FBI slaat alarm na miljardenschade door ceo-fraude
De FBI heeft een waarschuwing voor ceo-fraude afgegeven waardoor bedrijven en organisaties over de hele wereld sinds 2013 meer dan 2,3 miljard dollar schade hebben geleden. Volgens de Amerikaanse opsporingsdienst is er sprake van een explosieve stijging van deze vorm van fraude.
Bij ceo-fraude, ook bekend als business email compromise, doen oplichters zich voor als de directeur of andere bestuurders van een organisatie of bedrijf en sturen vervolgens een e-mail naar iemand van de financiële afdeling. In de e-mail wordt gevraagd om een groot geldbedrag naar een buitenlandse rekening over te maken. Sinds oktober 2013 werden meer dan 17.000 organisaties over de hele wereld slachtoffer van deze vorm van fraude en verloren daarbij meer dan 2,3 miljard dollar.
Het gaat zowel om grote ondernemingen en technologiebedrijven als kleine bedrijfjes en non-profitorganisaties. In veel gevallen doen de slachtoffers zaken met buitenlandse leveranciers en doen regelmatig betalingen via overboekingen. Sinds 2015 heeft de FBI een 270% stijging van het aantal slachtoffers en geleden schade gezien.
Bedrijven krijgen dan ook het advies om voorzichtig te zijn met e-mails die om overboekingen vragen of stellen dat er met spoed betaald moet worden. Verder moeten transacties per telefoon worden geverifieerd en moet er op e-mailadressen worden gelet. Soms spoofen de oplichters een e-mailadres of registreren een domein dat nagenoeg op dat van het slachtoffer lijkt. Verder wordt multi-level authenticatie aangeraden.
Als ik bij een willekeurig bedrijf naar de administratie loop om een bedrag over te maken, zal ik uitgelachen worden. Doe ik dit echter via een valse mail met als afzender de directeur, dan wordt het klakkeloos overgemaakt en lach ik nog harder. Hoe dom ben je!
Persoonlijk vind ik dit onder nalatigheid van het bedrijf vallen. Je kunt zo makkelijk een protocol invoeren dat vraagt om een bevestiging. Of maak gebruik van PGP signing. De oplossing voor dit probleem is ouder dan het probleem zelf...
TheYOSH
* Zodra een mail van een CEO of bestuurder binnen is om direct geld over te maken naar een bankrekening, maak contact met uw CEO (liefst via de telefoon) of de mail inderdaad van hem of haar is. Zo kom je er direct achter of je met genoemde fraude-mail te maken hebt.
Dus nooit zomaar geld overmaken, eerst vaststellen of de mail van de CEO echt is.
Er zijn heel veel bedrijven waar de cultuur zo is, dat men niet zomaar de CEO gaat bellen om na te vragen of een opdracht van hem/haar wel van hem/haar is. Deze (angst-) cultuur wordt door de CEO gecreeerd en in stand gehouden. Daarnaast zijn de betaalopdrachten dermate dringend en dwingend, dat er geen tijd voor controles, anders gaat het vreselijk fout. Die angst wordt gebruikt om CEO-fraude te faciliteren.
De viceuze cirkel. Degenen die geen schijt aan angst hebben zijn allang de deur uit gewerkt. (panama)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
