image

FBI: Voorkom fraude, reageer niet op mails van gratis providers

woensdag 25 juli 2018, 11:02 door Redactie, 8 reacties

Bedrijven en organisaties die zich willen wapenen tegen ceo-fraude doen er verstandig aan om niet op e-mails van gratis e-mailproviders te reageren, zo laat de FBI weten. De Amerikaanse opsporingsdienst meldde onlangs dat ceo-fraude voor meer dan 12,5 miljard dollar aan schade heeft aangericht.

Bij ceo-fraude worden bedrijven misleid om grote bedragen naar katvangers of de fraudeurs over te maken. De ceo-fraudeurs sturen gespoofte e-mails naar medewerkers van de financiële administratie die van de directeur afkomstig lijken. Ook komt het voor dat de oplichters zich voordoen als een leverancier van het aangevallen bedrijf. Voor het versturen van de e-mails maken de oplichters gebruik van gehackte en gespoofte e-mailaccounts.

Vorig jaar waarschuwde de FBI bedrijven en organisaties om geen gratis webmaildiensten zoals Gmail of Outlook te gebruiken. Die zouden namelijk een grotere kans lopen om te worden gehackt. Nu laat de opsporingsdienst weten dat het ook verstandig is om niet te reageren op berichten die van gratis webmaildiensten afkomstig zijn. Ook moet er niet worden gereageerd op accounts die er vreemd uitzien of afzenders die compleet onbekend zijn.

In het geval van financiële transacties wordt aangeraden om die per telefoon te bevestigen. Hiervoor moet niet het nummer worden gebruikt dat in verdachte e-mails wordt opgegeven. Verder moeten organisaties alert zijn op onverwachte telefoontjes van mensen die persoonlijke informatie proberen te verifiëren om een deal te sluiten. "Geef en bevestig geen informatie zoals rekeningnummers, social security nummers en dergelijk tenzij je zeker weet wie je aan de andere kant van de lijn hebt. Slechts één extra maatregel kan je bedrijf duizenden aan verliezen en juridische kosten besparen", aldus Beth Anne Steele van de FBI.

Reacties (8)
25-07-2018, 11:15 door Anoniem
Het lijkt erop dat ze hier een fout maken die je vaker ziet in de ICT-beveiliging; als je mensen zaken gaat afraden die in de praktijk veelvuldig worden gebruikt, is de kans klein dat je advies enige impact heeft. Beveiligingsadvies dient altijd rekening te houden met de situatie zoals de praktisch bestaat en het gedrag van mensen. Aan vanuit je ivoren adviezen spuien heeft niemand iets, hoe goed bedoeld ook.
25-07-2018, 11:31 door Anoniem
Het is beter als men het process beter inricht. Het enige wat meneer de fraudeur nu hoeft te doen is gehackte accounts misbruiken, overschakelen op fax / telefoon / papier.
25-07-2018, 12:47 door Anoniem
Door Anoniem: Het lijkt erop dat ze hier een fout maken die je vaker ziet in de ICT-beveiliging; als je mensen zaken gaat afraden die in de praktijk veelvuldig worden gebruikt, is de kans klein dat je advies enige impact heeft. Beveiligingsadvies dient altijd rekening te houden met de situatie zoals de praktisch bestaat en het gedrag van mensen. Aan vanuit je ivoren adviezen spuien heeft niemand iets, hoe goed bedoeld ook.
Dat klopt: bovendien moet je elk beveiligingsadvies eerst doorspreken met de mensen die er gebruik van maken om te zien of er weerstand is. Anders voer je maatregelen in die niet blijken te werken (denk maar eens aan de discussie onder piloten om ze te bewapenen met een pistool: die hadden daar geen trek in)
25-07-2018, 12:50 door Anoniem
Alles valt of staat met bewustwording.
Of je nu een gratis mailprovider gebruikt, of een betaalde. Zowel Gmail als Outlook.com kunnen MFA volgens mij aan, waarmee het 'hacken' van een account al een stuk moeilijker wordt.
Daarnaast is het natuurlijk wel handig als de mensen die voor de financiën zorgen ook wel een gezonde portie argwaan hebben. Gewoon zomaar een bedrag overmaken omdat de CEO dat in een mail zegt, is natuurlijk erg naïef.
25-07-2018, 12:55 door Anoniem
Dit werkt alleen in organisaties zonder goede procedures. Als in zo'n bedrijf zaken toch 'even vlug vlug' kunnen, dan zijn de procedures niet goed genoeg. Least privilege, separation of duties, vaste procedures enz enz voorkomen CEO fraude.
25-07-2018, 13:15 door Anoniem
Nu laat de opsporingsdienst weten dat het ook verstandig is om niet te reageren op berichten die van gratis webmaildiensten afkomstig zijn.

Maakt de vraag of je de afzender wel/niet kent ook nog wat uit ? ;)
25-07-2018, 14:04 door Anoniem
Door Anoniem: Dit werkt alleen in organisaties zonder goede procedures. Als in zo'n bedrijf zaken toch 'even vlug vlug' kunnen, dan zijn de procedures niet goed genoeg. Least privilege, separation of duties, vaste procedures enz enz voorkomen CEO fraude.
Wat ook goed helpen kan is een fijne en open relatie met het personeel. Als de mensen bij het horen van de naam
van de CEO en/of het krijgen van een mailtje meteen bibberend in de stress schieten dan zullen ze sneller een opdracht
zonder na te denken uitvoeren dan wanneer het gewoon een collega is.
Zo kan het dus voorkomen dat die CEO's die zo graag de tiran uithangen daarmee zichzelf in de vingers snijden.
25-07-2018, 15:21 door Anoniem
Zo kan het dus voorkomen dat die CEO's die zo graag de tiran uithangen daarmee zichzelf in de vingers snijden.
Hoeft niet. Voer eens een '9mm proef' uit; stel dat een medewerker een 9mm tegen zijn hoofd krijgt, welke acties kan hij/zij dan uitvoeren? Als iemand zonder problemen (en zonder 4-ogen principe) een groot bedrag kan wegboeken, dan is dat een probleem, niet alleen wat betreft CEO-fraude, maar ook voor het bedrijf in het algemeen. Stel immers dat die betreffende collega geldproblemen krijgt, dan ligt fraude op de loer. Nogmaals, met goede procedures en (net) voldoende rechten voorkom je veel ellende.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.