Te dom om te poepen dan.
Meteen ontslaan.

Bij dit soort bedragen moet je niet alleen 1 bron van informatie gebruiken,. en ZEKER geen email.
Bel die gasten dan,. confirmeer,. dubbelcheck,. etc. bijna 3 mil.

Als je bij zo'n bedrag niet het rekeningnummer uitgebreid verifieert dan is het wie zijn billen brandt, moet op de blaren zitten. Maar niet van mijn belastingcenten (subsidies) a.u.b.!

Tsja... Want alles wat per email komt, komt ook bij de afzender die erin staat vandaan en is waar...

Jammer, museum. Hier ben je gewoon zelf de mist in gegaan. De handelaar kun je niks verwijten - die heeft z'n geld gewoon niet gekregen.
Absurd dat dit soort dingen per email afgehandeld wordt.

Waarom zijn overheidsinstellingen allemaal zo lek als een mandje? Waarom zijn het zijn het altijd complete losers, hun ICT-ers?Daarnaast met hun eeuwig brakke walmart servers en goedkope ( gratis? onversleutelde) server accounts.
Kunnen wij weer sponsoren. En bedankt, afpersers! Dan heb ik het over beide partijen.

Tja, alles up to date wil nog niet zeggen dat meerdere mensen kunnen inloggen met dezelfde gegevens.

Is er 2FA gebruikt? Staat er een doorstuur adres bij een van de partijen ingesteld (Oude truck, laat copy op ander mail adres doorsturen)? Wachtwoord hergebruik? Desktop infectie? Kun je ook gewoon mee kijken en lezen.

Dus je kunt wel alles up to date hebben, maar slecht wachtwoord beheer.

Wel lijkt het mij aannemelijker dat zij bij de handelaar ingebroken hebben, om zo vanuit dat account de frauduleuze email te kunnen versturen naar het museum. Anders zou SPF en DKIM toch melding moeten maken van dat de mail van een verkeerde mail server kwam.

TheYOSH

Naast het feit dat men niet de juiste controles heeft uitgevoerd die bij een dergelijke transactie horen, scoren de e-mailservers van @demuseumfabriek.nl en @rijksmuseumtwenthe.nl niet erg hoog op internet.nl. Dus de beveiliging kan onmogelijk op orde zijn mijns inziens.

Bij "Maanden lang onderhandelen" in persoon, worden kosten van het schilderij niet 3miljoen, maar 6miljoen euro.

"Uit onderzoeken is gekomen dat er in onze e-mailsystemen geen enkele kwetsbaarheid zat, dat ze up-to-date en in orde waren", zegt museumdirecteur Arnoud Odding.

https://internet.nl/mail/rijksmuseumtwenthe.nl/315198/
~all op SPF
Geen DMARC
Geen DNSSEC
TLSv1.0/1.1

Hoezo overheidsinstelling? Musea zijn zelden overheidsinstellingen. Wel vaak aanvullend gefinancierd door de overheid. Dit museum is gestart uit de erfenis van de grote textielbaron 'van Heek'. Een naam die in Enschede nog meer sporen achtergelaten heeft.

Ik ben er wel mee eens dat je rekeningnummers onafhankelijk moet checken. De mailwisseling liep al maanden, dus daar hebben ze teveel op vertrouwd. Beide partijen claimen dat hun mailsysteem niet gecompromitteerd was. Dat kan, maar dan moeten ze de mail met afwijkende afzender verstuurd hebben en dan is het de fout van de ontvanger dat ze de mail niet goed gecontroleerd hebben.

Zeker onbegrijpelijk dat ze het schilderij in huis halen om uitgebreid te onderzoeken of hij echt is, voordat de aankoop plaats heeft, terwijl er er geen minuut tijd is voor een telefoontje om de echtheid van het rekeningnummer te controleren.

- Sinds wanneer zijn musea overheidsinstellingen?
- Waarom zijn hun ICT-ers complete losers? Hoe hadden zij dit tegen kunnen gaan dan?
- Waar kun je Walmart servers kopen. Volgens mij is hardware hier irrelevant.
- Wat bedoel je met Gratis onversleutelde server accounts?

Zo te horen weet je niet waar je het over hebt ;), ik zou je willen doorverwijzen naar nu.nl.

De oorzaak van deze aanval ligt niet in de techniek, maar(waarschijnlijk) in social engineering en/of phishing. Om dit te voorkomen moet je dus inzetten op awareness en het aanpassen van betalingsprocedures.

denk dat zijn punt was dat als je zegt dat alles op orde is en dit soort basis instellingen niet eens goed staan dat je er van uit kan gaan dat er gelogen wordt of er sprake is van volledige onkunde.

