'Hackers kunnen miljoenen wegsluizen'

Met een gehackt e-mailadres kunnen criminelen grote bedragen verduisteren. Hoe gaat dit in zijn werk? En wat kun je er tegen doen?

“Het hacken van e-mailaccounts komt in de praktijk veel voor”, zegt Martijn Hoogesteger, manager CERT bij Northwave. “Criminelen hebben het vooral gemunt op de e-mailaccounts van CEO’s, CFO’s of medewerkers van de financiële administratie. Ook zien we dat e-mailaccounts van relaties veel gehackt worden, bijvoorbeeld van een leverancier.”

Grote betaling
Het hacken van een e-mailaccount wordt ook wel business e-mail compromise genoemd. Criminelen kunnen hiermee alle e-mails lezen en aanpassen, zonder dat de verzender of ontvanger daar iets van merkt. “Vaak zien we dat er eerst maanden niks gebeurt”, vertelt Hoogesteger. “De hackers lezen alleen de e-mails die via dit account verstuurd worden. Pas als er een zeer grote betaling gedaan moet worden, slaan ze hun slag. Ze wijzigen dan bijvoorbeeld het bankrekeningnummer op de verstuurde factuur of ze geven uit naam van de CFO de opdracht om een groot bedrag over te maken op buitenlandse bankrekening. Zo sluizen ze grote bedragen weg uit de organisatie. Soms is het niet eens de organisatie zelf die gehackt is, maar de leverancier die aangepaste facturen stuurt.”

Slagen criminelen er vaak in om op deze manier veel geld weg te sluizen?
“Helaas wel. En het vervelende is dat mensen daar vaak pas laat achter komen. Meestal gebeurt dat pas als leveranciers gaan klagen dat hun factuur nog niet betaald is. De aangepaste bankgegevens zijn natuurlijk niet bij hun bekend, en dan komt de aap uit de mouw. Na 30 dagen is het overgemaakte geld natuurlijk al lang weggesluisd. Meestal is het dan niet meer mogelijk om nog iets terug te halen.”

Hoe kunnen organisaties er achter komen dat ze opgelicht worden?
“Door alert te zijn. Ga er niet klakkeloos vanuit dat het klopt dat de bankrekening van een leverancier gewijzigd is. Bel altijd even na of dat correct is. En gebruik daar niet het telefoonnummer voor dat op de factuur staat, want meestal is dat ook vervalst. Bel het nummer dat je van je relatie kent. Klopt het dan niet? Dan weet je dat een crimineel aan het werk is.

Soms komen organisaties er per toeval achter dat ze opgelicht zijn. Bij een van onze zaken kwam de klant achter de fraude doordat de CEO de CFO wilde aanspreken op zijn gedrag. Hij had namelijk gehoord dat hij was uitgevallen tegen de medewerkers van de financiële administratie. ‘Maar ik heb hen vandaag helemaal niet gesproken’, was de reactie van de CFO. Zo kwamen ze erachter dat die afdeling niet had gesproken met zijn collega, maar met de crimineel. Hierdoor waren ze er snel genoeg bij om het geld nog terug te krijgen. Communicatie is essentieel hierin.”

Wat kun je doen als je er achter komt dat je opgelicht bent?
“Snel aan de bel trekken, ook als het vrijdagavond is. Vaak is het dan nog wel mogelijk om geld terug te halen en bewijsmateriaal te verzamelen waarmee je aangifte kunt doen bij de politie. Je kunt dan ook meteen de toegang ontzeggen voor de crimineel, wat verdere schade voorkomt.”

En hoe kun je ervoor zorgen dat het je niet meer overkomt?
“Wees alert. En zorg dat je two factor authentication toepast op alle accounts, maar zeker de gevoelige accounts, bijvoorbeeld van de CFO. Dit betekent dat je niet alleen een gebruikersnaam en wachtwoord nodig hebt om in te loggen, maar ook een code die bijvoorbeeld op je telefoon gegeneerd wordt of die per sms toegestuurd wordt. De crimineel kan dan niet inloggen zonder dat je dat toestaat met die code. Daarnaast moet je goede procedures inrichten voor je financiële administratie. Een wijziging in de bankgegevens moet altijd gecheckt worden via een ander kanaal, in het echt of even via de telefoon.”