3 e-mailstrategieën waarmee internetcriminelen uw bedrijf bestelen

Zo’n 75% van de mkb-bedrijven had het afgelopen jaar te maken met cybercrime. Vaak begint dat met één simpele e-mail. 

In dit artikel laten we zien waarom internetcriminelen e-mail inzetten om u geld af te troggelen en hoe ze dat doen. En wat u er tegen kunt doen.

Strategie 1: Gevoelige (inlog) informatie verzamelen met phishing

Phishing komt van het Engelse woord fishing, dat ‘vissen’ of ‘hengelen’ betekent. Het verwijst dan ook naar het vissen naar gevoelige informatie, zoals wachtwoorden of bankgegevens. 

Het werkt als volgt: 

1. De internetcrimineel verstuurt een mailtje naar een medewerker en doet zich voor als een betrouwbare partij, zoals een bank, leverancier of zelfs een collega. 
2. Deze mail is vaak niet van echt te onderscheiden. Dat komt omdat criminelen (door eerdere phishingacties) soms al toegang hebben tot het account van de verzender.
3. In de mail wordt de medewerker gevraagd om een urgente actie te ondernemen (bijvoorbeeld: “Log nu in om uw account extra te beveiligen. Na 24 uur zijn uw gegevens niet meer veilig.”). 
4. De medewerker klikt op de link in het mailtje, komt op een inlogpagina terecht die ook niet van echt te onderscheiden is (bijvoorbeeld een neppe inlogpagina van Microsoft of Google Workspace) en laat daar nietsvermoedend zijn of haar inloggegevens achter. 

Een voorbeeld van een phishing e-mail en een nep inlogaccount die beide niet van echt te onderscheiden zijn. Beide uit onze eigen Phishing simulatie tool om medewerkers alert te houden.

Wat zo’n internetcrimineel met die betrouwbare gegevens kan doen? Heel veel. Een paar concrete voorbeelden laten we zien in strategie 2 en 3. 

Strategie 2: Een valse factuur versturen

Bij factuurfraude sturen criminelen een valse factuur of passen ze een bestaande factuur aan. Zo’n factuur lijkt als twee druppels water op de factuur die u normaal gesproken van uw leveranciers krijgt: ze gebruiken precies dezelfde opmaak, alleen het bankrekeningnummer is veranderd. 

Als de mailbox van uw leverancier is gehackt (met phishing, bijvoorbeeld), kan het zelfs vanuit het normale e-mailadres komen. Soms gebruiken internetcriminelen zelfs Nederlandse rekeningen, om het zo echt mogelijk te laten lijken.

Een voorbeeld van een doodnormale e-mail met een nep-factuur.

Zodra het geld is overgemaakt, wordt het binnen no-time vaak cash opgenomen, waardoor het niet meer te traceren is.

Bovendien ontstaat er vaak een conflict tussen u en de leverancier. Zij zijn gehackt, maar u had zaken moeten checken. De verzekering wijst vaak ook één of beide partijen als verantwoordelijke aan. En dat alles maakt de relatie er niet beter op. 

Een internetcrimineel kan dus niet alleen zorgen voor forse financiële schade, maar ook reputatieschade.

Strategie 3: De crimineel doet zich voor als CEO

Deze strategie wordt ook wel Business Email Compromise genoemd. In deze gevallen doet een crimineel zich voor als de CEO, CFO of een andere ‘hogere’ manager. Zij stuurt naar andere medewerkers “dringende” verzoeken om bijvoorbeeld geld over te maken of andere gevoelige informatie te delen.

Ook deze strategie is effectief, omdat ze slim gebruik maken van hiërarchie en tijdsdruk. Als de “baas” iets vraagt, durven mensen niet snel tegen te spreken. Met termen als ‘dit is vertrouwelijk’, ‘dit heeft haast’ en ‘ik zit in een vergadering, stoor me nu even niet’, zetten ze mensen klem. 

Het mailtje lijkt bovendien écht van de leidinggevende te komen. Óf ze hacken het e-mailadres (via een gelekt wachtwoord of phishing) óf ze maken een e-mailadres aan dat er sterk op lijkt (bijvoorbeeld mark@bouwbedriijf.nl in plaats van mark@bouwbedrijf.nl). Bovendien kunnen ze met AI de schrijfstijl van de CEO of manager klonen, en is het mailtje wederom niet van echt te onderscheiden. 

Een voorbeeld van een e-mail die vanuit een hogere manager of de DGA lijkt te komen.

Ook deze strategie zorgt voor hoge schadebedragen van soms wel tientallen duizenden euro’s. Bovendien heeft iemand vaak pas later door dat er iets mis was, waardoor het nauwelijks nog terug te draaien is. 

Het lijkt alsof ze met de dag sluwer worden. Kan ik hier nog wel iets tegen doen?

Jazeker! Ons motto is: gebruik meerdere sterke lagen beveiliging, en laat de technologie het werk doen. Zo checken onze alles-in-een beveiligingspakketten automatisch of inkomende e-mails van leveranciers écht van de server komen waarvan ze beweren dat ze komen. Is dat niet het geval? Dan krijgt diegene een melding. Daarnaast blokkeren onze phishing- en spamfilters verdachte e-mails automatisch.

Als mkb-ondernemer is het niet te doen om alle ontwikkelingen in de cybercriminaliteit goed bij te houden. Het is ook niet te doen om werknemers te trainen om niet op phishing mails te klikken. Want op het moment dat ze getraind zijn, is de technologie van deze hackers alweer tien stappen verder.

Cybercriminelen gebruiken professionele technologie, die alleen met professionele technologie bestrijd kan worden. 

Dat betekent overigens niet dat beveiliging complex of duur hoeft te zijn. Onze pakketten beginnen al bij €9,99 per medewerker per maand. Wij houden de ontwikkelingen nauw in de gaten, gebruiken de laatste beveiligingstechnieken, zorgen ervoor dat het binnen een paar minuten geïnstalleerd is én u kunt elke maand opzeggen als u toch niet tevreden bent. Geen reden meer om u door cybercriminelen te laten bestelen, toch?

Tip: met de subsidie met ‘Mijn Cyberweerbare Zaak’ kunt u tot €1250 subsidie ontvangen én u krijgt een maand gratis bij aankoop van één van onze alles-in-een beveiligingspakketten. Meer weten? Neem vooral contact met ons op.