Waarom je als CEO blij wordt van DMARCSaaS

Bedrijven krijgen maar liefst 294 cyberaanvallen per week voor hun kiezen, volgens de KVK. Een geslaagde cyberaanval leidt tot systemen die niet meer werken, gevoelige data die in verkeerde handen vallen en/of bedragen die worden ontvreemd. Kortom: aanzienlijke financiële en reputationele schade. Cyberaanvallers maken graag gebruik van e-mail om hun aanval in te zetten. Na het lezen van deze post weet je meer over dit soort aanvallen. En over hoe wij je kunnen helpen om die te voorkomen.

Geld of data, dat zijn de twee dingen waar cyberaanvallers op uit zijn. Ze hebben vaak een hele gereedschapskist met digitale koevoeten en kniptangen waarmee ze IT-systemen van bedrijven kunnen binnendringen op zoek naar deze kostbaarheden. Maar zo’n inbraak is een tijdrovende en specialistische klus. Aanvallers richten zich daarom vaak liever op de zwakste schakel in cybersecurity: de menselijke factor. Met een digitale variant van de ouderwetse babbeltruc proberen ze medewerkers van een bedrijf over te halen om de gewenste buit te overhandigen.

Hoe gaat dat in zijn werk?

E-mail is het perfecte middel voor een digitale babbeltruc. De aanvaller kan zich makkelijk “vermommen” als een betrouwbare partij en blijft tijdens de aanval op veilige afstand van zijn doelwit. Het werkt als volgt:

  1. De aanvaller stelt een e-mailbericht op waarin hij zich voordoet als iemand van een betrouwbare partij, bijvoorbeeld een leverancier of een bank. In de mail vraagt de aanvaller de ontvanger om een bepaalde handeling uit te voeren: op een link naar een malafide website klikken, geld overmaken of bepaalde gevoelige informatie opsturen. Om de e-mail er authentiek uit te laten zien, gebruikt de aanvaller het logo en de huisstijl van de betrouwbare partij die hij nadoet en bootst hij de schrijfstijl van de zogenaamde afzender na.
  2. De aanvaller verstuurt de e-mail naar zijn slachtoffer vanaf een adres dat ogenschijnlijk hoort bij de betrouwbare partij.
  3. Het slachtoffer leest de e-mail, denkt dat die afkomstig is van de betrouwbare partij en voert de gevraagde actie uit.
  4. De aanvaller gaat er met de buit vandoor.

Je hebt deze zogenaamde phishing-aanval vast weleens in de praktijk gezien, wanneer je een mailtje van je bank of creditcardmaatschappij ontving waarvan je dacht: hier klopt iets niet. Niet alleen individuele mensen, maar ook bedrijven zijn geliefde doelwitten voor phishing. We zetten een paar veelvoorkomende varianten op een rijtje.

CEO-fraude

Een medewerker van je organisatie ontvangt een mailtje dat van de CEO of een andere hooggeplaatste collega afkomstig lijkt. Het verzoek is vaak: maak even dit grote bedrag over naar deze bankrekening.

Spookfactuur

Je inkoopafdeling ontvangt per e-mail een factuur die afkomstig lijkt van een bekende leverancier.

Diefstal van persoonsgegevens

Een medewerker van personeelszaken of boekhouding ontvangt een e-mail waarin wordt gevraagd om persoonlijke informatie van medewerkers op te sturen.

Attorney impersonation

De aanvaller doet zich voor als iemand van een advocatenkantoor en vraagt zijn slachtoffer om vertrouwelijke informatie op te sturen.

Phishing richting je zakelijke relaties

De aanvaller doet zich voor als een medewerker van jouw bedrijf en probeert bij een van je zakelijke relaties een phishing-aanval uit te voeren. Hoewel je zelf van deze aanval niet directe financiële schade ondervindt, leidt die wel tot reputatieschade voor jouw bedrijf.

Wat is de schade?

Volgens de eerder genoemde cijfers van de KVK bedraagt de financiële schade van een geslaagde cyberaanval gemiddeld 67.000 euro. Maar de schade kan veel groter zijn. Een bekend voorbeeld is Pathé, dat door e-mailoplichting 19 miljoen euro schade opliep. En de Belgische Crelan Bank verloor door CEO-fraude zelfs 70 miljoen euro!

Zijn er bij de aanval persoonsgegevens gelekt, dan kan de privacywaakhond Autoriteit Persoonsgegevens bovendien een fikse boete opleggen: maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. En bovenop de financiële gevolgen kan een cyberaanval ook het imago van je bedrijf schaden.

Wat kan ik ertegen doen?

In de eerste plaats is het belangrijk dat je medewerkers mogelijke phishing-aanvallen kunnen herkennen en weten hoe ze erop moeten reageren. Dat is bij uitstek een onderwerp voor security-awarenesstrainingen. Ook tijdens andere plenaire medewerkersbijeenkomsten kun je er periodiek aandacht aan besteden.

Daarnaast zijn er technische maatregelen die bescherming bieden tegen verdachte e-mails. Antivirussoftware en spamfilters, bijvoorbeeld, die de inhoud van e-mails checken om vast te stellen of ze legitiem zijn. Het zijn laagdrempelige oplossingen die al een deel van de kwaadaardige e-mails tegenhouden. Waarschijnlijk zijn ze bij jouw organisatie al in gebruik.

Mooi, dus ik hoef verder niks te doen?

Helaas, toch wel. Cyberaanvallers worden steeds handiger in het omzeilen van antivirussoftware en spamfilters. Phishing-e-mails zien er steeds authentieker uit. Daarom zijn er drie aanvullende technische oplossingen bedacht die niet naar de inhoud van een e-mail kijken, maar naar de vermeende afzender. Deze oplossingen heten SPF, DKIM en DMARC en ze zijn het effectiefst als je ze met elkaar combineert. Dan werken ze ongeveer zo:

Beste bank B, ik heb een e-mail ontvangen van een adres dat claimt van jou te zijn. Klopt dat? Ja? Fijn, dan lever ik het bericht af bij de ontvanger. Nee? Okee, dan lever ik het bericht niet af (of markeer ik het als “verdacht”). En maak ik daar een aantekening van.

Hoe krijg ik dat voor elkaar?

Het goed inrichten en onderhouden van e-mailbeveiliging met SPF, DKIM en DMARC is precisiewerk dat veel tijd en specialistische kennis vraagt. Een klein foutje is snel gemaakt en kan grote gevolgen hebben. Bijvoorbeeld dat de beveiliging helemaal niet werkt, terwijl je denkt dat dat wel het geval is.

Ons advies: probeer het niet zelf te doen, maar laat het aan ons over. Maak gebruik van onze managed DMARC. We helpen je bij het beveiligen van je uitgaande én inkomende e-mailverkeer. Nadat we de beveiliging voor je hebben ingesteld, houden we die proactief bij. Via rapportages en overleg houden we je IT-afdeling op de hoogte van aankomende wijzigingen en mogelijke dreigingen. Voor een lage prijs krijg je de effectiefste bescherming tegen phishing, CEO-fraude en andere e-maildreigingen.

Aan de slag met DMARCSaaS? Vraag dan nu geheel vrijblijvend een risicoanalyse aan.

Controleer de huidige beveiliging van jouw domeinnaam: