Britse overheid waarschuwt advocatenkantoren voor phishing
Het National Cyber Security Centre (NCSC) van de Britse overheid heeft advocatenkantoren via een rapport gewaarschuwd voor phishing, ceo-fraude en andere dreigingen (pdf). Volgens het NCSC is phishing de meestvoorkomende cyberaanval waar advocatenkantoren mee te maken krijgen.
Vorig jaar juli meldde de Britse Regulerende Advocatenautoriteit (SRA) dat cybercriminelen in 2017 omgerekend 12,3 miljoen euro bij advocatenkantoren hadden gestolen. In driekwart van de gevallen ging het om fraude waarbij e-mails en betaalgegevens werden aangepast waarna er geld naar de verkeerde rekening werd overgemaakt. Uit een recente enquête onder advocatenkantoren blijkt dat 80 procent met phishingaanvallen te maken heeft gehad. Ceo-fraude, waarbij oplichters zich als een directeur voordoen en de financiële administratie van een organisatie benaderen om snel een bedrag over te maken, beschouwt het NCSC ook als phishing.
In het rapport wordt een geval omschreven van een advocatenkantoor dat slachtoffer van ceo-fraude werd. Een partner van het advocatenkantoor meldde op social media dat er een zakenreis naar Barcelona stond gepland, inclusief vlucht en plannen. Een bende maakte van deze informatie gebruik voor het plegen van ceo-fraude. Een medewerker van de administratie ontving een e-mail afkomstig van een gespooft e-mailadres. Daarin stond dat er een rekening moest worden betaald en werd er verzocht dit geheim te houden.
Hoewel het advocatenkantoor beleid en procedures had voor het betalen van rekeningen wisten de criminelen de financiële administratie onder het mom van urgentie, vertrouwelijkheid en senioriteit zover te krijgen om de regels te breken. De criminelen wisten ook dat er nieuwe accountantssoftware werd geïnstalleerd, omdat een medewerker dit op Facebook had gemeld. Een medewerker maakte uiteindelijk omgerekend 39.000 euro over. Pas nadat een andere partner vragen over de betaling stelde werd de fraude ontdekt. Hierop werden beleid en procedures aangepast, waaronder het socialmediabeleid.
Om phishing te voorkomen adviseert het NCSC om het lastig voor aanvallers te maken om personeel te benaderen. Ook moet het personeel worden geleerd om phishingmails te herkennen en die te melden. Verder moeten advocatenkantoren procedures en beleid doorvoeren voor het betalen van rekeningen en een cultuur aanmoedigen waarbij verdachte transacties in vraag worden gesteld en gehaaste en niet goed gevalideerde betalingen worden geweigerd.
En dat is het niet, het is social engineering. Phishing is gereserveerd tot het bemachtigen van login codes.
En dat is het niet, het is social engineering. Phishing is gereserveerd tot het bemachtigen van login codes.
[CITATION NEEDED]
En dat is het niet, het is social engineering. Phishing is gereserveerd tot het bemachtigen van login codes.
Phishing is een benaming voor het "vissen naar" persoonsgegevens en andere belangrijke data, niet alleen logincodes.
Het is een basisonderdeel van CEO-fraude; er wordt door de oplichters gevist naar gegevens, zoals naam van de CEO en de contactpersoon van de afdeling administratie en daarbij verdiept men zich in de actuele situatie (wanneer een CEO op zakenreis gaat, bijvoorbeeld).
En dat is het niet, het is social engineering. Phishing is gereserveerd tot het bemachtigen van login codes.
Phishing is een benaming voor het "vissen naar" persoonsgegevens en andere belangrijke data, niet alleen logincodes.
Het is een basisonderdeel van CEO-fraude; er wordt door de oplichters gevist naar gegevens, zoals naam van de CEO en de contactpersoon van de afdeling administratie en daarbij verdiept men zich in de actuele situatie (wanneer een CEO op zakenreis gaat, bijvoorbeeld).
Bovenstaande is typisch social engineering, waarbij LinkedIn en Facebook bol staan van de informatie die criminelen nodig hebben. Je kunt zo uitzoeken wie waar werkt, wie de directeur is en wie er op vakantie gaat. Met die informatie en een nieuw email adres met de naam van de directeur, ga je vervolgens iemand van de administratie overtuigen dat jij de directeur bent en dat de factuur die in de bijlage staat zsm moet worden betaald.
Niet alle vormen van fraude zijn phishing.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.