Gehackt e-mailaccount leverancier kost bedrijf 400.000 dollar
Een Amerikaans bedrijf heeft 400.000 dollar naar criminelen overgemaakt nadat die het e-mailaccount van een Indiase leverancier hadden gehackt. Dat laat beveiligingsbedrijf SecureWorks vandaag weten. De criminelen hadden het wachtwoord van een werknemer van het Indiase bedrijf achterhaald.
Het bedrijf gebruikt een webmail-applicatie voor de zakelijke e-mail. Om hierop in te loggen is alleen een gebruikersnaam en wachtwoord vereist. Zodoende konden de criminelen met de gestolen inloggegevens op het e-mailaccount inloggen. Ze sloegen toe toen een Amerikaans bedrijf een offerte vroeg om voor 400.000 dollar aan chemicaliën aan te schaffen.
Er werd een regel aan het gehackte e-mailaccount toegevoegd om alle e-mail van het Amerikaanse bedrijf naar het e-mailaccount van de aanvallers door te sturen. De aanvallers onderschepten zo de inkooporder en stuurden die door naar het Indiase bedrijf vanaf een domein dat erg leek op dat van het Amerikaanse bedrijf. Op deze manier hadden de aanvallers tussen de verkoper en koper een man-in-the-middle-positie ingenomen.
Het Indiase bedrijf stuurde vervolgens een rekening met de betaalinstructies. Deze rekening werd echter naar het e-mailadres van de aanvallers gestuurd. Die wijzigden de rekeninggegevens, banknaam en swift/bic-code en stuurden de rekening door naar het Amerikaanse bedrijf. Het Amerikaanse bedrijf maakte op deze manier 400.000 dollar over naar de rekening van de criminelen. Die maakten het geld snel over naar allerlei katvangers, waardoor het geldspoor lastig is te traceren en het geld niet meer is terug te halen, aldus SecureWorks.
Het beveiligingsbedrijf adviseert organisaties dan ook om twee-factor authenticatie voor zowel zakelijke als persoonlijke e-mailaccounts in te stellen. In het geval een wachtwoord is gestolen kan de aanvaller nog steeds niet inloggen. Ook moet erop verdachte regels worden gecontroleerd die e-mail doorsturen en moeten transacties tussen partijen altijd buiten e-mail om op een eerder afgesproken manier worden bevestigd.
Probleem is nu natuurlijk: hoe had de leverancier dit kunnen voorkomen? Want zowel de factuur als de afzender waren genuine.
Voorkomen is niet zo moeilijk.
Gebruik elektronische handtekeningen zoals met een PKI (van betrouwbare firma's)
In Nederland is PKI-Overheid een goed merk. In de VS zijn Verisign, Symantec, GlobalSign bekende merken.
Je kunt hiermee niet alleen dit soort diefstal voorkomen. Je kan ook allerhande compliance vraagstukken oplossen.
Kijk naar e-Herkenning
Kijk naar TSCP
wellicht zijn er nog meer oplossingen
Voorkomen is niet zo moeilijk.
Gebruik elektronische handtekeningen zoals met een PKI (van betrouwbare firma's)
In Nederland is PKI-Overheid een goed merk. In de VS zijn Verisign, Symantec, GlobalSign bekende merken.
Je kunt hiermee niet alleen dit soort diefstal voorkomen. Je kan ook allerhande compliance vraagstukken oplossen.
Kijk naar e-Herkenning
Kijk naar TSCP
wellicht zijn er nog meer oplossingen
vraag: ga je met een dergelijke pki daadwerkelijk iets oplossen? De mail is immers via de reguliere weg gegaan en daaruit doorgestuurd. (als ik het goed begrijp)
Ik probeer de gebruikers organisatie altijd op zijn hart te drukken dat je bij twijfel (en vooral bij wisseling van bankgegevens) er ALTIJD een fax achteraan stuurt naar het originele faxnummer (niet het nummer wat op de invoice staat) ter verificatie
Eerlijk is eerlijk ben ik (te) slecht bekend met de PKI.
Een regel toevoegen geeft een foutmelding op handtekening (van in dit geval de email).
Natuurlijk kan de slechterik zelf een PKI maken en gebruiken (een nieuwe ondertekening doen).
Daarom is het belangrijk dat men een vertrouwde PKI leverancier neemt die door de ontvanger herkend wordt.
Met een PKI van een betrouwbare partij, dan kan de ontvanger dus gemakkelijker het juiste vertrouwen krijgen. Net als bij het groene slotje van betrouwbare websites. Die van Security.nl is er een van Thawte. Thawte staat als goed bekend en is opgenomen in de standaardlijst betrouwbare Certificate Authorities (CA's). Kijk maar na.
Zo kan je ditzelfde mechanisme ook gebruiken voor emails. Natuurlijk moet je altijd wel de handtekeningen controleren. Voor vaak voorkomende transacties kan je ook dit automatiseren.
Organisaties die certificaten hebben gekocht bij betrouwbare CA's kunnen het hier vrij gemakkelijk hebben.
Organisaties die zelf een PKI hebben gemaakt (en die gebruiken) die moeten hun PKI eerst in de vertrouwenslijsten laten plaatsen van hun partners.
Het is mij een raadsel waarom de vele commerciële bedrijven voor hun mailings geen gebruik maken van digitaal ondertekende emails. Zouden zij dat doen, dan hebben de spammers gelijk veel minder kans. Als het criminelen zijn, dan gaan ze niet bij een betrouwbare CA winkelen. Ze zijn dan namelijk bekend en kunnen worden opgespoord. Voor de commerciële bedrijven kan hun naam dan niet meer zo gemakkelijk worden misbruikt voor oplichting en de kansen voor namaakproducten wordt ook een stuk minder.
Maar goed.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
