RFQ-fraude is een categorie bedrijfsgerichte fraude en behoort tot de vijf meest voorkomende vormen van social engineering. In deze campagnes vragen fraudeurs bedrijven om offertes voor bepaalde producten of diensten. Ze kunnen ook worden gebruikt om een kredietlijn van 15/30/45 te openen en vervolgens waardevolle goederen in ontvangst te nemen met de belofte om later te betalen. De daders noemen vaak populaire technologiemerken en apparatuur, die niet kwaadwillig gebruikt worden, maar als onderdeel van de fraude gestolen en verkocht worden. Om deze Net RFQ-fraude beter te begrijpen, hebben onderzoekers van Proofpoint direct contact opgenomen met de fraudeurs door zich voor te doen als leveranciers.
Anatomie van de fraude
Net RFQ-fraude begint meestal met fraudeurs die zich voordoen als inkopers van legitieme bedrijven. Ze gebruiken gestolen of openbaar beschikbare gegevens, zoals BSN-nummers, DUNS-nummers en de identiteit van echte medewerkers, om overtuigende e-mailhandtekeningen te creëren. Soms kopiëren zij zelfs de huisstijl van het bedrijf. Deze fraudeurs presenteren zich als diverse soorten organisaties, waaronder bedrijven, universiteiten en stadsbesturen, maar richten zich vooral op gespecialiseerde industrieën om zeer specifieke bestellingen te plaatsen. Zo kunnen ze zich bijvoorbeeld voordoen als een universiteit om netwerkapparatuur aan te vragen, zoals in het onderstaande voorbeeld.
Figuur 1: Fraudeur die zich voordoet als een universiteit.
Hoewel veel cybercriminelen deze offerteaanvragen versturen vanaf een gratis e-mailaccount, gebruiken anderen een domein dat lijkt op een vertrouwd merk. Zo profiteren ze van de reputatie van dit merk om hun berichten legitiem te laten lijken en de kans te vergroten dat ontvangers de e-mail openen en aan hun frauduleuze verzoeken voldoen. De hoofdtekst van de e-mails bevat meestal een lijst met zeer specifieke items (zie het onderstaande voorbeeld).
Figuur 2: Voorbeeld van een artikelenlijst.
Net RFQ-fraude onderscheidt zich doordat de fraudeur vraagt naar Net 15/30/45 dagen financiering. Zodra een doelwit reageert, verstrekt de oplichter alle benodigde informatie om de aanvraag te verwerken, inclusief officiële bedrijfsnamen, BSN- en DUNS-nummers, samen met ondersteunende documenten. Deze daders willen de verzending versnellen en bieden vaak aan de bestelling in te korten voor snellere goedkeuring.
Figuur 3: Kredietaanvraag met behulp van gestolen informatie.
Figuur 4: Dreigingsactor die om gedeeltelijke verzending vraagt.
De cheque is onderweg
Zodra de kredietvoorwaarden zijn goedgekeurd, wordt doorgaans een verzendadres opgegeven. Criminelen kunnen dit adres in eerste instantie opgeven of wachten tot de operationele zekerheid is gewaarborgd. Ze kunnen de afspraak met een koerier die naar een woonadres bezorgt, uitstellen.
Uit onderzoek blijkt dat criminelen gebruikmaken van transportdiensten, met name voor zendingen naar West-Afrikaanse landen zoals Nigeria en Ghana. Deze bedrijven weten waarschijnlijk niet dat de lading illegaal is, wat hen aantrekkelijk maakt voor criminele activiteiten.
Criminelen gebruiken ook woonadressen voor de bezorging van gestolen goederen.
Figuur 5: Voorbeeld van een vrachtvervoerdienst die wordt gebruikt door een Net RFQ-oplichter.
De status quo verstoren
De dreigingsonderzoekers van Proofpoint hebben niet alleen e-mails van deze criminele organisaties gevolgd en geblokkeerd. Ze hebben ook stappen ondernomen om de activiteiten van deze groepen te verstoren door samen te werken met het Takedown Team van Proofpoint om met succes 19 domeinen te verwijderen die verband houden met deze specifieke activiteit.
Zo herken je een Net RFQ
Er zijn belangrijke kenmerken waar organisaties rekening mee moeten houden:
- Wees op je hoede voor Net-financieringsaanvragen die een verhoogd gevoel van urgentie hebben.
- Controleer altijd het afleveradres. Ga voorzichtig te werk en zoek alternatieve methoden om de identiteit en authenticiteit van de persoon met wie je communiceert te verifiëren.
- Verifieer altijd het e-mailadres en de domeinnaam van het genoemde bedrijf. Door het bedrijf rechtstreeks te bellen vanaf een telefoonnummer dat op de website van het bedrijf staat, kun je controleren of iets authentiek is.
- Wees op je hoede voor gratis e-mailaccounts die zich voordoen als vertegenwoordiger van een gerenommeerd bedrijf of instelling. Dit zou direct alarmbellen moeten doen rinkelen.
Over Proofpoint Inc.
Proofpoint, Inc. is een toonaangevend cybersecurity-bedrijf dat de belangrijkste activa en grootste risico’s van organisaties beschermt: hun werknemers. Proofpoint helpt bedrijven over de hele wereld met zijn geïntegreerde suite van cloud-oplossingen om gerichte bedreigingen te stoppen, hun data te beschermen en hun gebruikers minder vatbaar te maken voor cyber- aanvallen. Toonaangevende organisaties van elke omvang, inclusief 85 procent van de Fortune 100, vertrouwen op Proofpoints mensgerichte oplossingen voor security en compliance om hun belangrijkste security- en compliance-risico’s te beperken. Dit geldt voor e-mail, cloud, sociale media en het web. Meer informatie is beschikbaar op
www.proofpoint.com.
Volg Proofpoint:
X|
LinkedIn |
YouTube
Proofpoint is een geregistreerd handelsmerk of handelsnaam van Proofpoint, Inc. in de VS en/of andere landen. Alle andere handelsmerken in dit document zijn eigendom van hun respectieve eigenaars.