In januari van dit jaar moest CRELAN Bank opbiechten dat z'n bedrijf "slachtoffer werd van CEO-fraude".
Het bedrijf verloor naar eigen zeggen een volledig jaar, 70 miljoen euro (!) en ook 2 medewerkers met een lange staat van dienst werden ontslagen.
Vorige week getuigde CEO Luc Versele in een interview over de eerste maanden na deze gebeurtenis....in enkele opvallende quotes.
CEO-fraude is een combinatie van Spear-phishing en social engineering, waarbij een criminelen medewerkers van een specifiek bedrijf proberen te beïnvloeden om bijvoorbeeld geld over te schrijven op een opgegeven bankrekening. Ze doen dit door een email te designen die van de CEO zelf lijkt te komen.
In héél veel van de gevallen wordt dus simpelweg een mail gemaakt zonder verdere hi-tech code of whatever....men verdiept zich echter in het doelwit-bedrijf en maakt de mail zo geloofwaardig mogelijk. En speelt in op menselijke emoties als trouw, loyauteit, nieuwgierigheid, discretie enz. Voor de goede orde : zonder cyber-geralateerde oorzaak of event (malware, inbraak in de mailbox,...) zijn dergelijke zaken niet gedekt door een cyberverzekering...dat spreekt voor zich.
Wij lazen met veel belangstelling het interview in DE TIJD van 28 februari 2016 en vatten voor u enkele opvallende quotes samen :
Over de betrokken werknemers
"Ze moeten wel gebrainwasht zijn, emotioneel bewerkt. Ze dachten waarschijnlijk dat ze goed deden door uiterst discreet te blijven. Daardoor werden de procedures niet gevolgd."
Onze visie : inspelen op menselijke emoties is waar het bij spear-phishing enz om gaat..hoe pijnlijk dat ook is. Mensen zijn nieuwsgierig. En wie hoopt er nu niet op een geweldige promotie of deal ? Is uw bedrijf voorbereid op de gevolgen van dit soort aanvallen ?
Over de fraudeurs
"De fraudeurs zijn bijzonder ingenieus te werk gegaan. Ze hebben bijvoorbeeld ingespeeld op ons acquisitie-beleid en de grote investeringen die we planden in IT !"
Onze visie : Dit is zonder meer een tendens in de markt....social engineering gebeurt op een steeds professioneler niveau en aanvallen zijn bijgevolg steeds geloofwaardiger. Het is voor cybercriminelen ook steeds eenvoudiger om dit te doen. Via linkedin heb je in no-time zicht op wie bij een bepaald bedrijf een sleutelrol vervult. En bedrijven communiceren via allerlei kanalen steeds opener en actiever over grote investeringsprojecten en hun strategische visie.
Over de gevolgen voor CRELAN Bank
"Reputatieschade in de 1ste fase is onvermijdelijk. Voor ons bleef deze beperkt doordat onze zelfstandige agenten als vertrouwenspersoon dicht bij de eindklant staan. Mochten we een volledig digitale bank zijn geweest waarbij een callcenter de vragen moet beantwoorden, dan was deze impact veel groter geweest !"
"We zijn een volledig jaar kwijt!"
Onze visie : De impact van een cyberincident of cyberfraude is dus ook afhankelijk van het businessmodel...en de mate waarin uw bedrijf hierop is voorbereid. Staat u dichtbij uw klanten ? Kan u de communicatie-stromen op dat moment sturen of snel genoeg beïnvloeden ?
Overleeft uw bedrijf het verlies van een volledig werkjaar + 70 miljoen euro ?
Doe de cybertest !
