Gehackt e-mailaccount leverancier kost bedrijf 400.000 dollar
Een Amerikaans bedrijf heeft 400.000 dollar naar criminelen overgemaakt nadat die het e-mailaccount van een Indiase leverancier hadden gehackt. Dat laat beveiligingsbedrijf SecureWorks vandaag weten. De criminelen hadden het wachtwoord van een werknemer van het Indiase bedrijf achterhaald.
Het bedrijf gebruikt een webmail-applicatie voor de zakelijke e-mail. Om hierop in te loggen is alleen een gebruikersnaam en wachtwoord vereist. Zodoende konden de criminelen met de gestolen inloggegevens op het e-mailaccount inloggen. Ze sloegen toe toen een Amerikaans bedrijf een offerte vroeg om voor 400.000 dollar aan chemicaliën aan te schaffen.
Er werd een regel aan het gehackte e-mailaccount toegevoegd om alle e-mail van het Amerikaanse bedrijf naar het e-mailaccount van de aanvallers door te sturen. De aanvallers onderschepten zo de inkooporder en stuurden die door naar het Indiase bedrijf vanaf een domein dat erg leek op dat van het Amerikaanse bedrijf. Op deze manier hadden de aanvallers tussen de verkoper en koper een man-in-the-middle-positie ingenomen.
Het Indiase bedrijf stuurde vervolgens een rekening met de betaalinstructies. Deze rekening werd echter naar het e-mailadres van de aanvallers gestuurd. Die wijzigden de rekeninggegevens, banknaam en swift/bic-code en stuurden de rekening door naar het Amerikaanse bedrijf. Het Amerikaanse bedrijf maakte op deze manier 400.000 dollar over naar de rekening van de criminelen. Die maakten het geld snel over naar allerlei katvangers, waardoor het geldspoor lastig is te traceren en het geld niet meer is terug te halen, aldus SecureWorks.
Het beveiligingsbedrijf adviseert organisaties dan ook om twee-factor authenticatie voor zowel zakelijke als persoonlijke e-mailaccounts in te stellen. In het geval een wachtwoord is gestolen kan de aanvaller nog steeds niet inloggen. Ook moet erop verdachte regels worden gecontroleerd die e-mail doorsturen en moeten transacties tussen partijen altijd buiten e-mail om op een eerder afgesproken manier worden bevestigd.
Probleem is nu natuurlijk: hoe had de leverancier dit kunnen voorkomen? Want zowel de factuur als de afzender waren genuine.
Voorkomen is niet zo moeilijk.
Gebruik elektronische handtekeningen zoals met een PKI (van betrouwbare firma's)
In Nederland is PKI-Overheid een goed merk. In de VS zijn Verisign, Symantec, GlobalSign bekende merken.
Je kunt hiermee niet alleen dit soort diefstal voorkomen. Je kan ook allerhande compliance vraagstukken oplossen.
Kijk naar e-Herkenning
Kijk naar TSCP
wellicht zijn er nog meer oplossingen
Voorkomen is niet zo moeilijk.
Gebruik elektronische handtekeningen zoals met een PKI (van betrouwbare firma's)
In Nederland is PKI-Overheid een goed merk. In de VS zijn Verisign, Symantec, GlobalSign bekende merken.
Je kunt hiermee niet alleen dit soort diefstal voorkomen. Je kan ook allerhande compliance vraagstukken oplossen.
Kijk naar e-Herkenning
Kijk naar TSCP
wellicht zijn er nog meer oplossingen
vraag: ga je met een dergelijke pki daadwerkelijk iets oplossen? De mail is immers via de reguliere weg gegaan en daaruit doorgestuurd. (als ik het goed begrijp)
Ik probeer de gebruikers organisatie altijd op zijn hart te drukken dat je bij twijfel (en vooral bij wisseling van bankgegevens) er ALTIJD een fax achteraan stuurt naar het originele faxnummer (niet het nummer wat op de invoice staat) ter verificatie
Eerlijk is eerlijk ben ik (te) slecht bekend met de PKI.
Een regel toevoegen geeft een foutmelding op handtekening (van in dit geval de email).
Natuurlijk kan de slechterik zelf een PKI maken en gebruiken (een nieuwe ondertekening doen).
Daarom is het belangrijk dat men een vertrouwde PKI leverancier neemt die door de ontvanger herkend wordt.
Met een PKI van een betrouwbare partij, dan kan de ontvanger dus gemakkelijker het juiste vertrouwen krijgen. Net als bij het groene slotje van betrouwbare websites. Die van Security.nl is er een van Thawte. Thawte staat als goed bekend en is opgenomen in de standaardlijst betrouwbare Certificate Authorities (CA's). Kijk maar na.
Zo kan je ditzelfde mechanisme ook gebruiken voor emails. Natuurlijk moet je altijd wel de handtekeningen controleren. Voor vaak voorkomende transacties kan je ook dit automatiseren.
Organisaties die certificaten hebben gekocht bij betrouwbare CA's kunnen het hier vrij gemakkelijk hebben.
Organisaties die zelf een PKI hebben gemaakt (en die gebruiken) die moeten hun PKI eerst in de vertrouwenslijsten laten plaatsen van hun partners.
Het is mij een raadsel waarom de vele commerciële bedrijven voor hun mailings geen gebruik maken van digitaal ondertekende emails. Zouden zij dat doen, dan hebben de spammers gelijk veel minder kans. Als het criminelen zijn, dan gaan ze niet bij een betrouwbare CA winkelen. Ze zijn dan namelijk bekend en kunnen worden opgespoord. Voor de commerciële bedrijven kan hun naam dan niet meer zo gemakkelijk worden misbruikt voor oplichting en de kansen voor namaakproducten wordt ook een stuk minder.
Maar goed.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.