Dat krijg je er nou van als je niet allebei encrypted email gebruikt voor dergelijke transacties en onvoldoende verifieert.
Bankrekeningen gaat ten onder door gebrek aan (ICT)-kennis en goedgelovigheid.
(en ook teveel stress helpt meestal niet, want daar krijgen we oogkleppen van)

Zo zie je maar weer, menselijk handelen is niet met techniek op te lossen.
Je kan alles up-to-date hebben en iedere veiligheidsmaatregel hebben toegepast, zelfs dan had dit nog steeds plaats gevonden.
Ik denk dat deze directeuren hun les awareness hard hebben geleerd, en dat zij zichzelf wel hebben bijgeschoold.
Tevens denk ik dat er technisch ook nog wel iets te winnen is in dit geval.

Tuurlijk, zou jou als geniaal persoon natuurlijk nooit kunnen overkomen. De rest van de wereld is zo ontzettend dom.

Encrypted e-mail helpt hier helemaal NIETS tegen.
Je moet niet denken dat die aanvallers een "man in the middle" hadden tussen de e-mail servers.
Veel te lastig.
Gewoon het account van 1 van de partijen met social engineering open gebroken en gewoon inloggen en meelezen.
Daar helpt encryptie helemaal niets tegen.

De Yakuza zouden er wel raad mee weten!

https://youtu.be/oR2kpF4wLpQ

Nah. Eerst gewoon heel lullig dat zoiets gebeurt. Over zoveel geld. Niet echt om iemand voor uit te lachen. Dat vind ik net zo storend als op een begrafenis te zeggen dat iemand eigenlijk een klootzak was.

Email is een heel oud protocol en is nooit bedacht om veilig te zijn. Je kunt het spoofen. Net als gsm nummers en smsjes. Die zijn ook te spoofen. Als er zulke schades bij ontstaan, dat zou het handig zijn als een minister of ministerpresident daar eens een puntje over zou aantippen. Het mag van mij part ook in de kerst toespraak van de Koning.

Verder gaat het om criminaliteit. En of er bij die kunsthandelaar een medeplichtige of dader mocht zitten valt ook in dat traject. Het is belazeren en jatten. En wanneer gaan we daar eens wat aan doen dan? In internationaal verband ook. Of moeten eerst alle ziekenhuizen eens een maand dicht gaan wegens malware of zo?

Het is hier wel een techneuten forum. Logisch. En stom schoot ook door mijn hoofd. Maar ook, je gaat ook niet een oud vrouwtje dat net haar pincode is ontfutseld zeggen dat ze een trut was en maar moet leren updaten. Ben een beetje MOE van de update junkietaal. Er komt geen einde aan en kijk zelf eens in je spiegeltje zou ik zeggen.

Ok. Ik vond het wel stom. Geef ik ook toe. Ben nog niet zo lang geleden door een general manager uitgescheten dat ik mijn emails eens moest leren lezen. Bij een klant. Ik wou eigenlijk zeggen, ik heb al in 1977 emails leren lezen op de universiteit, stomme engelse kantoormarmot van de afdeling forwarden, in mapjes stoppen en zelf niks lezen nie. Maar dat doe je dan ook niet. Anders opgelost. En zeker bij Engelsen en helemaal bij kantoormarmotten met een functie. Want die staan al stijf van de stress (Merry Brexit allemaal vandaag trouwens!).

Dat spoofen mag in alle kranten. Bron vermelding security.nl altijd leuker natuurlijk. En Grapperhaus, vlieg eens naar de VN om het wereldwijd ter sprake te brengen. Want die zijn al zo ver dat ze geen whatsapp meer gebruiken. Dus daar moeten mensen zitten die het snappen. Zorg eens dat gejat geld ook niet meer zomaar in Hongkong kan verdwijnen. Die taghi met een dag uit Dubai sleuren lukt toch ook? Waarom deze dan niet?

Flame out.

Wanneer je over 3 miljoen euro van hoog percentage burgergeld/belasting mag beslissen moet je inderdaad slimmer zijn dat poep.. ik moet voor 20.000 euro al VGB's inleveren tot een worst weegen deze kneuters mogen 3.000.000 weggooien?

Wat me ook, on the side, stoort in dit artikel, is dat als je tegenwoordig even een paar duizend cash van de bank wilt halen dat ze alle kanten op stuiteren. Maar dat ze daar wel doodvrolijk 3 miljoen, van een museum, dus niet van een hedgefonds of durfinvesteerder die kan zeggen gut, gespeeld en verloren maar met die andere 3 pakken we er weer 30 terug, gewoon zomaar naar een dievenrekening in Hongkong zitten door te storten. Zonder dat er iemand zegt, veel geld, weet je zeker dat dat rekeningnummer klopt?

