Kunsthandelaar vóór de diefstal: mijn e-mail wachtwoord is 12345 want ik heb niks te verbergen.

Kunsthandelaar voor de diefstal. Iedereen kan mij een bankrekeningnummer opgeven waar ik al het geld heen stuur. Ik controleer niet wie die verandering vraagt waarom zou ik. Spookfacturen en phising .... nooit van gehoord.
Mijn adagium: wees vertrouwd maar vertrouw niemand.

Dit heeft niets met phishing te doen. Dit zijn facturen van goederen die de klant verwacht. Bij een spookfactuur is de klant het geld kwijt. Maar omdat daze facturen van een legitiem account verstuurd zijn, ligt het hier iets lastiger. Mijn rechtsgevoel zegt dat de klant niets te verwijten is en dat dus de galerij voor de schade moet opkomen.

Bovenstaand bericht suggereert dat hier specifiek galerijen getarget worden. Ik denk dat dit vertekend omdat het bericht uit een vakblad van de kunstwereld komt. Hen zijn 9 kunstateliers bekend die zo opgelicht zijn. Ik denk dat er nog een veelvoud van dit aantal buiten de kunstwereld op die manier opgelicht is.

Ik lees in dat artikel heel wat tips om dit te voorkomen, maar niets over het gebruik van een account dat beter beschermd is dan alleen met een wachtwoord. B.v. bij een mail account van apple mag je de mail alleen versturen vanaf een apparaat dat geregistreerd staat. Bij mail handelingen vanaf elk ander apparaat moet je een 2FA uitvoeren.

Een spookfactuur wordt enkel betaald omdat men de verwachting heeft dat het normaal is binnen de verwachting.
Bekend fenomeen.
Een email met afzender is wat afzender betreft net zo betrouwbaar als een brief die binnenkomt met een adres afkomstig van..
Het is iets wat je nog moet valideren en beslist niet zo maar vertrouwen.

Dat heeft niets met beveiligen van het verzenden vanuit een apparaat te maken. Het heeft van alles te doen met de afhandeling bij de ontvangst. Zeg maar in ICT termen en gedegen inputvalidatie.
Bij veilingen zijn de kopers en verkopers vaak bekend. Wie geboden heeft en wie het laatste bod gedaan heeft is gewoon zichtbaar. Van de adviezen vind ik die van een dubbel ander contact bellen/sms ter verificatie nog de beste.
Al het andere is enkele tegen de slimme timing die mogelijk op andere manieren ook te doen valt.

Lees het stuk nog eens door. Het gaat hier echt niet om spookfacturen, maar om echte facturen die door het kunstatelier opgesteld zijn. Alleen opnieuw verstuurd met een ander rekeningnummer.
Spookfacturen zijn op de gok gestuurde facturen, waar men hoopt dat de ontvanger ze gewoon betaalt zonder te controleren.

Als jij je mail van een goede DKIM voorziet, weet je dat hij van de echte afzender komt. Mail is dus echt wel beter qua afzender te beveiligen dan een afzender op een brief. Bij ons wordt alle verstuurde mail met onze bedrijfs-url via DKIM gesigneerd. Dan kun je alleen de afzender spoofen door de bedrijfsserver zelf te hacken, het bedrijfsaccount te hacken of het DNS account te hacken.

Als ik mail krijg die belangrijk is, dan kijk ik altijd naar de DKIM ondertekening. Is die niet aanwezig, (of heeft een heel algemene naam zoals gmail.com) dan gebruik ik andere methoden om te verifiëren of de mail wel legitiem is.

@Briolet ik heb het stuk doorgelezen. Vandaar dat verband met spookfacturen en phising. Het staat er echt.
Je bedoelt: https://www.bettercloud.com/monitor/spf-dkim-dmarc-email-security/ Het helpt om het compleet open karakter tegen te gaan. Spam zo meteen uitgebannen zijn en een ieder die zich daaraan toch bezondigd meteen via een aangifte vervolgd. Jet ziet twee issues, die hele invoering is nog niet zo ver. Stel dat het wel zo ver was dan zouden er slimmerikken komen ofwel hackers dier er om heen werken. We zijn het eens dat je het beter kan doorvoeren.

Nu nog wat verder denk je dat die kunstateliers zich zo'n hele IT support kunnen veroorloven? Ze zullen voor het goedkoopste gaan wat zo te zien functioneel werkt. Dan heb je de makke in kleine organisaties. De makke in grote is dat elke verandering een gevaar is dan wel totaal ongecontroleerd doorgevoerd wordt met als gevolg omvallen van diensten.

En denk je dat zo'n niet ICT persoon die de rekening betaalt een besef van SP KIM DMARC heeft?
Typisch het vakblad noemt een aantal adviezen maar niets hierover en niets over SIEM.

Door Briolet:
Dan was jij er net zo hard ingetuind. Die DKIM ondertekening vindt plaats bij de mailserver van de internet provider en die was nu juist gehackt. Dus die valse email had ook de juiste DKIM hand tekening gehad omdat die van dezelfde mailserver kwam.
Veiliger is om bij belangrijke emails digitaal te ondertekenen of te encrypten maar dan wel op de eigen computer van de gebruiker. Met als eis dat die computer niet gehackt is. Die webmail software is eenvoudig te installeren als plugin "mailvelope" bij chrome of firefox. Of de uitgebreide GPG software als je een mailclinet gebruikt.

Door Briolet:
Dan was jij er net zo hard ingetuind. Die DKIM ondertekening vindt plaats bij de mailserver van de internet provider en die was nu juist gehackt. Dus die valse email had ook de juiste DKIM hand tekening gehad omdat die van dezelfde mailserver kwam.
Veiliger is om bij belangrijke emails digitaal te ondertekenen of te encrypten maar dan wel op de eigen computer van de gebruiker. Met als eis dat die computer niet gehackt is. Die webmail software is eenvoudig te installeren als plugin "mailvelope" bij chrome of firefox. Of de uitgebreide GPG software als je een mailclinet gebruikt.

Eens.

Ook ik pleit voor sterkere digitale authenticatie, maar ik maak mij wel grote zorgen over de keerzijde ervan: als het een aanvaller lukt om namens een slachtoffer aan te melden en/of digitaal te communiceren, voorzien van allerlei "echtheidsbewijzen" zoals digitale handtekeningen of anderszins (zie bijv. [1]), hoe bewijst het slachtoffer dan dat "it wasn't me"? Dit kan de kloof in de samenleving tussen "begrijpers" en "niet (willende of kunnende) begrijpers" vergroten.

Op het werk heb ik al meerdere keren nep-invoice malwaremails ontvangen vanaf gecompromitteerde commerciële Office365 e-mail accounts (waarbij SPF/DKIM/DMARC natuurlijk kloppen) en die nauwelijks of niet door spamfilters worden tegengehouden (dat bedrijven invoices sturen is natuurlijk niet onverwacht). Op het moment dat dergelijke mails end-to-end worden versleuteld, houdt geen enkel spamfilter ze nog tegen (want die kunnen de content niet inspecteren). En als ze digitaal gesigneerd zijn namens de afzender IS dat ook echt de afzender, en is er geen reden om aan de authenticiteit te twijfelen - tenzij je weet dat je nooit zaken hebt gedaan met dat bedrijf. Totdat een bedrijf gehacked wordt waar je wel zaken mee gedaan hebt en jij daar een neprekening van ontvangt (niet ondenkbaar want jij staat ongetwijfeld in hun klanten- en/of leveranciersbestand).

Aan de andere kant zal marktwerking ervoor zorgen dat bedrijven die security en awareness training serieus nemen, betrouwbaarder zakenpartners zullen blijken te zijn - en die bedrijven zullen makkelijker overleven. Gehackt worden zal, m.i. onvermijdelijk, niet alleen maar een beetje reputatieschade opleveren (zoals toe nu toe gebruikelijk), maar zal steeds meer geld gaan kosten naarmate de authenticiteit van uitgewisselde informatie toeneemt.

[1] https://www.security.nl/posting/537651/DigiD-app+voor+Android+kan+nu+identiteitsbewijs+controleren

Misschien is een belangrijk deel van de bewustwording die nodig is niet zozeer het begrijpen van de techniek maar het begrijpen dat de techniek niet onfeilbaar is.

Mij valt in het gelinkte artikel op dat banken kritiek krijgen dat ze niet genoeg ellende tegen weten te houden (ze hebben onbetrouwbare rekeninghouders), maar de betrokkenen beseffen dan kennelijk niet dat de zwakheid in het geheel niet het functioneren van de banken was maar het functioneren van e-mail.

Zonder te hoeven weten wat DKIM of SPF of DMARC of PGP of zo is zou men het simpele feit moeten leren begrijpen dat als een communicatiekanaal feilbaar is je voor belangrijke zaken niet alles daarvan af moet laten hangen. Als niet enkel via e-mail was gecommuniceerd maar bijvoorbeeld ook telefonisch was de kans op deze ellende al veel kleiner geweest. Die kunstverzamelaar die na een factuur een e-mail met een ander rekeningnummer kreeg had even via het internet het telefoonnummer van de galerie kunnen opzoeken en kunnen bellen om te verifiëren dat het klopt. De galerie had zelf kunnen aansturen op contact via meerdere kanalen. Het gaat hier om substantiële bedragen, een paar telefoontjes moeten er toch af kunnen.

