Traditiegetrouw kijkt iedereen in loondienst elke maand reikhalzend uit naar het einde van de maand wanneer zijn of haar salaris weer wordt gestort. Daarom is het extra zuur wanneer blijkt dat hun salaris niet op de eigen rekening, maar op die van een crimineel is gestort. De werknemer moet vervolgens bij bank en werkgever aankloppen dat het salaris écht niet is ontvangen. En hen ervan overtuigen dat het mailtje over die nieuwe bankrekening niet door hem of haar zelf was verstuurd. Salarisfraude komt steeds vaker voor en blijkt een enorm lucratieve business voor cybercriminelen.
Om de omvang van het probleem te begrijpen, meldde de IC3 van de FBI dat de kosten die gepaard gaan met salarisfraude tussen 1 januari 2018 en 30 juni 2019 met 815% zijn gestegen. Proofpoint heeft in de eerste helft van 2020 meer dan 35.000 gevallen van salarisfraude gezien en geblokkeerd ter waarde van 2,2 miljoen dollar per dag. Daaruit blijkt dat maandag en dinsdag de populairste dagen van de week zijn voor dit soort oplichterspraktijken en dat dit vooral gebeurt in de tweede en de laatste week van de maand.
Salarisfraude is vergelijkbaar met andere Business Email Compromise (BEC)-aanvallen. Bij dit soort aanvallen wordt vertrouwd op imitatie en social engineering om het doelwit ervan te overtuigen geld naar de aanvallers te sturen. In het geval van salarisfraude richten de aanvallers zich op het salarisproces van organisaties en proberen ze legitieme salarisbetalingen om te leiden naar rekeningen van de aanvaller. Dit verschilt van cadeaubonfraude omdat de aanvaller zich in dit geval niet voordoet als een zogenaamde 'VIP'. Bij cadeaubonfraude doen criminelen zich meestal voor als een CEO of ander bestuurslid.
Salarisfraude is per definitie zeer doelgericht. Om te slagen moeten criminelen iemand van de HR- of salarisafdeling identificeren die wijzigingen kan aanbrengen in de directe betalingsinformatie van een werknemer. Bij een succesvolle aanval zal het doelslachtoffer de veranderingen doorvoeren en zal de kwestie worden gesloten. Voor de aanvaller is het ideaal als dit gebeurt zonder enige terugkoppeling. Het doel is om het zoveel mogelijk ‘business as usual’ te laten lijken.
Proofpoint biedt een oplossing om organisaties te helpen zich te beschermen tegen salarisfraude. Organisaties moeten beveiligingsoplossingen gebruiken die verder kijken dan een vooraf samengestelde lijst van executives om bedrieglijke e-mails op te sporen. Daarnaast biedt Proofpoint trainingen op het gebied van beveiligingsbewustzijn zodat organisaties hun gebruikers kunnen inzetten als onderdeel van hun verdediging. Omdat salarisfraude afhankelijk is van social engineering om eindgebruikers te misleiden, is het essentieel om werknemers op te leiden.
“Het is geen verrassing dat cybercriminelen opportunistisch zijn en de menselijke natuur misbruiken om het succes van hun aanvallen te maximaliseren. Desondanks is het verontrustend dat aanvallers het huidige klimaat van onzekerheid en economisch verlies gebruiken om financieel voordeel te behalen”, aldus Adenike Cosgrove, Cybersecurity Strategist International bij Proofpoint. “Hoewel het erop lijkt dat cybercriminelen elke mogelijkheid misbruiken, is het bij BEC-aanvallen cruciaal dat bedrijven begrijpen hoe voorbereid hun organisatie - en hun werknemers - zijn om deze e-mails te herkennen en ze te stoppen.”
