image

Phishingaanval op Office 365-account leidt tot ceo-fraude

woensdag 19 september 2018, 12:25 door Redactie, 2 reacties

Een phishingaanval op een Office 365-account heeft geleid tot ceo-fraude waarbij criminelen probeerden om 3 miljoen euro van een Fins investeringsbedrijf te stelen. Dat laat anti-virusbedrijf F-Secure weten. Een medewerker van het bedrijf ontving een e-mail die van transportbedrijf DHL afkomstig leek.

Het ging echter om een phishingmail die naar een phishingsite linkte. Op deze phishingpagina vulde de medewerker de inloggegevens van zijn Office 365-account in. Aangezien er geen tweefactorauthenticatie werd gebruikt konden de criminelen zodoende op het account inloggen. De medewerker in kwestie verstuurde vanuit zijn e-mailaccount e-mails met betaalgegevens voor een transactie.

De criminelen monitorden deze berichten en verstuurden twee van deze e-mails opnieuw, alleen dan met een aangepast rekeningnummer. In een meegestuurd Excel-bestand hadden de criminelen het rekeningnummer gewijzigd waar 3 miljoen euro naar toe moest worden overgemaakt, wat ook werd gedaan. Het Fins dat de criminelen in het begeleidende bericht hadden gebruikt was dusdanig slecht dat dit uiteindelijk alarmbellen deed afgegaan. "Het was zeer slecht vertaald", zegt onderzoeker Michael Sandelson.

Het investeringsbedrijf wist de transactie op tijd te bevriezen en heeft het bedrag inmiddels terug. Uit een onderzoek dat werd ingesteld bleek dat het account van de medewerker was gehackt. Inmiddels heeft het investeringsbedrijf tweefactorauthenticatie ingeschakeld en wachtwoorden van alle medewerkers gereset. "Het was de cybercriminelen bijna gelukt", voegt Marko Buuri van F-Secure toe.

Reacties (2)
20-09-2018, 13:40 door Anoniem
Als ik het goed gelezen heb, Corrigeer me maar als het niet zo is, Dan heeft f secure te laat ontdekt dat het een phissing site was. Niet zo mooi voor f secure. P.S. als die medewerker ook f secure op zijn pc had, Maar daar ga ik van uit.
20-09-2018, 14:18 door Anoniem
Als ik het goed gelezen heb, Corrigeer me maar als het niet zo is, Dan heeft f secure te laat ontdekt dat het een phissing site was. Niet zo mooi voor f secure. P.S. als die medewerker ook f secure op zijn pc had, Maar daar ga ik van uit.

F-Secure werd ingeschakeld nadat de aanval plaats vond. Of er F-Secure antivirus, of andere AV software op de endpoint draaide, dat weten we helemaal niet. Ook weten we niet welke info F-Secure wel/niet had over deze phishing website, en verder is er geen indicatie dat er malware in het spel was, wat gedetecteerd kan worden.

Verder weten we ook niet of de medewerker op kantoor was, thuis, of elders, toen hij zijn email las, en de phishing website opende. Als investeringsclub, waar je met miljoenen werkt, moet je gewoon zorgen dat je zaken als 2FA op orde hebt, zodat je niet kwetsbaar bent voor dit soort aanvallen.

Zonder kennis van zaken de verantwoordelijkheid neerleggen bij F-Secure vind ik redelijk lachwekkend. Ik werk bij een AV bedrijf en we worden vaak ingeschakeld door bedrijven nadat er een hack of malware besmetting heeft plaats gevonden, terwijl er daarvoor geen klant relatie bestond.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.