtwoorden kiezen om ze makkelijker te onthouden.
Opmerkelijk is dat wachtwoordmanagers bewustzijn kunnen creëren doordat ze wachtwoorden niet automatisch invullen op phishingwebsites, zoals een webbrowser soms wel doet, wat de gebruiker kan waarschuwen. Ze kunnen ook gebruikers waarschuwen wanneer een wachtwoord opnieuw wordt gebruikt, de sterkte van een wachtwoord beoordelen, en sommige bieden zelfs dark web-scans om te controleren of de inloggegevens zijn gecompromitteerd.
Eye Security raadt aan om betrouwbare, externe wachtwoordmanagers te gebruiken die niet alleen sterke wachtwoorden genereren, maar deze ook veilig opslaan. In tegenstelling tot ingebouwde browser-wachtwoordmanagers bieden externe oplossingen extra beveiligingsfuncties en zijn ze minder kwetsbaar voor aanvallen die opgeslagen wachtwoorden kunnen stelen.
Eye Security raadt het gebruik van ingebouwde browser-wachtwoordmanagers af. Hoewel ze handig zijn, bieden ze mogelijk niet hetzelfde beveiligingsniveau als speciale wachtwoordbeheer-tools. Browsergebaseerde wachtwoordmanagers kunnen namelijk kwetsbaar zijn voor aanvallen die opgeslagen wachtwoorden extraheren.
6. Implementeer Conditional Access Policies
Om accountovernames of gephisht inloggegevens te voorkomen, raadt Eye Security aan om Conditional Access Policies te implementeren. Overweeg de volgende maatregelen om risico’s te verminderen:
- Sta alleen toegang tot bedrijfsresources toe vanaf apparaten die zijn geregistreerd in Azure AD.
- Sta alleen inloggen toe vanaf specifieke IP-adressen (zoals het kantoor-IP-adres).
- Vereis MFA voor alle gebruikers.
- Blokkeer legacy-authenticatie.
- Vereis phishing-resistente MFA voor beheerders.
- Blokkeer serviceaccounts vanaf alle locaties behalve vertrouwde IP-adressen.
- Blokkeer toegang vanaf ongebruikte platformen, zoals Linux.
Met een Microsoft Entra P2-licentie is het ook mogelijk om inloggen met een hoog risico te blokkeren, wat een extra barrière vormt voor aanvallers. Het is sterk aan te raden om Conditional Access Policies eerst in een testomgeving uit te proberen voordat ze in productie worden gebracht.
7. Bewaak je Cloudomgeving
Het monitoren van cloud-logs (zoals Azure- en Entra ID-logs) maakt het mogelijk om verdachte inlogpogingen en andere gebeurtenissen te detecteren en te neutraliseren. Dit kan uitgevoerd worden door cybersecurityspecialisten. Als deze expertise niet binnen de organisatie aanwezig is, raadt Eye Security aan om dit uit te besteden aan een gespecialiseerde cybersecurityleverancier.
8. Pas Anti-Spoofing maatregelen toe
De Eye Anti-Spoofing Tool (EAST) is een geavanceerde cybersecuritymaatregel die is ontworpen om spoofing van Microsoft-inlogpagina's tegen te gaan. De tool werkt tijdens de inlogfase, waarbij een unieke CSS-bestand de uitstraling van het inlogscherm aanpast. Wanneer gebruikers de inlogpagina gebruiken, passen de servers van Eye Security zich dynamisch aan op basis van de HTTP Referer-header, waarmee authentieke en frauduleuze pagina’s van elkaar worden onderscheiden. Ons systeem geeft dan een visuele waarschuwing.
Afbeelding 3. Voorbeeld van de EAST-tool in actie op de Microsoft-inlogpagina
Het unieke CSS-bestand laadt een versie van het inlogscherm, gehost door Eye Security, dat een waarschuwing toont wanneer gebruikers proberen in te loggen op een onbekend domein. Bezoeken gebruikers het authentieke Microsoft-domein, dan verschijnt een inlogscherm met een groen selectievakje en de melding: “login screen verified”. Dit waarschuwt gebruikers voor mogelijke phishingpogingen en versterkt de beveiligingsgrens. Dit onderwerp hebben we eerder besproken in onze blog “Empowering Security: The Battle against Login Spoofing.”
9. Gebruik Microsoft custom styling
Het gebruik van een aangepaste inlogpagina kan helpen bij het creëren van bewustzijn. Hoewel dit niet werkt voor elk type adversary-in-the-middle-aanval, voegt het een extra bewustzijnslaag toe voor eindgebruikers. Het wordt aanbevolen om de bedrijfsbranding toe te passen op Microsoft-inlogpagina's. Instructies over het configureren hiervan zijn te vinden op deze Microsoft-hulppagina.
Stel dat een gebruiker werkt voor een bedrijf genaamd "Insecure B.V." Insecure B.V. besluit om voor al haar Microsoft-diensten een aangepaste inlogpagina te implementeren. Deze pagina is ontworpen met de branding van Insecure B.V., inclusief het logo, kleurenschema en andere herkenbare elementen.
Wanneer een medewerker naar deze pagina navigeert, herkent hij deze direct als de inlogpagina van Insecure B.V. Deze herkenning creëert een bewustzijnslaag. Als de medewerker wordt doorgestuurd naar een andere pagina zonder de herkenbare branding van Insecure B.V., zal hij eerder doorhebben dat er iets niet klopt. Dit kan een gewaarschuwde medewerker mogelijk alerteren op een adversary-in-the-middle-aanval of een phishingpoging.
