image

FBI: criminelen stelen 1,2 miljard dollar via vervalste e-mails

vrijdag 28 augustus 2015, 14:29 door Redactie, 4 reacties

Criminelen hebben sinds januari van dit jaar 1,2 miljard dollar van bedrijven gestolen door vervalste e-mails te versturen, zo stelt de FBI. De e-mails zijn afkomstig van gespoofte e-mailadressen of gehackte e-mailaccounts van personeelsleden en bevatten instructies voor de financiële administratie.

Er is bijvoorbeeld sprake van een spoedoverboeking waarbij miljoenen naar een rekening moeten worden overgemaakt. Aanvallers wisten op deze manier 46 miljoen dollar van netwerkbedrijf Ubiquiti Networks te stelen. De FBI noemt deze vorm van fraude "business email compromise". Er zijn verschillende vormen van de fraude. Zo is er een variant waarbij de oplichters gebruik maken van de relatie tussen bedrijven en leveranciers. In dit geval doen ze zich voor als de leverancier en vragen het bedrijf om de betaling van een factuur op een andere rekening over te maken. Bij een tweede versie wordt het e-mailaccount van de CFO, CTO of andere hooggeplaatste posities gehackt of gespooft en wordt er een e-mail met een betalingsverzoek naar de financiële administratie gestuurd.

Bij de derde variant wordt het privémailaccount van een werknemer gehackt en gebruikt voor het versturen van betalingsverzoeken. Volgens de FBI is er inmiddels ook een vierde versie van de scam opgedoken, waarbij de criminelen zich voordoen als advocaten of vertegenwoordigers van een advocatenkantoor en het bedrijf via e-mail of telefoon benaderen. Vervolgens wordt er gevraagd om snel een betalingsverzoek af te handelen. Deze scam zou vooral aan het einde van de dag of werkweek plaatsvinden. Er is vooral een toename van gehackte e-mailaccounts. In dit geval versturen de criminelen malware waarmee ze toegang tot het account krijgen.

Wereldwijd zijn er volgens de FBI inmiddels meer dan 8.000 bedrijven op deze manier opgelicht, waarvan 7.000 in de Verenigde Staten. De schade bedraagt 800 miljoen dollar, waarvan wederom het grootste deel, 750 miljoen dollar, in de VS. Naast de 800 miljoen dollar die de FBI in de eerste acht maanden van dit jaar registreerde, hebben andere opsporingsdiensten een schadebedrag van 400 miljoen dollar waargenomen, waardoor het totale schadebedrag op 1,2 miljard dollar uitkomt.

Maatregelen

De FBI geeft bedrijven verschillende tips om zich tegen de scam te wapenen. Zo moet er een systeem komen om e-mails met domeinen te herkennen die op de bedrijfsnaam lijken. Verder moeten bedrijven alle domeinen registreren die op hun eigen domeinnaam lijkt. Daarnaast wordt twee-factor authenticatie geadviseerd voor het aanpassen van betaalgegevens en moeten betaalverzoeken worden gecontroleerd en dan niet via het telefoonnummer dat in de e-mail staat.

Reacties (4)
28-08-2015, 18:11 door Anoniem
"De FBI geeft bedrijven verschillende tips om zich tegen de scam te wapenen. Zo moet er een systeem komen om e-mails met domeinen te herkennen die op de bedrijfsnaam lijken. Verder moeten bedrijven alle domeinen registreren die op hun eigen domeinnaam lijkt. Daarnaast wordt twee-factor authenticatie geadviseerd voor het aanpassen van betaalgegevens en moeten betaalverzoeken worden gecontroleerd en dan niet via het telefoonnummer dat in de e-mail staat."

Wat een gepruts. Domeinnamen herkennen? Hoe gaat het helpen om alle lijkende domeinen te registreren? Waarom niet gewoon S/Mime of PGP, maakt een eind aan alle spoofing en daarna heb je alleen nog gehackte accounts om je zorgen over te maken
28-08-2015, 19:37 door karma4
Het zijn vaak de CEO's en ander C-levels die een cultuur van controle op hun acteren ontmoedigen, geen controle wensen.
Dat maakt het gemakkelijk met spear pishing daar gebruik van te maken. Waarom willen ze geen controles?
Speelt alleen het ego of is er een andere agenda.
29-08-2015, 00:05 door Anoniem
De FBI noemt het "Business Email Compromise (BEC)", maar dat is een foute benaming. Er wordt doorgaans geen zakelijke email gecompromiteerd, die wordt vervalst.

De oplossing die ze geven is gedeeltelijk wel juist: procedures toepassen. Cybersquat domeinen registeren of controleren is een amateuristisch advies: dat lost niets op.

Interne zakelijke mail zou gebruik moeten maken van persoonlijke authenticatie (signeren). Dat werkt tegen de meeste van de huidige aanvallen. Domein gebaseerde authenticatie is onvoldoende.
29-08-2015, 01:01 door Anoniem
Wat zou de FBI bedoelen met "explosed dollar loss". Is dat verzonnen om er fictieve schade bij te voegen, zoals in rechtzaken in de USA gebruikelijk is, of is het echt het bedrag wat is overgemaakt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.