In de huid van een fraudeur

Het aantal gevallen van factuurfraude en CEO-fraude neemt sterk toe. De brede waaier van getroffen bedrijven – van lokale speler tot multinational – leert ons dat iedere onderneming op de radar van de fraudeur verschijnt. Inzicht in de werkwijze van de oplichters helpt organisaties om malafide praktijken te voorkomen en te bestrijden. Onze Chief Information Security Officer Stijn Meeuws kruipt voor de gelegenheid even in de huid van de fraudeur.

Als fraudeur verkeer je vandaag in een luxepositie. Het oneindig aantal potentiële doelwitten, de talloze kwetsbaarheden en de veelheid aan mogelijke benaderingsmethodes zorgen ervoor dat je alle richtingen uit kan. Een van de eerste keuzes die je als fraudeur maakt, is die tussen een doelgerichte aanpak of een meer diffuse benadering. Stijn Meeuws legt uit: “In het eerste geval wedt de fraudeur op een beperkt aantal paarden met een grotere winst per slachtoffer. Bij een meer gespreide tactiek, in vakjargon ook wel ‘spray and pray’ genoemd, mikken ze op grote volumes met veelal kleinere bedragen. Het succespercentage hoeft niet al te hoog te zijn om zo toch een mooi ‘inkomen’ te verzamelen.”

Op eigen houtje of met partners in crime

Een tweede dilemma voor de fraudeur: alleen opereren of aansluiten bij een criminele organisatie? Veelal beschikt een clandestiene onderneming over een grotere daadkracht en een breder arsenaal van instrumenten om bedrijven om de tuin te leiden. Toch slaan ook individuele fraudeurs vanuit het zolderkamertje nog vaak hun slag. Al zullen die zich na enige tijd niet zelden laten omringen en op die manier uitgroeien tot heuse ‘bedrijfsleiders’.

Marktplaats voor datalekken

Minstens even lucratief is een rol als aangever, waarbij je door het continu scannen van bedrijfsservers kwetsbaarheden lokaliseert. De locatie van die pijnpunten verkoop je dan op een illegale marktplaats door aan andere fraudeurs. Stijn Meeuws wijst erop dat veel hackers enkele maanden geleden gebruik hebben gemaakt van het veiligheidslek bij Microsoft Exchange om in de mailserver van organisaties binnen te dringen. “Dankzij die externe dienstverlening hoeven criminelen het volledige fraudewerk niet langer van A tot Z uit te voeren. Dat biedt hun de kans om zich te focussen op hun ‘specialiteiten’.”

Factuurfraude: diverse gradaties

Fraudeurs kunnen een veiligheidslek op verschillende manieren verzilveren. Het veiligheidslek bij de mailserver biedt misschien wel de mogelijkheid om een mailtje vanuit het mailadres van de leverancier te versturen. De fraudeurs brengen de klant langs die weg formeel op de hoogte van het gewijzigde rekeningnummer. Ze hoeven dan enkel nog het rekeningnummer op een legitieme factuur aan te passen om succes te boeken.

Nog mooier wordt het voor fraudeurs wanneer ze vaststellen dat leverancier X op een vaste datum een factuur naar klant Y uitstuurt. Dat laat hen toe om er de timing van hun acties op af te stemmen, waardoor de argwaan bij de klant vaak volledig wegebt.

CEO-fraude: autoriteit opent deuren

Maar de fraudeur hoeft het volgens Stijn Meeuws niet eens zo ver te zoeken. “Even goed boeken ze succes door een eenvoudige betalingsopdracht te sturen namens een hooggeplaatst persoon, zoals de CEO of CFO. Het dwingende karakter van het bericht en het gevoel van autoriteit dat uitgaat van de verzender doen de medewerker misschien wel overgaan tot een betaling.” Mooi meegenomen voor de crimineel: gedupeerden willen uit een gevoel van schaamte hun onaangename wedervaren met CEO-fraude zelden openbaar maken.

De Tijd/L’Echo meldde onlangs dat gevoelige bedrijven en overheidsdiensten nog altijd nalaten van hun servers te beschermen tegen het zeer gevaarlijke lek in Microsoft Exchange Server. Dat bleek uit een analyse van ruim 1.600 kwetsbare servers in ons land. “Waardevolle paswoorden van ‘administrators’ worden verkocht aan criminelen. Wie de jongste ‘patches’ om zijn server te beschermen niet doorvoert, speelt met vuur”, schreef de krant op 4 september. Katrien Eggers, woordvoerster van Het Centrum voor Cybersecurity België (CCB), beschouwt laksheid als een mogelijke oorzaak, maar wees er ook op dat een update niet altijd eenvoudig ligt voor een organisatie. “Ze kiezen ervoor om dit één keer per maand te doen, of twee keer per jaar. Vaak moet dat gebeuren buiten de werkuren, omdat de systemen meerdere uren onbeschikbaar zijn tijdens een dergelijke update.”