Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hackers stelen salaris werknemers

08-08-2018, 21:23 door [Account Verwijderd], 10 reacties
Laatst bijgewerkt: 08-08-2018, 21:49
Op de site van de Fraudehelpdesk is op 8 augustus een artikel verschenen over de diefstal van het salaris van werknemers die bij bedrijven werken. De truc bestaat uit het hacken van de mailaccount van de werknemer. Vervolgens gaat de oplichter de salarisadministratie contacteren om het salaris op een andere bankrekeningnummer bij te schrijven. De oplichter gaat zo met het salaris van de werknemer vandoor.

De Fraudehelpdesk heeft al een aantal meldingen ontvangen en waarschuwt degene die op de salarisadministratie werken op te passen als men een mail van een werknemer krijgt om het rekeningnummer van diens bank te veranderen.

De waarschuwing van de Fraudehelpdesk staat hier:
https://www.fraudehelpdesk.nl/alerts/hackers-stelen-salaris/

Welke maatregelen zouden bedrijven en werknemers kunnen nemen?

A) Fraudehelpdesk adviseert om na te gaan of je mailaccount is gehackt via HaveIBeenPwned.
https://haveibeenpwned.com/

B) Ook de politie heeft een dergelijke tool; zie de link hieronder:
https://www.politie.nl/themas/controleer-of-mijn-inloggegevens-zijn-gestolen.html

Fraudehelpdesk raadt aan bij een vermoedelijke hack de wachtwoorden ogenblikkelijk te veranderen.

Meer bronnen hierover:
https://beveiligingnieuws.nl/nieuws/internetoplichters-proberen-salarissen-te-stelen


Update: tekst verbeterd.
Reacties (10)
08-08-2018, 23:31 door SecGuru_OTX
Ik heb behoefte aan meer info en eventueel zelf voorbeelden.

Gaat het hier om hacking, spoofing of idd wachtwoorden gebruiken die al op het Internet zijn gepubliceerd.

Daarnaast op aanvulling van het advies van Fraudehelpdesk: gebruik ALTIJD 2FA.
08-08-2018, 23:54 door Bitwiper - Bijgewerkt: 08-08-2018, 23:55
Dank voor de melding! Staat overigens ook hier: https://nos.nl/artikel/2245192-hackers-laten-salaris-slachtoffer-storten-op-eigen-rekening.html en https://www.nu.nl/internet/5404748/fraudehelpdesk-waarschuwt-hackers-salaris-afhandig-willen-maken.html.

Laat inkoop- en HRM medewerkers er, op z'n minst, altijd zelf achteraan bellen naar het reeds bekende telefoonnummer van de betrokkene! Houd er rekening mee dat criminelen ook zelf kunnen bellen nadat ze zo'n nepmail hebben gestuurd "ter bevestiging". Bel niet naar nummers uit zo'n mail, en een reply met de vraag "klopt dit wel?" is natuurlijk ook zinloos.

Hou, vooral bij grote bedragen ("CEO fraude"), ook rekening met het feit dat de mobiele telefoon van het slachtoffer gestolen kan zijn, of dat het criminelen gelukt is de dat telefoonnummer aan hun SIM te laten koppelen. Een crimineel met toegang tot het e-mail account van een slachtoffer kan al op veel manieren identiteitsfraude plegen; met ook toegang tot het telefoonnummer van dat slachtoffer wordt dit nog veel erger! En een crimineel die een makkelijk te unlocken smartphone steelt, heeft die twee vliegen vaak in een klap - zelfs als e-mail via die smartphone 2FA gebruikt, want in de praktijk word je zelden gevraagd om te authenticeren!

Het veiligste is om te bellen en zeggen dat het wijzigen van een bankrekeningnummer (van werknemers) alleen kan door je persoonlijk te komen melden bij HRM. In het geval van leveranciers is het verstandig om iemand anders binnen zo'n organisatie te bellen ter verificatie.

Aan klanten kun je een te volgen procedure geven indien zij "namens jouw bedrijf" een verzoek tot wijziging van bankrekeningnummer ontvangen. In die procedure kun je bijv. telefonnummers van, ter verificatie, "kruislings" te bellen medewerkers van jouw bedrijf opnemen (als A mailt of belt met het verzoek om naar een ander rekeningnummer te betalen, bel je B en andersom).
09-08-2018, 07:44 door karma4
Degene die een verkeerde betaling heeft uitgevoerd is het bedrijf afdeling hr. Laten we om te beginnen het probleem en de schade ook daar leggen.
De werknemer met schadevergoeding de betreffende betaling doen met extra vergoeding.

