Cel voor stelen salaris universiteitsmedewerkers via phishing
In de Verenigde Staten is een 34-jarige Nigeriaanse man veroordeeld tot een gevangenisstraf van bijna 6 jaar wegens het stelen van de salarissen van universiteitsmedewerkers middels phishing. Samen met een handlanger stuurde de man phishingmails naar medewerkers van hoge scholen en universiteiten die naar een phishingsite wezen.
Zodra medewerkers op deze phishingsite hun gebruikersnaam en wachtwoorden invoerden, kon het duo op het universiteitssysteem inloggen en daar de rekeningnummers van de betreffende medewerkers aanpassen. Hierdoor werd het salaris van de medewerkers op een andere rekening gestort. Op deze manier zouden de mannen meer dan 1 miljoen dollar van meer dan 25 hoge scholen en universiteiten in de Verenigde Staten hebben weten te stelen.
Via het universiteitssysteem wisten ze ook toegang tot belastinggegevens van de medewerkers te krijgen. Daarmee werden vervolgens frauduleuze belastingaangiften ingediend voor een bedrag van meer dan 6 miljoen dollar. Het geld lieten de mannen overmaken naar Amerikaanse bankrekeningen waar ze via datingfraude toegang toe hadden gekregen.
De 34-jarige Nigeriaan werd veroordeeld tot een gevangenisstraf van 5 jaar en 11 maanden. Ook moet hij 56.000 dollar terugbetalen. Zijn handlanger kreeg eerder al een celstraf van 3 jaar en 3 maanden opgelegd en moet ook een bedrag van 56.000 dollar terugbetalen.
Dat zou ze toch iets minder slim maken.
Dat zou ze toch iets minder slim maken.
Nerd met een beetje minderwaardigheidscomplex ?
1 - er werken _veel_ mensen op een universiteit - niet alleen maar researchers. De mensen die daar de boekhouding, secretariaat e.d. doen hebben dezelfde kwalificaties als boekhouders bij een andere organisatie, of administratief personeel.
Het is niet zo dat de boekhouding van de universiteit door een hoogleraar economie gedaan wordt .
2 - De researchers zijn (hopelijk) slim in hun vakgebied, maar dat vakgebied hoeft helemaal niets met IT security te maken te hebben. Je kunt bijzonder veel verstand hebben van Lineair-A of spijkerschrift zonder dat je goed mailheaders kunt lezen.
De karikatuur van de 'verstrooide en onhandige professor' is natuurlijk niet voor niks ontstaan .
Dat zou ze toch iets minder slim maken.
Je kunt ook zeggen dat administratie van de universiteit een universiteit onwaardig is.
Een willekeurige nigeriaan geloven dat hij een echte interen medewerker is en dan de boekingen veranderingen.
Voor zover ik dat verhaal herken is die nu gepakte nigeriaan een geldezel. Daar schijnen er in Rotterdam zuid veel van te zijn.
Zelfs zonder de brontekst te lezen, staan boven veel aanwijzingen dat dit niet kan kloppen. 5 jaar gevangenis voor een geldezel? En hier waren toch juist geen geldezels bij betrokken. (Lees de passage over datingfraude)
Deze Nigeriaan opereerde vanuit Maleisië en is door dat land aan de VS uitgeleverd.
Hier geldt dat iemand vaak alleen expert is op zijn eigen vakgebied. En van hun eigen vakgebied hebben sommigen niet eens verstand. Denk b.v maar aan artsen die roken. Hun patiënten geven ze adviezen, maar zelf negeren ze dat, terwijl ze beter hebben geleerd. Iemand die zijn eigen gezondheid negeert, zal zich helemaal niets aantrekken van klik-adviezen.
Deze Nigeriaan opereerde vanuit Maleisië en is door dat land aan de VS uitgeleverd.
...
Uitgeleverd dus eerder ook getraceerd met bron / locatie dan wel eigenaar van de rekening waar he geld heen ging.
Nu je zegt dat ze opereerden vanuit het buitenland...
Waarom hebben ze dat wijzigen met gevoelige zaken voor een verbinding vanuit een onbekende locatie open staan?
Nu je zegt dat ze opereerden vanuit het buitenland...
Waarom hebben ze dat wijzigen met gevoelige zaken voor een verbinding vanuit een onbekende locatie open staan?
1 - overnemen van een desktop, of gewoon een VS-based VPN gebruiken is natuurlijk geen rocket science.
Ook niet moeilijk om te verzinnen.
2 - Gastdocenten, visiting researchers, eigen researchers die elders een jaar sabbatical doen , thuiswerkers, zwangerschapsverloven .
Allemaal use cases van mensen die wel eens dingen aan het het HR/Finance systeem van een universiteit moeten doorgeven en voor wie fysiek op de campus komen (/terugkomen) hinderlijk tot serieus moeilijk is.
De gemaksoptie van 'lekker een filter dat beperkt tot het eigen kantoor net' ligt gewoon niet overal op tafel.
Een hele campus als 'trusted network' beschouwen is ook maar een marginale verbetering .
1 - overnemen van een desktop, of gewoon een VS-based VPN gebruiken is natuurlijk geen rocket science.
Ook niet moeilijk om te verzinnen.
2 - Gastdocenten, visiting researchers, eigen researchers die elders een jaar sabbatical doen , thuiswerkers, zwangerschapsverloven .
Allemaal use cases van mensen die wel eens dingen aan het het HR/Finance systeem van een universiteit moeten doorgeven en voor wie fysiek op de campus komen (/terugkomen) hinderlijk tot serieus moeilijk is.
De gemaksoptie van 'lekker een filter dat beperkt tot het eigen kantoor net' ligt gewoon niet overal op tafel.
Een hele campus als 'trusted network' beschouwen is ook maar een marginale verbetering .
"Lekker makkelijk technisch neerzetten. Als er problemen van komen geven we de gebruikers afnemers de schuld."
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