Dat is weliswaar service, en iemand die even oplet. Maar komt ook door systemen, geldautomaten, kantoren opheffen, alles via internet en zo. En dan spijtig maar we nemen het mee in de volgende update. Terwijl je al niks meer voor je spaargeld krijgt en er verder ook weinig meer aan hebt tegenwoordig. Cursusje klantenservice zou vooral voor zulke bedrijven toch eens de moeite waard kunnen zijn.

Wat voor banken geld is dat als ik zeg, kan ik morgen even 5 contant ophalen, dat ze gelijk flippen. En als ik zeg zeiken, leg dan het hele salso maar klaar want ik heb het wel gehad, dat je er dan pas achter komt dat het helemaal je eiegen geld al lang niet meer was. En nog niks nuttigs mee weten doen ook nog. Dus geen rente. Er zijn drie groten in NL, dus als die even samen een biertje pakken, dan is het ineens "te doen Gebruikelijk". Iedereen doet het. Dus wen er maar aan. Net als de update fanaten die eigenlijk wekelijks wanprestatie weglullen.

Als je wat komt brengen bij een bank wat je even niet nodig hebt. En ze kunnen er niks nuttigs meer mee doen. Ze seinen je al in, het mag nog maar we gaan er voortaan ook nog negatieve rente voor rekenen.

En die zitten dan doodvrolijk even 3 miljoen van een museum naar boeven in Hongkong door te storten. En jammer dan en kijk maar in de kleine lettertjes.

Dan vind ik het niet erg om Sinatra in de microfoon van die man op de bank te zingen. Maar sommige muziek moet wel van twee kanten komen! Als je begrijpt wat ik bedoel! Want op zich is eerlijk zaken doen ook soms echt broek af doen. Maar zoals de baken tegenwoordig werken? Het lijken wel verwarde burgers. Met een kantoortje.

Ik wil niet eens weten welke bank het was. Het zijn allemaal lullos. Als ik naar een bank ga is het voor een paar mensen die ik daar ken. En zij mij ook. En omdat je er soms niet omheen kan. Zo moet je verplicht een bankrekening hebben om gewoon een salaris te ontvangen. Bij zulke sukkels. Gewoon verplicht. Ze doen niks nuttigs. Dus dan moet het nu eenmaal.

Maar ze storten gewoon door zonder op te letten hoor. En wil jij wat cash, oei. Dan zou je wel eens crimineel kunnen zijn.

Ook hier weer voor de overheid: De verplichting om rekeningen te hebben, of pinpassen. Bij particuliere bedrijven. Die aantoonbaar niks presteren. Mag dat uit wet? Dan ik weer zelf mag kiezen? Of dat ik mijn loon ook gewoon zonder scheve ogen kan laten uitbetalen in halve kippen waar de carpaccio nog uit hangt? Met uitjes?

Banken is net als Facebook vrees ik. Over één generatie wordt je, als je het nog meemaakt, door de dan jonge generatie uitgelachen dat je dat vroeger had en daar alle dagen met open ogen in stonk.

Het komt allemaal wel weer goed, maar duurt nog effies.

Maar die bank mag ook wel eens proberen om leren na te denken! Want die heeft zelf wel waarschijnlijk 10 kantoren in Hongkong. Met lease autos. En zo. Maar de rest, zoek het lekker uit en zelf stom geweest. Want logo. En te doen gebruikelijk. De concurrent is nog erger en rekent nog meer boete als je geld komt brengen om te sparen. Peppie en Kokkie business.

Als jij vandaag een miljoen of meer (of voor particulieren 10.000+) moet overboeken. Bel je dan ook altijd even degene die het moet ontvangen of dat IBAN nummer wel echt klopt? In plaats van zo te vertrouwen op een e-mail, brief of factuur?

Ik wel!

Voorkomen is zoveel beter dan genezen.

Geen enkele boekhouding zou een betaling mogen toelaten zonder klantcontrole (aparte registratie) EN een bankcode-nazicht! Hier moeten koppen rollen.

@ Anoniem, Die dat manco hebben zijn er hier wel meer!

Zoals.....ik bijvoorbeeld als het exact een ICT diagnose van vergelijkbare voorbeelden betreft! Daarom heb ik hier of elders dus geen expliciete mening over dit soort zaken! Dat is gewoon introspectie; treurigerwijze een verdwijnend positieve eigenschap van de mensheid die meer met navelstaren, anderen voor losers uitmaken, dan wel met zijn superlatief belangrijke ego aan het masturberen is. (hijg hijg)

Wil niet de moralistische brave Hendrik uithangen, maar vaak gaan mijn tenen hier krom in mijn schoenen en mijn haren overeind staan als ik over de rug van een ander (ook hier zo stereotiep) betweterig dan wel denigrerend gezwam lees.

Of het iets losmaakt? Neen, dat staat als een paal boven water. Bij de volgende nieuws update op security.nl slingeren de brulapen weer van topic naar topic.

