Gehackte e-mailadressen gebruikt voor salarisfraude
Criminelen hebben gehackte e-mailadressen gebruikt voor het plegen van salarisfraude, zo meldt de Fraudehelpdesk. Bij verschillende bedrijven ontving de salarisadministratie een verzoek dat van een medewerker afkomstig leek en waarin werd gevraagd het salaris naar een andere rekening over te maken.
In werkelijkheid was het bericht afkomstig van criminelen die toegang tot het e-mailaccount van de medewerker hadden gekregen. De fraude werd ontdekt toen verschillende werknemers geen salaris ontvingen en hierover bij de administratie navraag deden. "Daar bleek dat zij zelf een mail zouden hebben gestuurd met het verzoek het salaris op een ander rekeningnummer te storten", aldus de Fraudehelpdesk.
Het gaat onder andere om medewerkers van een kinderdagverblijf, een uitzendbureau en een pretpark, zo laat de NOS weten. Van alle gedupeerde werknemers bleek het e-mailaccount te zijn gehackt. Hoe dit precies kon gebeuren is nog onbekend. In totaal ontving de Fraudehelpdesk tien klachten.
Pas als de medewerker op die manier zelf (of persoonlijk) heeft bevestigd dat het gewijzigde rekeningnummer klopt, zou er actie ondernomen mogen worden!
Dan zijn dit soort trucs gewoon niet mogelijk. Is misschien iets meer werk voor die afdeling, maar daar worden ze voor betaald. Om te zorgen dat de betaling correct verloopt.
Het zit in feite dicht in de buurt van de CEO fraude.
Wat is de volgende truc?
Zelf ben ik niet zo een voorstander van telefonische "corfimatie" aangezien oplichters regelmatig gebruik hebben gemaakt van deze Mitnick-aanval en identiteitsfraude wisten te plegen.
1) Beter is het daarom om ALTIJD 2 Factor Authenticatie te gebruiken
2) Of men moet FYSIEK bij de salarisadministratie zich aanmelden en identificeren om mutaties door te geven.
Dat laatste zou wel kunnen bij kleine bedrijven met weinig werknemers, maar bij grote internationale concerns met duizenden werknemers wordt dat een onbegonnen zaak. Dan zou men item 1) kunnen gebruiken.
REGEL: administraties moeten altijd wantrouwig zijn als verandering van rekeningnummer wordt gevraagd. Ga altijd na of deze verandering wel legitiem is!
SPF en DMARC, en uh, oh ja, vergeet vooral je SPF en DMARC inbound rules niet te configureren;-)
Als je een iCloud account via een niet-apple programma gebruikt, moet je voor die cliënt een eigen wachtwoord instellen die alleen op dat apparaat werkt. Blijkbaar herkent de apple mailserver het specifieke apparaat en mail cliënt.
Als dan een derde via IMAP toegang zoekt, zal dat niet lukken, ook al kent hij het WW.
Van andere mailservers heb ik nog nooit gehoord van F2A op een IMAP toegang. Dus dat 'altijd' is meestal niet mogelijk.
Als je een iCloud account via een niet-apple programma gebruikt, moet je voor die cliënt een eigen wachtwoord instellen die alleen op dat apparaat werkt. Blijkbaar herkent de apple mailserver het specifieke apparaat en mail cliënt.
Als dan een derde via IMAP toegang zoekt, zal dat niet lukken, ook al kent hij het WW.
Van andere mailservers heb ik nog nooit gehoord van F2A op een IMAP toegang. Dus dat 'altijd' is meestal niet mogelijk.
SPF en DMARC, en uh, oh ja, vergeet vooral je SPF en DMARC inbound rules niet te configureren;-)
Nog beter met een DKIM check erbij.
Maar in dit geval had het waarschijnlijk weinig uitgemaakt aangezien de mailaccounts gehackt waren en men dus vanuit het medewerkers account had gemaild (tenminste, dat is wat ik uit de context opmaak). Interne mail wordt normaal gesproken niet gecontroleerd op SPF, laat staan DMARC en DKIM.
Hier gingen dus twee zaken fout: account beveiliging en een extra controle op gevoelige veranderingen door personeelszaken.
SPF en DMARC, en uh, oh ja, vergeet vooral je SPF en DMARC inbound rules niet te configureren;-)
Nog beter met een DKIM check erbij.
Maar in dit geval had het waarschijnlijk weinig uitgemaakt aangezien de mailaccounts gehackt waren en men dus vanuit het medewerkers account had gemaild (tenminste, dat is wat ik uit de context opmaak). Interne mail wordt normaal gesproken niet gecontroleerd op SPF, laat staan DMARC en DKIM.
Ook al zou de interne mail technisch perfect secure zijn, tot en met S/MIME toe, helpt dat niet wanneer de mail met een gehacked account technisch perfect klopt.
SPF/DKIM/DMARC kloppen allemaal wanneer het account gehacked is.
Het kan zelfs een vals gevoel van veiligheid geven - de techniek garandeert heel goed dat het mail daadwerkelijk van het account afkomstig is - maar dat is in zo'n geval niet hetzelfde als daadwerkelijk van de persoon die bij het account hoort.
Net zoals chip-pas en pin vrij goed garanderen dat de transactie afkomstig is van iemand die de pas heeft en pincode kent - gewoonlijk, maar niet altijd - is dat de rekeninghouder.
Of gaat het hier om prive e-mail adressen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
