Ceo-fraudeur betrapt door ontbreken van smiley in e-mail
Een Nieuw-Zeelandse wijnproducent die van een druiventeler een e-mail ontving met het verzoek om 90.000 Nieuw-Zeelandse dollar naar een andere rekening over te maken besloot dit niet te doen omdat de e-mail onder andere geen smilies bevatte. Criminelen hadden het e-mailaccount van de druiventeler gehackt en het verzoek naar de wijnproducent gestuurd.
Volgens de e-mail werd de normale rekening gecontroleerd en moest het geld daarom naar een andere rekening worden overgemaakt. Het taalgebruik in de e-mail was zeer formeel, terwijl de druiventeler in haar berichten juist heel informeel is. Daarnaast was haar partner niet in de cc opgenomen en ontbraken er smilies in de e-mail. Volgens de wijnproducent was het verdacht dat de smilies ontbraken, aangezien de e-mails van de druiventeler er normaal vol mee zitten.
De wijnproducent, die in korte periode vier of vijf e-mails van de oplichters ontving, besloot de druiventeler te waarschuwen. Die ontdekte dat haar e-mailaccount was gehackt. De druiventeler is dan ook blij met de goede relatie die ze met de wijnproducent heeft, anders was het geld naar de oplichters overgemaakt, zo laat ze tegenover de nieuwssite Stuff weten. Via ceo-fraude wisten criminelen volgens de FBI de afgelopen jaren zo'n 5 miljard euro te stelen.
Reacties (15)
04-10-2017, 18:29 door
Picachu
Het ontbreken van de smilies is dus eerder een grappig detail, dan dé reden dat hij betrapt werd.
Wanneer deze zakelijke partners hun wederzijdse mailverkeer met certificaten hadden beschermd, en alleen maar ondertekende mails naar elkaar zouden hebben gestuurd, had deze wijnproducent direct geweten dat er iets niet klopt.
Door Anoniem: Wanneer deze zakelijke partners hun wederzijdse mailverkeer met certificaten hadden beschermd, en alleen maar ondertekende mails naar elkaar zouden hebben gestuurd, had deze wijnproducent direct geweten dat er iets niet klopt.
Nee hoor. Want s/mime geeft vaak genoeg random fouten.
En PGP? Daar stuurt zelfs de bedenker je de mail terug met als verzoek de email onversleutelde te verzenden als hij op z’n telefoon zit.
Door Anoniem: Wanneer deze zakelijke partners hun wederzijdse mailverkeer met certificaten hadden beschermd, en alleen maar ondertekende mails naar elkaar zouden hebben gestuurd, had deze wijnproducent direct geweten dat er iets niet klopt.
Ja vast, net zo goed als certificaten op website garantie geven bij gehackte accounts.
Ik lees "email account was gehacked" . En dan denk ik 99.9% "game over" ook met een crypto sausje erover heen.
Leuk voorbeeld dat aantoont dat social engineering meer oplevert dan technisch vernuft.
05-10-2017, 07:30 door
Bitwiper
Door Anoniem: Wanneer deze zakelijke partners hun wederzijdse mailverkeer met certificaten hadden beschermd, en alleen maar ondertekende mails naar elkaar zouden hebben gestuurd, had deze wijnproducent direct geweten dat er iets niet klopt.
Het e-mail account van de afzender was gehackt. Als de afzender een private key in gebruik zou hebben voor signing: tenzij die private key ontoegankelijk was geweest voor de hackers, had dit niets geholpen - integendeel. De mail zou dan digitaal gesigneerd zijn geweest namens de nietsvermoedende afzender.Door Picachu: Het ontbreken van de smilies is dus eerder een grappig detail, dan dé reden dat hij betrapt werd.
Nee. Het ontbreken van de smileys, samen met het ongewoon formele taalgebruik, was in dit geval net zoiets als het ontbreken van een geldig certificaat. Het maakte dat de ontvanger ging twijfelen aan de echtheid en daarom via een ander kanaal navraag deed.
