Duitse overheid waarschuwt voor dreiging ceo-fraude
De Duitse overheid heeft organisaties gewaarschuwd voor de 'acute dreiging' van ceo-fraude nadat het een lijst met 5.000 personen in handen heeft gekregen die een potentieel doelwit zijn. De lijst kwam tijdens een onderzoek naar de georganiseerde misdaad in handen van de autoriteiten.
Bij ceo-fraude doen oplichters zich voor als directeur van een bedrijf of organisatie en sturen vervolgens een e-mail naar iemand van de financiële afdeling. In de e-mail wordt gevraagd om een groot geldbedrag over te maken. De e-mails kunnen vanaf gespoofte e-mailadressen of gehackte e-mailaccounts worden verstuurd. De afgelopen jaren wisten criminelen op deze manier bijna 5 miljard euro te stelen, zo liet de FBI in mei weten.
Volgens het Bundesamtes für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, maken de criminelen gebruik van contactgegevens op bedrijfssites, sociale netwerken en handelsregisters of bellen ze bedrijven op. Het BSI adviseert bedrijven dan ook om contactgegevens te beperken, personeel over deze en andere it-dreigingen voor te lichten, betaalverzoeken te controleren en het e-mailadres van de afzender te verifiëren.
Een CEO ofwel de baas is verplicht zichtbaar.
Zelfs doe je dat, dan maakt het nog niets uit. Vaak gaat het in de trant van: " Pietje van de administratie, ik heb een probleem. Ik wilde net die ton overmaken, maar mijn laptop met gegevens van mijn bankaccount is gestolen. Kun jij het snel even overmaken, want morgenvroeg moet het op hun rekening staan. Hoogachtend, je baas."
Men weet er dus wel een draai aan te geven waardoor het logisch klinkt dat het net even anders loopt dan anders.
Zelfs doe je dat, dan maakt het nog niets uit. Vaak gaat het in de trant van: " Pietje van de administratie, ik heb een probleem. Ik wilde net die ton overmaken, maar mijn laptop met gegevens van mijn bankaccount is gestolen. Kun jij het snel even overmaken, want morgenvroeg moet het op hun rekening staan. Hoogachtend, je baas."
Men weet er dus wel een draai aan te geven waardoor het logisch klinkt dat het net even anders loopt dan anders.
Deze en bovenstaande uitleg kloppen dus niet.
Ten aanzien van gebruik van email berichten ondertekend met een certificaat door de afzender, in dit geval een CEO, zal de ontvanger direct kunnen zien of deze email afkomstig is van de desbetreffende CEO. Er komt simpelweg een notatie die melding maakt van een digitale handtekening.
Als dat niet het geval is, dan is de email niet ondertekend, of met een fout certificaat ondertekend, en dan komt er een melding dat dit niet klopt.
Als dat niet het geval is, dan is de email niet ondertekend, of met een fout certificaat ondertekend, en dan komt er een melding dat dit niet klopt.
medewerkers meteen gaan bibberen als de CEO iets vraagt en dit dan meteen uitvoeren ook als er vanalles niet aan
klopt.
Dit werkt natuurlijk alleen in heel grote bedrijven. Bij mij op het werk zit de CEO 2 deuren verderop en kan ik daar
zo even binnen lopen of aan de secretaresse vragen stellen als er iets vreemds gebeurt. En ik denk ook dat dat
meer baanzekerheid biedt dan het blindelings uitvoeren van opdrachten.
Bij een groot bedrijf waar je elkaar niet ziet zal dat wellicht anders gaan.
Als dat niet het geval is, dan is de email niet ondertekend, of met een fout certificaat ondertekend, en dan komt er een melding dat dit niet klopt.
medewerkers meteen gaan bibberen als de CEO iets vraagt en dit dan meteen uitvoeren ook als er vanalles niet aan
klopt.
Dit werkt natuurlijk alleen in heel grote bedrijven. Bij mij op het werk zit de CEO 2 deuren verderop en kan ik daar
zo even binnen lopen of aan de secretaresse vragen stellen als er iets vreemds gebeurt. En ik denk ook dat dat
meer baanzekerheid biedt dan het blindelings uitvoeren van opdrachten.
Bij een groot bedrijf waar je elkaar niet ziet zal dat wellicht anders gaan.
Dit is een forum over veiligheid, en niet over speculatieve eigenschappen van mensen.
Als dat niet het geval is, dan is de email niet ondertekend, of met een fout certificaat ondertekend, en dan komt er een melding dat dit niet klopt.
medewerkers meteen gaan bibberen als de CEO iets vraagt en dit dan meteen uitvoeren ook als er vanalles niet aan
klopt.
Dit werkt natuurlijk alleen in heel grote bedrijven. Bij mij op het werk zit de CEO 2 deuren verderop en kan ik daar
zo even binnen lopen of aan de secretaresse vragen stellen als er iets vreemds gebeurt. En ik denk ook dat dat
meer baanzekerheid biedt dan het blindelings uitvoeren van opdrachten.
Bij een groot bedrijf waar je elkaar niet ziet zal dat wellicht anders gaan.
Het is mijns inziens dus realistischer om te denken dat het dus schijnbaar heel normaal is dat de betalingsverzoeken via mail gaan. En zo'n frauduleuze mail gewoon niet opvalt daardoor.
Het gaat om een combinatie van angst voor, en trots dat je door de baas benaderd bent om hem met een probleem te helpen. Bedrijfsculturen kunnen heel verschillend zijn. Dat hoor ik b.v. al over de cultuur in Nederland en België.
In België is een opdracht van de baas heilig. Werknemers zullen dit uitvoeren, ook al twijfelen ze of de baas er goed aan doet. Nederlandse werknemers zullen veel eerder protesteren en de baas van zijn ongelijk proberen te overtuigen. Ik stel het hier een beetje zwart/wit, maar ik heb deze ervaring van meerdere mensen gehoord die in beide landen werkervaring hebben.
Ten aanzien van gebruik van email berichten ondertekend met een certificaat door de afzender, in dit geval een CEO, zal de ontvanger direct kunnen zien of deze email afkomstig…
Over dit soort CEO fraude zijn er de afgelopen jaren meerdere voorbeelden op dit forum voorbij gekomen. Hieruit blijkt dat dit soort fraude allerlei standaard procedures weet te omzeilen. b.v. doordat met via onderschepte mail weet dat de CEO die dag buiten huis is en in het verzoek actuele details vermeld worden die eigenlijk alleen een kleine kring rond de CEO kan weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.