Bij zo iets moet je je ook afvragen of het ‘slachtoffer’ ook niet onderdeel is van de hack bende. Zo naïef dat bestaat bijna niet. Daar moet hulp van binnenuit de deal achter zitten. De hack is dan een dekmantel voor het complot.

Mitnick's overspiegelingen over social engineering zou eigenlijk verplichte lees-kost moeten zijn voor iedereen,
die iets met computeren doet. In de "slammer" mocht hij zelfs niet eens bij een device in de buurt komen.

Niet te vertrouwen, die figuur, maar wel iemand die ervoor kan waarschuwen.

luntrus

Die theorie vond ik mogelijk voor de Pathé 'hack' (directie team wordt gevraagd door de 'franse baas' om geld over te maken voor grote geheime overname, zo geheim dat ze via gmail moeten communiceren en niks navragen).

Hier vind ik het Twents musuem net wat minder 'verwijtbaar naief' - ze waren een tijd echt aan het communiceren met de echte wederpartij, en dan komt het moment om de aankoop financiëel af te handelen, en dan springen scammers die al een tijd meelazen in de conversatie.
Dat is best moeilijk herkenbaar. Ik kan me ook zo voorstellen dat dingen als een grote website waarop het echte rekeningnummer staat helemaal niet aanwezig hoeft te zijn in de kunsthandel. (of andere exclusieve B2B handel).
Zelfs telefonische verificatie is tricky - stel dat de meeschrijvende criminelen zeggen , als zijnde de handelaar' , dat ze voor de afhandeling en verificatie 'please check with my accountant on +44 xxxxxxx where to wire the money' .
En ja, hoe weet je dan dat degene die daar antwoord echt de accountant is van de kunsthandelaar.
Ook ik zou niet verbaasd zijn wanneer een kunsthandelaar zegt dat ie het rekeningnummer van z'n trust op Guernsey even moet laten opsturen door de boekhouder.
Alleen als ze contact met de handelaar zelf opnemen - en dan de juiste persoon herkennen, en z'n contactgegevens 'schoon' gekregen hebben. Want mailen voor z'n telefoon ter verificatie gaat het ook niet worden,als ze 'm niet persoonlijk kunnen herkennen.

Maar goed, een complot aan zowel de zendende kant van het geld (dom doen en het geld naar een handlanger sturen), maar ook een complot aan de ontvangende kant (jezelf bewust laten hacken en de wederpartij betaalt maar krijgt geen schilderij ) zijn mogelijk.
Naast natuurlijk de optie dat er geen complot is maar gewoon echte buitenstaanders die met een hack en goede social engineering de jackpot wonnen.

De zaak wordt nog iets complexer omdat het doek allang in twente was .. dit schijnt normaal te zijn met dit type transacties t.b.v verificatie van echtheid.

Twente denkt nu betaald en een terechte eigendomsclaim te hebben terwijl de verkoper niks ontvangen heeft.

Twente heeft besloten het doek in de tussentijd niet aan het publiek te tonen

Als je naar het plaatje in de OP kijkt zie je dat er een andere optie is.
Dat ze geen volledige controle hebben over de email van een van beide kanten, maar wel mee kunnen kijken en bepalen wanneer het moment van betalen is aangebroken

Door dan een email te sturen van een zelfgemaakt, sterk gelijken emailadres kunnen ze dan zelf het nummer van de tegenrekening bepalen

Nog gekker, er is sprake van maandenlange onderhandelingen, het doek is al in Twente om op echtheid gecontroleerd te worden ... vreemd dat er dan niet al gedurende dat proces kleinere bedragen heen en weer gegaan zijn en dat elkaars rekeningen al bekend waren en gecontroleerd konden worden

Het hoeft niet vreemd te zijn dat er voor de echte transactie een andere rekening gebruikt wordt. Het veilingshuis zit in Londen en kleine betalingen zijn dan waarschijnlijk in ponden gedaan. De eigenaar heeft waarschijnlijk een bedrag in dollars afgesproken. Als je dan geen valutarisico wilt lopen, laat je dit grote bedrag op een dollarrekening storten.

Het enige vreemde is dat ze het naar een Hong Kong rekening laten sturen, terwijl het veilinghuis in Londen zit. En Engeland heeft een goede financiële sector. Via een ander land hoeft niet ongebruikelijk te zijn. b.v. als de oude eigenaar in Azië woont.

Bij landen als India is overboeken soms een ramp zodat er diverse Indiase firma's zijn die dollarrekeningen aanhouden in New York of Londen voor internationale betalingen. Een paar jaar geleden las ik dat India ook bezig is het Europeesche IBAN systeem in te voeren. (www.iban.in) Ons banksysteem is zo slecht nog niet.