Beetje alsof je vrouw ineens een baard heeft, dat zou ook te denken moeten geven.
Elkaar kennen, er kan geen certificaat tegenop.
Door Anoniem: Wanneer deze zakelijke partners hun wederzijdse mailverkeer met certificaten hadden beschermd, en alleen maar ondertekende mails naar elkaar zouden hebben gestuurd, had deze wijnproducent direct geweten dat er iets niet klopt.
Nu toch ook? Wat is het voordeel van certificaten dan? En certificaten kun je hacken, iemands schrijfstijl nadoen vraagt wat meer inspanning.
05-10-2017, 10:14 door
Whacko
Door Bitwiper:
Door Anoniem: Wanneer deze zakelijke partners hun wederzijdse mailverkeer met certificaten hadden beschermd, en alleen maar ondertekende mails naar elkaar zouden hebben gestuurd, had deze wijnproducent direct geweten dat er iets niet klopt.
Het e-mail account van de afzender was gehackt. Als de afzender een private key in gebruik zou hebben voor signing: tenzij die private key ontoegankelijk was geweest voor de hackers, had dit niets geholpen - integendeel. De mail zou dan digitaal gesigneerd zijn geweest namens de nietsvermoedende afzender.Het ACCOUNT was gehackt. Hoeveel emailaanbieders weet jij te noemen die pgp vanzichzelf ondersteunen? zijn er niet veel. Dus hoogstwaarschijnlijk wordt er dan nog een applicatie gebruikt om PGP te signen, dat is dus vrijwel altijd los van de email ACCOUNT.
In dit verhaal komt PGP niet eens ter sprake maar de opmerking van Anoniem was best nuttig in dit geval.
05-10-2017, 12:52 door
Briolet
Door Bitwiper: …Als de afzender een private key in gebruik zou hebben voor signing: tenzij die private key ontoegankelijk was geweest voor de hackers, had dit niets geholpen -
Zoals Whacko schrijft voor PGP geldt, dat ook voor s/mime. Ook met s/mime kun je niets manipuleren als je het mail-account gekraakt hebt. Bij s/mime staat de private key op elke PC waar je de mail vanaf verstuurd en niet op de mailserver.Je moet dus de PC infecteren en vanaf daar die nepmails versturen. Maar dat is hier niet gebeurd.
Wel slordig van die hackers dat ze niet goed in de oude mails gekeken hebben. Een goede hacker, die phishingmail verstuurt vanaf een gekraakt mailaccount, kijkt toch naar de stijl van schrijven als je iemand wil imiteren. Je kopieert eventueel hele stukken uit oudere mailwissels.
De enige alarmbel is het veranderen van banknummer. Zoiets dubbel-check je altijd met de leverancier op een éénduidige manier. Dat er dan ook andere dingen ongebruikelijk zijn aan een mail is alleen bijzaak.
Ik heb dit jaar ook al twee keer een oproep gehad om een tijdschrift abonnement op een ander nummer te betalen. Dan kijk je minimaal in de colofon van zo'n tijdschrift of daar ook een ander rekeningnummer staat. Bij zo'n klein bedrag gaan criminelen vast geen heel nummer nadrukken.
Door Anoniem: En de fraudeur gaat vrijuit?
Geen idee, ze hebben de dader nog niet kunnen identificeren, laat staan kunnen vinden.Door Briolet:
Ik heb dit jaar ook al twee keer een oproep gehad om een tijdschrift abonnement op een ander nummer te betalen. Dan kijk je minimaal in de colofon van zo'n tijdschrift of daar ook een ander rekeningnummer staat. Bij zo'n klein bedrag gaan criminelen vast geen heel nummer nadrukken.
Ik heb dit jaar ook al twee keer een oproep gehad om een tijdschrift abonnement op een ander nummer te betalen. Dan kijk je minimaal in de colofon van zo'n tijdschrift of daar ook een ander rekeningnummer staat. Bij zo'n klein bedrag gaan criminelen vast geen heel nummer nadrukken.