10. Blokkeer externe e-mail forwarding
Door interne gebruikers te blokkeren bij het aanmaken van regels die e-mails doorsturen naar externe domeinen, wordt een extra barrière opgeworpen tegen cybercriminelen. Dit kan echter ook een obstakel vormen voor legitieme doorstuurregels van mailboxen. Door het blokkeren van externe doorstuurregels kan worden voorkomen dat gevoelige of vertrouwelijke informatie naar buiten lekt. Het is aan te raden om te monitoren of gebruikers toch proberen e-mails door te sturen naar een externe mailbox. Voor meer informatie over het blokkeren en monitoren van externe doorstuurregels, zie deze Microsoft-hulppagina.
11. Implementeer DKIM, SPF en DMARC
DMARC, DKIM en SPF zijn e-mailauthenticatiemethoden die samen een beschermlaag vormen tegen kwaadwillenden die e-mails proberen te versturen vanaf een domein dat zij niet bezitten. DKIM en SPF zijn vergelijkbaar met een bedrijfsvergunning of een medisch diploma aan de muur van een kantoor—ze dienen als bewijs van authenticiteit. DMARC instrueert mailservers over welke actie te ondernemen als DKIM- of SPF-controles falen, of het nu gaat om het labelen van mislukte e-mails als spam, ze toch te bezorgen, of ze volledig te blokkeren (quarantaine/afwijzing).
Domeinen die SPF, DKIM en DMARC niet correct hebben geconfigureerd, kunnen ontdekken dat hun e-mails worden gemarkeerd als spam of de beoogde ontvangers niet bereiken. Bovendien lopen ze het risico dat spammers zich voordoen als hun domein. Gebruik de volgende handleidingen om SPF, DKIM en DMARC in te stellen.
12. Voorkom app-registraties door medewerkers
Door Entra-gebruikers toestemming te geven voor apps die toegang hebben tot bedrijfsgegevens, bestaat het risico dat gevoelige bedrijfsinformatie ongewenst wordt blootgesteld. Het wordt aanbevolen om deze toestemmingen alleen door beheerders te laten verlenen. Je kunt deze instelling uitschakelen via de instructies in dit artikel op de Microsoft-hulppagina.
13. Beperk toegang tot Outlook Web App
Het uitschakelen van de webversie van Outlook vormt een extra hindernis voor kwaadwillenden, omdat ze dan de mobiele app of de desktopapplicatie moeten gebruiken om toegang te krijgen tot een mailbox. Deze maatregel kan echter ook nadelig zijn voor eindgebruikers, vooral als ze de mobiele app niet hebben geïnstalleerd en daardoor hun e-mails niet kunnen controleren. Bovendien vereisen sommige organisaties dat gebruikers een geregistreerd apparaat gebruiken om toegang te krijgen tot de mobiele of desktopapplicatie voor e-mail.
14. Gebruik FIDO2-authenticatie
Hardware-gebaseerde authenticatiemechanismen die FIDO2-protocollen gebruiken, vormen momenteel de meest effectieve aanpak om het risico van MFA-bypassing in al zijn vormen te verkleinen. FIDO2-authenticatie maakt gebruik van cryptografische sleutels die vooraf zijn geregistreerd met domeinen, waardoor gebruikers zichzelf veilig kunnen authenticeren.
Afbeelding 4. Overzicht van het FIDO2-authenticatiemechanisme
De uitdaging die de service aan het FIDO2-apparaat stelt, bevat specifieke details over de oorsprong van het verzoek, zoals de URL van de website. Hierdoor zullen authenticatiepogingen op phishingwebsites met dit mechanisme mislukken. Bekende voorbeelden van FIDO2-authenticatie zijn hardwaretokens zoals YubiKeys. Je kunt ook gebruikmaken van Windows Hello for Business.
15. Implementeer Financiële Controlemaatregelen
Eye Security adviseert het toepassen van het “vier-ogen-principe”, waarbij twee personen moeten controleren en bevestigen of de informatie correct en legitiem is. Dit wordt sterk aanbevolen voor risicovolle transacties of operaties. Verzoeken om een bankrekeningnummer te wijzigen, moeten bijvoorbeeld telefonisch worden geverifieerd en alle betrokken partijen dienen direct van de wijziging op de hoogte te worden gebracht.
Dit creëert een sterke barrière voor aanvallers die proberen gebruikers te imiteren en gevoelige informatie aan te passen. Een organisatie kan ook overwegen om over te stappen van e-mailfacturen naar een systeem dat speciaal is ontworpen om betalingen te verifiëren.
Conclusie en vervolgstappen
We hebben een uitgebreide set acties aangeboden om je te begeleiden naar een grotere cyberweerbaarheid. Misschien heb je al veel van deze maatregelen geïmplementeerd om fraude te voorkomen, of lijken ze zo tijdrovend dat ze naar de achtergrond zijn geschoven in het dagelijks werk. We hopen dat dit je genoeg handvatten geeft om te beginnen. Ongeacht waar je staat in je cybertraject, kan Eye Security helpen een deel van de last weg te nemen. Neem gerust contact met ons op om een demo te boeken en meer te leren over onze diensten.