Genoeg vragen waar het mis gegaan kan zijn.
- is het phishing mail met handig aangeklede inhoud?
Dan is er niets gehackt maar heeft het hr veranderingsproces te weinig controlestappen
- is de hele r administratie buiten de deur gezet? Laat alles van de betreffende verwerker doorlopen. Je kan niet uitsluiten dat daar wat niet goed zit.
- een bankrekening nummer veranderen zonder extra controlestappen? Dat is al raar. Je zou minstens verwachten dat een naam nummer controle vereist zou zijn. Zou het om buitenlands nummer gaan, dan is dat nog vreemder.

We typisch dat de schuld meteen bij het slachtoffer gelegd wordt. Het is het maakelijkst om de eigen verantwoordelijkheid te ontkennen.
09-08-2018, 09:03 door Anoniem
Iedereen heeft het hier over HR(M). Ik weet niet hoe dat in de meeste bedrijven georganiseerd is maar in het bedrijf
waar ik werk is dit geen taak van HR, in ieder geval niet het proces zelf, hooguit de afhandeling van de problemen die
er door ontstaan zijn. Dit soort dingen wordt gedaan door de Personeels- en Salarisadministratie, en die staat los
van HR, valt zelfs onder een andere manager. HR houdt zich bezig met zaken als werving en selectie, loopbaaan
ontwikkeling, opleiding e.d. en dat heeft hier niks mee te maken.

Maar goed, los daarvan moet er natuurlijk een goede borging zijn van de verwerking van dit soort wijzigingen.
Daar zie ik wel de bekende trend: vroeger moest je een brief schrijven of persoonlijk langsgaan, nu "is dat allemaal
gemakkelijk want je gebruikt de personeels portal of zelfs de APP". Daar zit wel een risico aan omdat het voor de
medewerkers van de administratie "nog lastiger" is om te zien wat legitieme verzoeken zijn en wat niet. Immers
moest je vroeger nog een tekstje kunnen opstellen wat geloofwaardig overkwam, nu is het een invulformulier wat
je krijgt nadat je aangeklikt hebt "ik wil mijn rekening wijzigen" en dat betekent natuurlijk dat als je wachtwoord
gekraakt is er weinig meer is waardoor men kan zien dat je dat niet zelf bent. Er is helemaal geen "eigen tekst" meer.
Erger nog: een leidinggevende kan dit soort wijzigingsverzoeken indienen voor het personeel wat onder hem/haar
valt dus als er een account van een leidinggevende gehacked zou worden dan is het zelfs mogelijk dat heel iemand
anders slachtoffer wordt.

Ik ga zo met de lunch eens met die mensen praten, kijken wat ze precies doen om dit soort dingen te voorkomen.
09-08-2018, 09:14 door [Account Verwijderd]
Door SecGuru_OTX: Ik heb behoefte aan meer info en eventueel zelf voorbeelden.

Gaat het hier om hacking, spoofing of idd wachtwoorden gebruiken die al op het Internet zijn gepubliceerd.

Daarnaast op aanvulling van het advies van Fraudehelpdesk: gebruik ALTIJD 2FA.
Ik zelf ook. Maar meer weet ik op dit moment niet. Die gevallen zijn gemeld bij de Fraudehelpdesk en het is te hopen dat ze met wat voorbeelden aan komen zetten.
09-08-2018, 10:42 door SecGuru_OTX
Door Fidelis:
Door SecGuru_OTX: Ik heb behoefte aan meer info en eventueel zelf voorbeelden.

Gaat het hier om hacking, spoofing of idd wachtwoorden gebruiken die al op het Internet zijn gepubliceerd.

Daarnaast op aanvulling van het advies van Fraudehelpdesk: gebruik ALTIJD 2FA.
Ik zelf ook. Maar meer weet ik op dit moment niet. Die gevallen zijn gemeld bij de Fraudehelpdesk en het is te hopen dat ze met wat voorbeelden aan komen zetten.

Er zijn ook voorbeelden uit de US, als het goed is krijg ik deze vanmiddag.
09-08-2018, 11:07 door Anoniem
Best practice voor wijziging van rekeningnummers is en blijft altijd een offline verificatie via bekende kanalen.