Dat wisselen van bankrekeningnummer, of überhaupt het betalen naar een bankrekening nummer vind ik altijd lastig te verifiëren. Ik kijk wel eens op Internet of ik bij het betreffende bedrijf iets op de site kan vinden maar daar staan maar zelden de rekeningnummers bij. Eerst een klein bedragje overmaken helpt ook niet want mijn bank vertelt mij dan niet aan wie ik het geld heb overgemaakt maar alleen aan wie ik zei dat ik het overmaakte.
En de organisatie in kwestie dan maar even bellen voelt ook tricky, wie zegt dat de persoon aan de andere kant dan niet haar eigen nummer opgeeft?
Er zijn vast heel goede redenen waarom dat niet kan, maar een onafhankelijke "telefoongids" voor bankrekeningnummers van bedrijven en organisaties lijkt mij wel handig...
05-10-2017, 14:19 door
Bitwiper
Door Whacko:
Het ACCOUNT was gehackt. Hoeveel emailaanbieders weet jij te noemen die pgp vanzichzelf ondersteunen? zijn er niet veel. Dus hoogstwaarschijnlijk wordt er dan nog een applicatie gebruikt om PGP te signen, dat is dus vrijwel altijd los van de email ACCOUNT.
In dit verhaal komt PGP niet eens ter sprake
Exact.Door Bitwiper:
Door Anoniem: Wanneer deze zakelijke partners hun wederzijdse mailverkeer met certificaten hadden beschermd, en alleen maar ondertekende mails naar elkaar zouden hebben gestuurd, had deze wijnproducent direct geweten dat er iets niet klopt.
Het e-mail account van de afzender was gehackt. Als de afzender een private key in gebruik zou hebben voor signing: tenzij die private key ontoegankelijk was geweest voor de hackers, had dit niets geholpen - integendeel. De mail zou dan digitaal gesigneerd zijn geweest namens de nietsvermoedende afzender.Het ACCOUNT was gehackt. Hoeveel emailaanbieders weet jij te noemen die pgp vanzichzelf ondersteunen? zijn er niet veel. Dus hoogstwaarschijnlijk wordt er dan nog een applicatie gebruikt om PGP te signen, dat is dus vrijwel altijd los van de email ACCOUNT.
In dit verhaal komt PGP niet eens ter sprake
Door Briolet:
Hoe wou je dat doen bij webmail? En als er geen sprake is van webmail maar van een gebruiker met een losse MUA die via SMTP(S) mail verzendt, ligt het meer voor de hand diens PC gehacked is - en dan kan de private key, vroeger of later, ook in verkeerde handen vallen.Door Bitwiper: …Als de afzender een private key in gebruik zou hebben voor signing: tenzij die private key ontoegankelijk was geweest voor de hackers, had dit niets geholpen -
Zoals Whacko schrijft voor PGP geldt, dat ook voor s/mime. Ook met s/mime kun je niets manipuleren als je het mail-account gekraakt hebt. Bij s/mime staat de private key op elke PC waar je de mail vanaf verstuurd en niet op de mailserver.Los daarvan: iedereen met toegang tot een e-mail account kan gratis een nieuw S/MIME certificaat aanvragen (in elk geval bij Comodo, zie https://www.comodo.com/home/email-security/free-email-certificate.php). De ontvanger krijgt daarna nog steeds netjes digitaal ondertekende mails "van de afzender" - alleen met een ander certificaat. Zou jou dat opvallen?
Het is mooi dat de fraude doorzien werd, maar wat mij aan dit soort verhalen opvalt is dat er zo vaak geen gewoonte is om dingen die afwijken en schade zouden kunnen veroorzaken sowieso even te verifiëren. Je kan iemand bellen en vragen of dat afwijkende rekeningnummer klopt omdat het doorgeven van een ander rekeningnummer zelf al vreemd is, ook als de stijl niet zo duidelijk afwijkt van wat je gewend bent. En dan bel je natuurlijk een nummer dat je al kent of dat je zelf opzoekt, niet een nummer dat in die e-mail staat.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
