
Business Email Compromise – wie is nou het slachtoffer?
Afgelopen week lazen we in het nieuws dat het Rijksmuseum Twenthe een doek van de 19e eeuwse schilder John Constable wilde kopen van de Britse kunsthandel Dickinson. Na maanden heen en weer mailen stort het museum 2,4 miljoen pond (2,66 miljoen euro) op een rekening in Hong Kong. Dat is echter niet het rekeningnummer van de kunsthandel, maar van een bende oplichters.
Wat is er gebeurd? Moeilijk om precies te zeggen aangezien niet alle gegevens bekend zijn, maar deze vorm van oplichting komt zo vaak voor dat we wel in algemene lijnen kunnen raden wat er gebeurd is.
Business Email Compromise
Business Email Compromise (BEC) fraude is waarschijnlijk de op één na populairste cybercrimetechniek (na ransomware). Heel veel cyber komt er vaak niet bij kijken – het heeft meer met oplichting te maken. Er zijn verschillende varianten zoals bijvoorbeeld CEO fraude, maar de algemene gang van zaken is als volgt:
- De bende weet zich toegang te verschaffen tot de e-mails van een bedrijf;
- Ze lezen mee op zoek naar een aanknopingspunt voor een grote transactie;
- Ze doen zich voor als een van de partijen om de andere partij op te lichten.
Er zijn dus vaak twee slachtoffers, de partij waarvan de e-mail gehackt is en de partij die betaalt. Hoe dat hier zit weten we niet, want allebei de partijen beweren dat hun e-mail niet gehackt is.
Het Rijksmuseum Twenthe heeft de zaak voor de rechter gebracht. De vraag is natuurlijk wie de schade zal dragen en wie zich bezitter van het schilderij mag noemen. De Londense rechter was van oordeel dat de kunsthandelaar niet nalatig was geweest en het museum het rekeningnummer had moeten dubbelchecken voor ze betaalden. Pech dus voor het museum, maar de rechter gaf aan dat er nog wel andere mogelijkheden waren. Twenthe legt zich er niet bij neer, dus: wordt vervolgd.
De belangrijkste vraag is nu wie van de partijen eigenlijk gehackt is. Gebaseerd op de standaard-methode lijkt Dickinson iets waarschijnlijker te zijn dan het Rijksmuseum Twenthe, maar het is allebei mogelijk. Daarnaast heeft de rechter natuurlijk gelijk – dergelijke bedragen, en dan een rekeningnummer via de mail – daar moet op zijn minst een telefoontje achteraan.
BEC-fraude: trap er niet in
En dat is precies de meest effectieve manier om te voorkomen dat je erin trapt. Niks met techniek te maken. Een simpele procedure. Boerenverstand.
Grote bedragen overmaken?
Gewijzigd rekeningnummer?
Pak de telefoon en bel het na.
Let natuurlijk wel even op dat je niet het nummer belt dat onderaan het mailtje staat.
No Comments :