Hedgefonds verliest 1 miljoen euro door phishingaanval
Een Brits hedgefonds heeft 1 miljoen euro verloren nadat de financieel directeur het slachtoffer van een telefonische phishingaanval werd. De aanval vond op vrijdagmiddag plaats, een moment dat oplichters steeds vaker uitkiezen om toe te slaan, omdat werknemers in gedachten dan al bij het weekend zijn.
In het geval van Fortelus Capital Management LLP werd de CFO twee jaar geleden gebeld door iemand die zich voordeed als een medewerker van de bank. Volgens de oplichter was er sprake van mogelijk frauduleuze activiteiten. De CFO was in eerste instantie terughoudend, maar besloot uiteindelijk via het smartcardbeveiligingssysteem meerdere codes te genereren om 15 zogenaamd verdachte transacties te blokkeren. Toen de CFO de volgende maandag op kantoor kwam zag hij dat er 1 miljoen euro was verdwenen.
De man belde de bank, maar kreeg te horen dat niemand hem had gebeld. Vanwege het incident werd de CFO ontslagen en wordt hij nu wegens nalatigheid door zijn voormalige werkgever aangeklaagd, zo meldt Bloomberg. "Mensen zijn de zwakste schakel", zegt Jason Ferdinand van Coventry University. Hij stelt dat werknemers vaak niet over security nadenken omdat ze ervan uitgaan dat een machine of software het voor hen doet.
Werknemers moeten vooral op vrijdag opletten. Zo gaf verzekeringsmaatschappij Zurich Insurance Groep AG in mei nog een waarschuwing af dat advocatenkantoren het doelwit van de "Friday afternoon scam" waren geworden, waarbij oplichters zich als bankpersoneel voordoen en rekeninggegevens vragen. In een periode van drie maanden zou de fraude bedrijven zo'n 7 miljoen euro hebben gekost.
Je belt de bank zelf terug om het gesprek voort te zetten voordat je ook maar enige codes genereert.
Als je dat al doet dan genereer je die codes en voert ze zelf in de daarvoor bestemde systemen in -- via je eigen middelen, niet via linkjes uit emails en andere bronnen "van buiten", ook al lijken ze van de bank afkomstig.
En eigenlijk hoor je als CFO te weten dat zo'n bank zoiets nooit nodig zal hebben want ze hebben intern volledige toegang en als niet dan gaat het hen geld kosten, dus codes genereren, hoezo?
Hetzelfde zie je de andere kant op. Dan belt het bedrijf jou terug op het hen bekende telefoonnummer als je iets wilt wijzigen aan je account of gegevens wilt hebben die gevoelig kunnen zijn. Ik heb dat meegemaakt bij zowel een bank als een mobiele provider.
Peter
sportiever zouden omgaan met de situatie dat ze zelf te kakken gezet zijn....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
