E-mailfraude opsporen

Wat was het probleem?

Bij een klant in de financiële sector waren meerdere facturen met een totale waarde van ongeveer 250.000 euro betaald aan een onbekend rekeningnummer. Dit kwam naar voren nadat een leverancier van de klant aangaf dat een factuur nog niet betaald was. Na onderzoek door de klant bleek dat het rekeningnummer van de leverancier een aantal dagen eerder was veranderd. De wijziging vond plaats nadat de administratie een e-mail van hun CFO had ontvangen met het verzoek het rekeningnummer aan te passen. De CFO had deze e-mail echter nooit verstuurd. Dit was voor de klant reden om PwC te vragen een onderzoek te beginnen.

Wat was de oplossing?

Bovenstaande maken we vaak mee in de praktijk en wordt een business email compromise (BEC) genoemd. Hierbij hacken criminelen het e-mailadres van bijvoorbeeld een CEO. Vervolgens maken ze een mailregel aan die al het mailverkeer doorstuurt naar een extern e-mailadres. De hacker observeert het mailverkeer voor een langere periode om de gang van zaken binnen het bedrijf te leren. Met de opgedane kennis kan de aanvaller op elk gewenst moment ingrijpen en bijvoorbeeld een e-mail sturen met het verzoek om een rekeningnummer wijzigen.
Bij het onderzoek dat we bij een dergelijk probleem uitvoeren, is de auditlogging van de e-mailserver een belangrijke bron van informatie. Met deze logging kunnen we zien wie wanneer op de e-mailomgeving heeft ingelogd en wanneer e-mailregels zijn geconfigureerd. PwC heeft een eigen tool ontwikkeld om alle beschikbare auditlogging van Office-omgevingen veilig te stellen. Wij hebben deze tool gebruikt om een export te maken van alle beschikbare logging. 

Wat is het resultaat?

Nadat we al het bewijsmateriaal hadden verzameld, konden wij eenvoudig zoeken naar afwijkende activiteiten. Met onze expertise op het gebied van BEC zijn we in staat snel dergelijke activiteiten te herkennen in grote hoeveelheden data . Bij deze klant identificeerden we in meer dan 100.000 losse auditregels meerdere kwaadaardige forwardregels die al het e-mailverkeer doorstuurden naar een extern adres. Vervolgens konden we de hacker buitensluiten en een overzicht maken van alle e-mailberichten die zijn doorgestuurd. Op basis daarvan kon de klant alle betrokkenen informeren en de accounts resetten.

Contact

Gerwin Naber

Gerwin Naber

Partner, PwC Netherlands

Tel: +31 (0)65 150 75 75

Volg ons