Hedgefonds sluit deuren na aanval met malafide Zoom-uitnodiging
Het Australische hedgefonds Levitas Capital heeft de deuren gesloten nadat het in september slachtoffer van een aanval werd waarbij het de aanvallers bijna lukte om 5,4 miljoen euro te stelen. Het daadwerkelijk gestolen bedrag kwam op omgerekend 480.000 euro uit. Naar aanleiding van de aanval besloot de grootste institutionele belegger van het hedgefonds het geld terug te trekken, waardoor Levitas Capital zich genoodzaakt zag te stoppen, zo meldt de Australian Financial Review.
De ellende begon toen één van de twee oprichters een zogenaamde Zoom-uitnodiging opende die malware bleek te zijn. De aanvallers kregen zo de controle over de e-mailserver en verstuurden nepfacturen naar de beheerder en bestuurders van het fonds, die al het geld beheren. Vervolgens maakten de bestuurders en beheerder via meerdere transacties omgerekend 5,4 miljoen euro naar de oplichters over.
Uiteindelijk lukte het om van dat bedrag zo'n 5 miljoen euro terug te krijgen. Zo'n 480.000 euro was echter al opgenomen. Op het moment van de aanval had Levitas Capital een bedrag van 46 miljoen euro in beheer. De aanval was voor de grootste institutionele belegger van het hedgefonds, die eigenlijk op het punt stond om 10 miljoen euro te investeren, reden om het geld terug te trekken. Daarmee is er naar vier jaar een einde aan het hedgefonds gekomen.
Beetje nietzeggend commentaar.
Gewone phishing slachtoffers namen precies hetzelfde risico met hun eigen geld.
Het probleem - en dat mag de IT als vakgebied zich best aanrekenen - is dat maar heel weinig mensen werkelijk *risico nemen".
Als in : zich bewust zijn dat ze een handeling doen waarbij er iets heel erg kapot kan gaan.
volgas in dichte mist rijden is _risico nemen_ . Naar je balkon klimmen omdat de deur dichtviel is risico nemen.
Een peuter die vingers in gaatjes stopt - ook als dat twee gates zijn in een plaat op de muur, of alles wat bereikbaar is in de mond stopt - je kunt niet op dezelfde manier zeggen dat die peuter 'risico's neemt' .
Het is eigenlijk niet normaal dat 'klikken op een invite' gezien wordt als "risico nemen" .
Misschien heeft het Hedgefund inderdaad (IT) risico genomen - bij een bepaalde bedrijfsgrootte horen nu eenmaal bepaalde kosten/uitgaven voor overhead - of het nu IT is, of een Boekhouder/Controller, of Legal, of een accountant.
Strikt uit het feit dat het misging kun je nog niet meteen zeggen dat ze het slecht/onvoldoende ingericht hadden.
Strikt uit het feit dat het misging kun je nog niet meteen zeggen dat ze het slecht/onvoldoende ingericht hadden.
Ja daag! Als je in een dergelijke duidelijk bedrijfskritische toepassing, software gebruikt die er niet tegen kan als iemand ergens verkeerd klikt en waarbij die software vervolgens zomaar code uit externe bron gaat uitvoeren die het hele systeem om zeep helpt, hoe zou je dat dan willen noemen? Ik noem het nalatigheid!
Het staat sinds de introductie nu niet bepaald bekend om de veiligheid.
Zoveel alternatieven, en dan gebruik je Zoom...?
Strikt uit het feit dat het misging kun je nog niet meteen zeggen dat ze het slecht/onvoldoende ingericht hadden.
Ja daag! Als je in een dergelijke duidelijk bedrijfskritische toepassing, software gebruikt die er niet tegen kan als iemand ergens verkeerd klikt en waarbij die software vervolgens zomaar code uit externe bron gaat uitvoeren die het hele systeem om zeep helpt, hoe zou je dat dan willen noemen? Ik noem het nalatigheid!
heel simpel - als je het niet slechter doet dan 'normaal' is in je sector ben je niet nalatig .
Ondanks allerlei enthousiaste nerds die vinden dat dat niet goed genoeg is .
Praktisch geen enkel 'goedgekeurd slot' is bestand tegen een echt goede lockpicker. Voor je verzekerbaarheid maakt dat niet uit
Strikt uit het feit dat het misging kun je nog niet meteen zeggen dat ze het slecht/onvoldoende ingericht hadden.
Ja daag! Als je in een dergelijke duidelijk bedrijfskritische toepassing, software gebruikt die er niet tegen kan als iemand ergens verkeerd klikt en waarbij die software vervolgens zomaar code uit externe bron gaat uitvoeren die het hele systeem om zeep helpt, hoe zou je dat dan willen noemen? Ik noem het nalatigheid!
heel simpel - als je het niet slechter doet dan 'normaal' is in je sector ben je niet nalatig .
Ondanks allerlei enthousiaste nerds die vinden dat dat niet goed genoeg is .
Dat kan je wel zo stellen maar je zou toch raar opkijken als ergens op de verkeerde plek klikken tot gevolg zou hebben dat je hele bankrekening wordt geplunderd door je internetbankieren software.
Er zijn voorbeelden van bankingtrojans die erin slagen om bedragen van jouw bankrekening af te schrijven. Dit is echter, door de goede en professionele opzet van oplossingen voor internetbankieren, in de praktijk zo goed als onmogelijk.
Van softwareoplossingen die bij grote instituten en bedrijven worden gebruikt mag je hetzelfde verwachten. Ik heb hier op security.nl ooit gelezen dat je software voor lichte consumententoepassingen niet in professionele omgevingen moet gaan gebruiken. Nou dan, precies dat!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
