Nieuwe variant email-fraude: Payment Diversion

Berichtten wij vorige week nog over CEO-fraude en eerder dit jaar over social engineering, deze week wordt extra aandacht gevraagd voor een andere sterk opkomende manier van bedrog, eveneens gebaseerd op grondige kennis van de te bestelen onderneming.

Bij zogenaamde payment diversion fraude monitoren boeven gedurende enige tijd het – te vaak onbeschermde – email-verkeer van een organisatie. Uit die communicatie selecteren zij (een of meerdere) ketenpartners of leveranciers, aan wie geregeld betalingen genoteerd worden (al dan niet via per onversleutelde email verstuurde facturen!).

De dieven versturen vervolgens via de bekende email-adressen, namens de bij de betalende organisatie bekende contactpersoon, een bericht, dat de ketenpartner voortaan via een andere bankrekening betaald wenst te worden. Namelijk die van de boeven zelf.

Het vervelende van deze vorm van fraude is, dat ze vaak pas na langere tijd ontdekt wordt. Zeker een kleinere toeleverancier zal aarzelen om een betalingsherinnering te sturen voor gelden die u al lang betaald heeft, maar hij nooit ontvangen…

Het is dus zaak, dergelijke berichten over nieuwe bankrekeningen en dergelijk altijd driedubbel te checken. En zeker niet door een reply te sturen aan de afzender…