DSM ontsnapt aan ceo-fraude door oplettende medewerkers
Chemieconcern DSM is vorig jaar dankzij oplettende medewerkers ontsnapt aan de beruchte ceo-fraude, zo laat het Limburgs Dagblad vandaag weten. Twee medewerkers van de afdeling financiën kregen onafhankelijk van elkaar een e-mail die van topman Feike Sijbesma afkomstig leek.
In de berichten stonden instructies om met spoed een enorm bedrag over te maken. Het ging om een vertrouwelijke deal waar ze niet met anderen over mochten praten. De medewerkers vertrouwden het niet en trokken de e-mails na bij de directie, waardoor duidelijk werd dat het om fraude ging. "De mails waren door onze filters geglipt, maar gelukkig hielden onze medewerkers zich aan de interne instructies om phishingmails te onderscheppen, waardoor we geen schade hebben geleden", zegt cybersecurity-expert Ad Krikke van DSM.
Bij ceo-fraude, ook bekend als business email compromise, doen oplichters zich voor als de directeur of andere bestuurders van een organisatie of bedrijf en sturen vervolgens een e-mail naar iemand van de financiële afdeling. In de e-mail wordt gevraagd om een groot geldbedrag naar een buitenlandse rekening over te maken. Het is mogelijk de schadelijkste vorm van cybercrime.
Volgens de FBI hebben criminelen op deze manier sinds oktober 2013 wereldwijd meer dan 2,3 miljard dollar weten te stelen. Meer dan 17.000 organisaties en bedrijven zouden slachtoffer zijn geworden. Vorig jaar ontving de FBI ruim 7800 klachten van Amerikaanse organisaties over ceo-fraude, dat slachtoffers meer dan 263 miljoen dollar kostte. In vergelijking zorgde ransomware in 2015 voor 2400 klachten en een schadepost van 1,6 miljoen dollar.
hulde aan awareness bedoel je
Want je gaat er van uit dat de computer van de afzender never nooit gehacked kan zijn, en de computer van de ontvanger ook nooit, dus als de client maar zegt "crypto signature from the CFO is valid" moet afdeling finance de meest rare opdrachten klakkeloos gaan uitbetalen ?
Ja - pgp (of desnoods exchange/outlook met signatures) is een heel mooie toevoeging, maar het _blijft_ een heel goed idee als mensen bij rare of ongebruikelijke opdrachten met grote impact controleren of dat echt is wat de afzender wil doen .
net zo nieuw en bijzonder als alle geslaagde hacks die hier als nieuws langskomen ?
Ook nuttig effect van awareness en medewerker training is absoluut het melden waard.
Want je gaat er van uit dat de computer van de afzender never nooit gehacked kan zijn, en de computer van de ontvanger ook nooit, dus als de client maar zegt "crypto signature from the CFO is valid" moet afdeling finance de meest rare opdrachten klakkeloos gaan uitbetalen ?
Ja - pgp (of desnoods exchange/outlook met signatures) is een heel mooie toevoeging, maar het _blijft_ een heel goed idee als mensen bij rare of ongebruikelijke opdrachten met grote impact controleren of dat echt is wat de afzender wil doen .
Inderdaad. Want er kunnen ook andere oorzaken zijn, waardoor de mail wel echt is zelfs, maar het toch niet mag gebeuren.
Ok. Ik heb inderdaad de aanname gedaan dat er niet alleen de genoemde procedures waren , maar dat er ook training/awareness bijgezeten heeft.
(mijn ervaring bij *andere* grote bedrijven is dat er inderdaad medewerker training is waarin de belangrijkste bedrijfsregels , ook qua security benadrukt worden . Zouden DSM medewerkers 'vanzelf' bekend raken met de bedrijfsprocedures zou dat wel heel bijzonder zijn ).
Natuurlijk maak je niet zomaar even geld over omdat je een mail ontvangt!
Pfoe. Dat is niet vaak voor zo een grote club.
Andermaal het bewijs dat de zuurgraad op Security.nl bijna van de pH schaal afvalt... Wordt er een stukje gepost dat je slachtoffer bent van fraude dan ben je een sukkel, en heb je eens een keer alles goed gedaan dan is het de moeite van het posten niet waard?!? Kom op zeg! Niet overal tegen zijn! Kom op Jacobse, kom op Van Es! De Tegenpartij is alweer een tijdje opgeheven...
In tegenstelling tot wat de FBI een dag tevoor prediktde.
In tegenstelling tot wat de FBI een dag tevoor prediktde.
Of wat ik de laatste week weer overal hoorde blaten: "de mens is de zwakste schakel".
OK dude, en die techniek die zoveel beter is dan mensen, door wie wordt die ook weer bedacht en gemaakt? Juist.
Mensen die zeggen "de mens is de zwakste schakel" bedoelen daar gek genoeg nooit zichzelf mee, maar altijd die domme medewerkertjes die beter door technische oplossingen vervangen zouden kunnen worden. Gemaakt door, juist...
In de meeste gevallen wordt namelijk domein squatting gebruikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