Zonder het technische hoe en waarom te hoeven begrijpen kan een mens wél leren begrijpen dat twee onafhankelijke communicatiekanalen moeilijker te corrumperen zijn dan één kanaal, en dat als er veel waarde mee gemoeid is het ook de moeite waard is om daar werk van te maken. Dat zou al een belangrijke stap vooruit zijn in de bewustwording.

@karma


"@Briolet ik heb het stuk doorgelezen. Vandaar dat verband met spookfacturen en phising. Het staat er echt."

je ziet weer spoken!

als je ctrl-f op het woord phishing doet (houd rekening met je tik fout ook), dan ben je weer de eerste die het noemt en gebruikt buiten de context van de topic van deze posts.

goed bedoeld advies: denk nogmaals eens goed na en verifieer voor je op submit drukt want je hebt er namelijk een onhebbelijk hinderlijk handje van om dat vaker te doen en een rel te starten en zo dit forum te verpesten.

https://nl.m.wikipedia.org/wiki/Phishing
"Vervolgens versturen de aanvallers een aangepaste factuur met een ander rekeningnummer en vragen de klant om het geld naar deze rekening over te maken."
Als het gewoon aan de gebruikelijke definitie voldoet waarom is dan het woord daarvoor gebruiken niet goed?

Rellen starten laat ik overigens aan anderen over. Ik reageer enkel op dat soort gedoe.

SP, DMARC en DKIM hebben geen van allen zin zolang er geen 2FA gebruikt wordt en wel simpele wachtwoorden. Ik heb afgelopen week een workshop informatiebeveiliging gehouden en eens rondgevraagd wie er namen van kinderen, partners, huisdieren, auto's waar men in rijdt etc. gebruikt in het wachtwoord, al dan niet in combinatie met geboortedata of het actuele jaartal. Stomverbaasde gezichten toen ik opmerkte dat hun wachtwoord dus feitelijk op hun Facebook account stond. Zolang dat besef er niet is, blijft "hacken" wel erg makkelijk.

nadat een legitiem e-mail account is gehacked en misbruikt wordt en vanuit dat te verwachten domein waar de factuur vandaan komt en waar het slachtoffer daadwerkelijk ook zaken mee gedaan heeft. DAT allemaal is het verschil met een phishing aanval zoals dat in de volksmond bedoeld is. De te verwachte 'in stink' factor is dus ook anders dan bij een 'prins uit nigeria' email van een of ander vaag adres.

kortom, je hebt niet eens door wanneer je met je ongefundeerde kort door de bocht posts die relletje start omdat je de helft van de tijd slordig leest en hog van de toren blaast. dus doe ons allen eens een plezier, lees en denk nog eens na voordat je op 'send' drukt. gewoon de hoeveelheid aan en type reacties die je steeds ontlokt hoort een indicator te zijn voor je! het is niet de hele wereld die het probleem is, het is ...

Je krijgt de definitie van spear phishing en whale phising. Dat is de ontwikeeling van de afgelopen jaartjes.
Dan ontken je dat en kom je net de Nigerians prins scam van vele jaren oud. Heb je enige reden om zo negatief te doen?

@karma4

Waarschijnlijk omdat het weer erg donker is naast de rails; de e-mail accounts zijn gehacked

Als een account gehacked is, heb je niets aan DKIM, SPF of DMARC. Met een keylogger op de PC van de afzender heb je mogelijk ook niks aan PGP, namelijk als de aanvaller namens jou mails digitaal kan ondertekenen.

Je moet inderdaad niet vertrouwen op een telefoonnummer in dezelfde e-mail. Helaas kun je niet uitsluiten dat een slimme aanvaller met toegang tot e-mail ook de webpagina van een kunstgalerie kan (laten) wijzigen. Als je slechts zaken doet via internet en/of telefoon is het lastig, zo niet onmogelijk, om zeker te weten met wie je zaken doet en er geen sprake is van een MitM (Man in the Middle).

Betreft spf dkim dmarc. Daar heb ik privé wat ervaringen mee in het gedrag.
De eerste was dat via mijn eigen provider de mail naar een bekende niet doorkwam (delayed)de . Ze hebben dat aan de hand van de meldingen die ik kreeg netjes opgepakt.
De tweed was dat ik als uitzondering geen mail doorkreeg van een dienstverlener (kleinbedrijf). Voor hun onverklaarbaar maar met de foutmeldingen die ik per mail doorkreeg werd het duidelijk. De standaardmaat was uitbesteed aan een ander klem ict bedrijf. Deze huren servers in een groot datacenter en vandaar naar mijn provider. Dat heb ik kunnen vinden via whois. Ik miste nog de laatste stap. Uit de melding bleek het spf record naar de dns niet te kloppen. Geheel in lijn met de mail die nooit aan kwam, het klopte niet.
Uitgelegd aan het administratieve contact van mijn dienstverlener en die kwamen er daarna snel uit.
Het is iets wat ik gratis en voor niets gedaan heb.