Ik weet dat er bedrijven zijn, die voor de wijziging van het rekeningnummer een kleurenkopie van het pasje vragen, om te voorkomen dat het nummer ergens verwisseld wordt. Dit is een bedrijf met kantoren in meerdere locaties, met een centrale HR verwerking. Nu zullen er veel mensen sputteren, omdat dit fraude in de hand kan werken, maar van de andere kant, de medewerkers moeten dit via het interne mailsysteem opsturen. Daarmee is het een stuk lastiger om te frauderen, want de naam van de rekeninghouder kan teruggeleid worden naar de medewerker en degene die de wijziging wil doorvoeren, moet een pasje hebben. Zo krijg je een dubbele controle, buitendienst medewerkers moeten er zelfs voor naar een vestiging komen, om het af te geven, dus is er dan een fysieke controle of het i.i.g. om een medewerker gaat.
09-08-2018, 11:45 door Anoniem
Door Anoniem: Iedereen heeft het hier over HR(M). Ik weet niet hoe dat in de meeste bedrijven georganiseerd is maar in het bedrijf
waar ik werk is dit geen taak van HR, in ieder geval niet het proces zelf, hooguit de afhandeling van de problemen die
er door ontstaan zijn. Dit soort dingen wordt gedaan door de Personeels- en Salarisadministratie, en die staat los
van HR, valt zelfs onder een andere manager. HR houdt zich bezig met zaken als werving en selectie, loopbaaan
ontwikkeling, opleiding e.d. en dat heeft hier niks mee te maken.

Maar goed, los daarvan moet er natuurlijk een goede borging zijn van de verwerking van dit soort wijzigingen.
Daar zie ik wel de bekende trend: vroeger moest je een brief schrijven of persoonlijk langsgaan, nu "is dat allemaal

Sommige dingen waren vroeger beter, maar ik zie echt niet hoe een papieren brief schrijven daaronder valt.

Het is maar de vraag of de salaris administratie een handtekening referentie heeft, en die zou opsnorren als er een papieren brief met verzoek andere rekening binnen kwam.

persoonlijk langsgaan is aardig als je in hetzelfde pand werkt als de salaris administratie - voor een wat groter bedrijf - of voor een detacheerder - is dat zeker niet altijd het geval .


gemakkelijk want je gebruikt de personeels portal of zelfs de APP". Daar zit wel een risico aan omdat het voor de
medewerkers van de administratie "nog lastiger" is om te zien wat legitieme verzoeken zijn en wat niet. Immers
moest je vroeger nog een tekstje kunnen opstellen wat geloofwaardig overkwam, nu is het een invulformulier wat

Als de hackers/phishers een native speaker gebruikt hebben is een standaard geloofwaardige tekst simpel.
Het is bepaald geen uitgebreid persoonlijk verhaal, en de salarisadministratie heeft gewoonlijk weinig persoonlijk contact , dus ook geen referentie dat Dhr Jansen normaal niet zo formeel schrijft . Of dat altijd wel doet en nu niet.

Afhankelijk van het personeelsbestand kan gebroken nederlands ook nog volkomen normaal zijn.


je krijgt nadat je aangeklikt hebt "ik wil mijn rekening wijzigen" en dat betekent natuurlijk dat als je wachtwoord
gekraakt is er weinig meer is waardoor men kan zien dat je dat niet zelf bent. Er is helemaal geen "eigen tekst" meer.

Zie boven - als het geen echt klein bedrijf waarin de boekhouder iedereen kent zie ik weinig aanknopingspunten waaraan de salarisadministratie op 'stijl-aspect' zou kunnen filteren.
De bedrijven met zo'n portal hebben haast per definitie het formaat waarop de back office zeker niet iedereen persoonlijk kent.

[..]
09-08-2018, 12:02 door Anoniem
Deze fraude is mogelijk bij (grotere) bedrijven met gescheiden afdelingen, meerdere vestigingen of bedrijven die salarisverwerking en betaling uitbesteden aan derden. De uitvoerenden hebben dan geen persoonlijk contact of band met degene naar wie het salaris overgemaakt moet worden, wat de kans op het slagen van de actie om het rekeningnummer te laten aanpassen vergroot.

Goede procedures die niet afhankelijk zijn van technische beveiligingen zouden dit onmogelijk moeten maken, mits iedereen die procedures naleeft. Zeker in vakantietijd kan er nog wel eens een stap uit een procedure overgeslagen worden.
09-08-2018, 16:19 door Anoniem
Hackers stelen salaris werknemers: dit is geen hack maar social engineering.

Stelen: de Belastindienst doe dit al sinds het begin der tijden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.