Fraudeurs stelen 1 miljoen dollar met behulp van typosquatting
Fraudeurs hebben met behulp van typosquatting 1 miljoen dollar van een Chinese investeringsmaatschappij weten te stelen dat voor een Israëlische startup was bedoeld. Om de fraude uit te voeren registreerden de fraudeurs twee domeinen die leken op de domeinen van beide partijen, alleen van een extra 's' waren voorzien. Een tactiek die typosquatting wordt genoemd, zo meldt securitybedrijf Check Point dat onderzoek naar de fraude uitvoerde.
De investeringsmaatschappij wil een miljoen dollar in het Israëlische bedrijf investeren. Het lijkt erop dat de aanvallers toegang tot een e-mailaccount van één van de twee partijen hadden. De fraudeurs weten namelijk dat er een investering van een miljoen dollar zal gaan plaatsvinden en registreren de twee domeinnamen die op de legitieme domeinen lijken.
Vervolgens versturen de fraudeurs twee e-mails met het onderwerp van een lopende e-mailwisseling tussen beide partijen. De eerste e-mail wordt naar de Chinese investeringsmaatschappij gestuurd en is afkomstig van het geregistreerde domein dat op het domein van de Israëlische startup lijkt. De tweede mail wordt verstuurd vanaf het domein dat op dat van de Chinese investeringsmaatschappij lijkt en is voor de Israëlische partij bedoeld.
Zodoende weten de fraudeurs zich tussen beide partijen te nestelen. Tijdens de aanval versturen de fraudeurs achttien e-mails naar de Chinese partij en veertien naar de Israëlische startup. Op een gegeven moment besluiten beide partijen om elkaar in Sjanghai te ontmoeten. De fraudeurs versturen vervolgens naar beide partijen een e-mail dat de meeting niet kan doorgaan.
Uiteindelijk geven de fraudeurs hun rekeningnummer door. De Chinese partij maakt hier vervolgens een miljoen dollar naar over. Check Point stelt dat het onderzoek werd bemoeilijkt doordat de startup van GoDaddy gebruikmaakte. De gekozen mailoplossing bij de provider laat alleen de laatste vijf inlogpogingen zien. Daarnaast bleek dat de startup allerlei e-mails met betrekking tot de aanval had verwijderd en er geen directe communicatie met de Chinese investeringsmaatschappij was.
Organisaties krijgen dan ook het advies om e-mailoplossingen te kiezen die uitgebreidere logs bijhouden en in het geval van een incident geen data te verwijderen. Verder wordt aangeraden om op nieuw geregistreerde domeinnamen te monitoren die op de eigen domeinnaam lijken.
Ben benieuwd of het jou wel zou zijn opgevallen. Deze boefjes weten verdomd goed wat ze doen. Kwantiteit zegt niets, als ze het professioneel aanpakken, en je vertrouwen winnen.
Het is niet dat er volledige gesprekken gebeuren met tussen de fraudeurs en de bedrijven en dat de andere kant er niets van afweet. Het meeste van de mails sturen ze waarschijnlijk gewoon mooi door zodat de 2 bedrijven in de normale onderhandeling blijven. Ondertussen zie je dat je het minimale aan acties onderneemt om uiteindelijk het bankrekening nummer te kunnen geven.
Stel je voor je hebt de gsm van een vriend vast en hij wilt dat je voor hem even sms't. Als je gewoon dezelfde stijl van schrijven aanhoudt merkt niemand er iets van.
Niet vreemd. Iedere mail die elk van de partijen stuurde is gewoon aangekomen bij de andere partij en ze kregen netjes antwoord. Als ik in mijn email client een bestaand adres in tik, dan zie ik het eigenlijke email-adres zonder extra handeling niet eens meer. Ik zie alleen de naam, en alleen met wat extra clicks of hover over zie ik het eigenlijke email adres.
Ze hebben misschien 1 keer kunnen zien dat het een dubbel "s" had, en daarna is alle communicatie gewoon verlopen.
Ik vind het niet vreemd dat ze dat niet meer gezien hebben.
Hoe ga je dat controleren?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