Wat zegde me dat?
- minder dan 5% van de mail let kennelijk op de correctheid van deze mail opties.
- mail wordt als dienst gewoonlijk uitbesteed. De dns van de mailserver en de dns in de mail hoeven niet overeen te komen. Zoiets is voor acceptatie zelfs ongewenst.

Het punt dat ik probeerde te maken is dat het niet alleen vanuit een technisch perspectief benaderd moet worden maar dat ook zonder gedetailleerde technische inzichten een gebruiker (hopelijk) kan inzien dat veel communicatiekanalen niet zo veilig zijn als ze op het oog lijken. Je kan dan de kans op problemen verkleinen door via meerdere, ieder op zich niet volkomen veilige, kanalen kritische dingen als een bankrekeningnummer door te geven en het resultaat te vergelijken.

In dit geval was het zwakke punt dat het bankrekeningnummer van de galerie per e-mail aan de klant werd verzonden. Die klant is dan in de gelegenheid om op de website van de galerie een telefoonnummer op te zoeken en dat te bellen. Als ze eerder zaken hebben gedaan of als de klant ooit de galerie heeft bezocht en interesse heeft kunnen telefoonnummers uitgewisseld worden. Misschien is er een gemeenschappelijke connectie die kan helpen gegevens betrouwbaar uit te wisselen.

We hebben het hier niet over kleine bedragen, het artikel heeft het over tienduizend tot een miljoen pond. Voor transacties van die omvang mogen beide partijen best wat extra inspanning leveren om de transactie goed te laten verlopen. Dit hoeft niet alleen van de betrouwbaarheid van e-mail af te hangen. Bij voldoende grote bedragen moet het de kosten waard zijn om de betaling via een notaris te laten lopen, bijvoorbeeld. Dat is ook een manier om de transactie te beveiligen.

Dat weet ik, dat staat impliciet ook in mijn bericht. :-)

Dat is leuk, maar doorgaans heb ik dit niet voor het zeggen. Ik krijg b.v. digitale facturen van twee pakketvervoerders. Voor ons kleine bedrijf gaan zij echt niet hun systeem aanpassen aan mijn wensen. Ik kan alleen maar roeien met de riemen die ik heb.

De echt grote facturen krijgen we ook nog per post. Daar is de digitale versie er alleen om te zien wat er naar ons onderweg is. Ik heb de afgelopen jaren vaker met een aangepast rekeningnummer te maken gehad. Dan heb ik altijd telefonisch contact gezocht.
Voor het internet tijdperk gebeurde het al dat criminelen de ptt brievenbussen op industrieterreinen leeghengelden op zoek naar facturen die ze konden aanpassen. Wat dat betreft is er niets nieuws onder de zon.

@Anoniem 12:37: we zijn het, denk ik, met elkaar eens.

Wat ik, los van de discussies hierboven, niet begrijp is dat het artikel suggereert dat kunstgaleriën zouden zijn bestolen; dat zijn toch in de eerste plaats de kunstkopers die geld naar bankrekeningnummers van criminelen hebben overgemaakt?

@Bitwiper: Het ligt hier iets gecompliceerder. Bij een gewone valse mail is het inderdaad de koper die opgelicht is. Omdat hier het e-mail account van de galerij gehacked is, zijn zij nu ook mede schuldig aan de schade.

Ik verwacht dat een rechter de hele schuld bij de galerij zal leggen. Ook omdat het de galerij was die begonnen is de factuur digitaal te versturen. Dan zijn zij ook verantwoordelijk dat ze dat veilig doen.

Prima argumenten in de discussie eens met jullie.
Het artikel legt de schuldvraag meteen bij de galerie. De werkelijke kwaden zijn natuurlijk die cyber criminelen. De politie zaak en de acties ver terughalen van her geld moeten nog starten. De rechtszaak komt.nog eens daarna. Dat kan jaren duren. Zelfs al komt al het geld terug dan nog zijn de handelaren kopje onder met hun bedrijf.

Hun bedrijfsmodel bestaat uit het vertrouwen tussen koper en verkoper met bemiddeling vakkennis en meer.
Dat vertrouwen is geschaad daarmee is hun klantenkring verminderd of verdampt. In de koop verkoop doen ze de transactie bemiddeling (met provisie). De koop is gesloten ze moeten leveren en het geld aan de verkoper betalen. Het geld van de koper komt niet binnen door dat gedoe.
Dat betekent dat ze het moeten voorschieten. Tenzij ze zo kapitaalkrachtig zijn dat zoiets eenvoudig kan hebben ze een liquiditeitsprobleem. Zoiets heet in de volksmond failliet.

Uit het in het artikel gelinkte bronartikel: