De evolutie van cybercriminelen en social engineering-claims

Elke zes minuten meldt een Australiër een cybercrimedelict. Alleen al in 2024 bedroeg het totale bedrag aan gemelde verliezen als gevolg van oplichting maar liefst 2,74 miljard Australische dollar. Hiervan was 91,6 miljoen Australische dollar toe te schrijven aan Business Email Compromise (BEC), ook wel bekend als social engineering-oplichting. Deze cijfers onderstrepen zowel de groeiende omvang en verfijning van cybercriminaliteit als de toenemende uitdagingen die dit met zich meebrengt voor verzekeraars, bedrijven en particulieren.

Van hoodies tot bedrijfsstructuren

Als we ons een cybercrimineel voorstellen, komt dat beeld vaak uit films: een eenzame figuur in een hoodie, die in het donker achter een oplichtend scherm werkt. Hoewel deze malafide personen nog steeds bestaan, ziet de moderne cybercrimineel er heel anders uit.

Tegenwoordig opereren veel van hen binnen gestructureerde organisaties die legitieme bedrijven nabootsen. Criminelen worden gerekruteerd, krijgen een salaris en ontvangen zelfs bonussen en vakantiedagen. Het rekruteringsproces vindt plaats op het dark web, waar cybercriminelen referenties moeten overleggen en vaardigheidstests moeten doorstaan, net als in het bedrijfsleven. 

Door de staat gesponsorde groepen, met name in Noord-Korea en Rusland, gaan nog een stap verder en investeren fors in technologie en onderzoek om hun capaciteiten te verfijnen. Door deze ontwikkeling zijn ze in staat om steeds complexere en overtuigendere oplichting op grote schaal te plegen.

De opkomst van geavanceerde social engineering

Tien jaar geleden bestonden social engineering-claims meestal uit onhandige e-mails vol spelfouten, vage instructies en verkeerde e-mailadressen. Deze oplichting was relatief eenvoudig te herkennen.

Tegenwoordig gebruiken cybercriminelen datamining, open-sourceonderzoek en gestolen bedrijfsinformatie om veel overtuigender aanvallen uit te voeren. Door platforms zoals LinkedIn te doorzoeken, identificeren criminelen financiële professionals met de bevoegdheid om geld over te maken en passen ze hun communicatie daarop aan. Deze e-mails lijken nu op legitieme correspondentie, met de juiste toon, taal en zelfs bijnamen die binnen het bedrijf worden gebruikt.

In sommige gevallen brengen criminelen weken door in een gehackt netwerk, waar ze workflows, leveranciersrelaties en aankomende facturen bestuderen om zeer gerichte oplichting te kunnen plegen. Het resultaat: minder rode vlaggen en een grotere kans op succes.

De rol van AI en deepfakes

Kunstmatige intelligentie heeft de ontwikkeling van social engineering enorm versneld. Dankzij deepfake-technologie kunnen criminelen nu op overtuigende wijze stemmen en zelfs gezichten van leidinggevenden namaken.

In een spraakmakende zaak gaf een medewerker van een multinational in Hongkong toestemming voor een betaling van 200 miljoen HKD (ongeveer 39,5 miljoen AUD) na een Zoom-gesprek met wat leek op het senior management. Het enige probleem? De leidinggevenden waren door AI gegenereerde deepfakes.

Deepfakes zijn niet langer de onhandige, robotachtige vervalsingen van een paar jaar geleden. Tegenwoordig zijn ze zeer realistisch, waardoor het zelfs voor getrainde professionals moeilijk is om het verschil te zien. In combinatie met gestolen stemopnames en videoclips die van het internet kunnen worden verzameld, kunnen criminelen nu zeer overtuigende imitaties maken.

Vanuit het oogpunt van schadeclaims levert dit aanzienlijke uitdagingen op. Stem- en videofraude laten weinig papieren sporen na, waardoor verificatie moeilijk is. Bovendien realiseren slachtoffers zich vaak pas veel later dat ze zijn opgelicht, waardoor de kans kleiner wordt dat ze hun geld via de bank kunnen terugkrijgen.

Opkomende bedreigingen: AI-agenten

De volgende grens van cybercriminaliteit zal naar verwachting worden gevormd door AI-agenten: autonome systemen die zonder menselijke tussenkomst kunnen redeneren, leren en beslissingen nemen. In tegenstelling tot de huidige AI-assistenten, die aanwijzingen nodig hebben, kunnen AI-agenten zelfstandig handelen.

In een cybercriminele context betekent dit dat een AI-agent het volgende zou kunnen doen:

• Zoek op internet naar doelwitten
• Bouw CRM-databases van financiële professionals
• Overtuigende correspondentie opstellen
• Verstuur duizenden scam-e-mails op grote schaal

En dat alles zonder menselijk toezicht. De kosten zijn minimaal, het bereik is enorm, en zelfs als slechts één poging slaagt, kan het rendement aanzienlijk zijn.

Reacties van wetgevers en banken

Overheden en financiële instellingen reageren hierop. In februari 2025 werd in Australië de Scam Prevention Framework Bill aangenomen, die banken verplicht om strengere controles in te voeren om oplichting op te sporen, te voorkomen en te verstoren.

Ontwikkelingen zijn onder meer de oprichting van het Scam-Safe Accord door de Australian Banking Association, inclusief een investering van 100 miljoen dollar in technologie voor naamcontrole, waarmee wordt gecontroleerd of de rekeningnaam overeenkomt met het ingevoerde BSB-nummer en rekeningnummer. Andere initiatieven zijn onder meer meer waarschuwingen, het vasthouden van betalingen aan nieuwe bankrekeningen en aanvullende beveiligingsvragen.

We verwachten dat deze controles voor kleine en middelgrote ondernemingen operationele uitdagingen met zich mee kunnen brengen, waarmee rekening moet worden gehouden en die waar mogelijk van tevoren moeten worden gepland. Vertragingen bij betalingen kunnen bijvoorbeeld de cashflow van leveranciers verstoren.  

Gevolgen voor verzekeringsclaims

Vanuit verzekeringsoogpunt is ook de formulering van polissen veranderd. Veel polissen bevatten nu uitsluitingen of hogere eigen risico's als bepaalde verificatiecontroles niet zijn ingesteld of niet worden nageleefd. Verzekeraars kunnen bijvoorbeeld het volgende eisen:

• Telefonische verificatie van wijzigingen in de bankgegevens van leveranciers
• Scheiding van taken bij de verwerking van facturen
• Gedocumenteerde procedures voor betalingsgoedkeuringen

Rechtbanken hebben zich bij dit standpunt aangesloten. In 2025 heeft een rechtbank in West-Australië een bedrijf aansprakelijk gesteld voor het betalen van een frauduleuze factuur, nadat de verificatiemethoden van het bedrijf ontoereikend werden bevonden. De verwachting is duidelijk: bedrijven moeten redelijke maatregelen nemen om zichzelf te beschermen.

Wat organisaties kunnen doen

Ondanks de geavanceerdheid van aanvallen kunnen bedrijven hun risico aanzienlijk verminderen door de juiste processen in te voeren:

• Verificatieprotocollen: Bevestig wijzigingen in bankgegevens altijd telefonisch, met behulp van onafhankelijk verkregen telefoonnummers.
• Empowerment van medewerkers: Moedig medewerkers aan om ongebruikelijke verzoeken in twijfel te trekken, zelfs als deze afkomstig zijn van 'senior executives'.
• Training: Breng medewerkers regelmatig op de hoogte van nieuwe bedreigingen en rode vlaggen.
• IT-controles: Implementeer meervoudige authenticatie, beperk beheerdersrechten en dwing regelmatige wachtwoordwijzigingen af.

Uiteindelijk blijft waakzaamheid op individueel en organisatorisch niveau de sterkste verdediging.

Hoe Sedgwick kan helpen

De toename van geavanceerde cybercriminaliteit benadrukt de groeiende complexiteit van het beheer van claims. Elk geval vereist een zorgvuldige analyse, niet alleen van het financiële verlies, maar ook van de naleving van de polisvoorwaarden, verificatieprocessen en herstelvooruitzichten.

Bij Sedgwick beschikt ons forensisch accountingteam over de expertise om deze uitdagingen het hoofd te bieden. Als een van de grootste groepen forensisch accountants in Australië ondersteunen wij verzekeraars, bedrijven en juridische cliënten met nauwkeurige, uitgebreide kwantificering en afhandeling van cyber- en social engineering-claims. Naast cybercriminaliteit werken onze specialisten aan een breed scala aan gespecialiseerde claims, waarbij zij zorgen voor duidelijkheid, nauwkeurigheid en betrouwbare resultaten in complexe situaties.

Als u meer wilt weten over hoe Sedgwick u kan helpen bij cyber-, social engineering- of speciale claims, neem dan contact op met Beth Fieldhouse[email protected], Lucy Tang[email protected]of Emma Levett[email protected].