image

Gehackte e-mailadressen gebruikt voor salarisfraude

donderdag 9 augustus 2018, 09:36 door Redactie, 9 reacties

Criminelen hebben gehackte e-mailadressen gebruikt voor het plegen van salarisfraude, zo meldt de Fraudehelpdesk. Bij verschillende bedrijven ontving de salarisadministratie een verzoek dat van een medewerker afkomstig leek en waarin werd gevraagd het salaris naar een andere rekening over te maken.

In werkelijkheid was het bericht afkomstig van criminelen die toegang tot het e-mailaccount van de medewerker hadden gekregen. De fraude werd ontdekt toen verschillende werknemers geen salaris ontvingen en hierover bij de administratie navraag deden. "Daar bleek dat zij zelf een mail zouden hebben gestuurd met het verzoek het salaris op een ander rekeningnummer te storten", aldus de Fraudehelpdesk.

Het gaat onder andere om medewerkers van een kinderdagverblijf, een uitzendbureau en een pretpark, zo laat de NOS weten. Van alle gedupeerde werknemers bleek het e-mailaccount te zijn gehackt. Hoe dit precies kon gebeuren is nog onbekend. In totaal ontving de Fraudehelpdesk tien klachten.

Reacties (9)
09-08-2018, 10:59 door Anoniem
Dat betekent dat de salarisadministratie niet domweg aan de hand van een mailtje dergelijke gegevens zou moeten wijzigen, maar altijd een check per relefoon naar de betreffende medewerker zou moeten doen.

Pas als de medewerker op die manier zelf (of persoonlijk) heeft bevestigd dat het gewijzigde rekeningnummer klopt, zou er actie ondernomen mogen worden!

Dan zijn dit soort trucs gewoon niet mogelijk. Is misschien iets meer werk voor die afdeling, maar daar worden ze voor betaald. Om te zorgen dat de betaling correct verloopt.

Het zit in feite dicht in de buurt van de CEO fraude.

Wat is de volgende truc?
09-08-2018, 11:16 door Anoniem
Fidelis was sneller: https://www.security.nl/posting/572826/Hackers+stelen+salaris+werknemers
09-08-2018, 12:50 door [Account Verwijderd] - Bijgewerkt: 09-08-2018, 12:52
@Anoniem 10.59 uur.

Zelf ben ik niet zo een voorstander van telefonische "corfimatie" aangezien oplichters regelmatig gebruik hebben gemaakt van deze Mitnick-aanval en identiteitsfraude wisten te plegen.

1) Beter is het daarom om ALTIJD 2 Factor Authenticatie te gebruiken
2) Of men moet FYSIEK bij de salarisadministratie zich aanmelden en identificeren om mutaties door te geven.

Dat laatste zou wel kunnen bij kleine bedrijven met weinig werknemers, maar bij grote internationale concerns met duizenden werknemers wordt dat een onbegonnen zaak. Dan zou men item 1) kunnen gebruiken.

REGEL: administraties moeten altijd wantrouwig zijn als verandering van rekeningnummer wordt gevraagd. Ga altijd na of deze verandering wel legitiem is!
09-08-2018, 13:02 door SecGuru_OTX
... en neem ook voldoende maatregelen om domeinspoofing te voorkomen, ook dit behoord tot een mogelijkheid voor een dergelijke vorm van oplichting.

SPF en DMARC, en uh, oh ja, vergeet vooral je SPF en DMARC inbound rules niet te configureren;-)
09-08-2018, 13:34 door Briolet
Door Fidelis: 1) Beter is het daarom om ALTIJD 2 Factor Authenticatie te gebruiken
Ik ken weinig e-mail systemen die F2A gebruiken, anders dan via een web inlog. Alleen bij Apple mail weet ik dat in de mail cliënten van Apple een extra authenticatie zit.
Als je een iCloud account via een niet-apple programma gebruikt, moet je voor die cliënt een eigen wachtwoord instellen die alleen op dat apparaat werkt. Blijkbaar herkent de apple mailserver het specifieke apparaat en mail cliënt.
Als dan een derde via IMAP toegang zoekt, zal dat niet lukken, ook al kent hij het WW.

Van andere mailservers heb ik nog nooit gehoord van F2A op een IMAP toegang. Dus dat 'altijd' is meestal niet mogelijk.
09-08-2018, 15:32 door [Account Verwijderd] - Bijgewerkt: 09-08-2018, 15:33
Door Briolet:
Door Fidelis: 1) Beter is het daarom om ALTIJD 2 Factor Authenticatie te gebruiken
Ik ken weinig e-mail systemen die F2A gebruiken, anders dan via een web inlog. Alleen bij Apple mail weet ik dat in de mail cliënten van Apple een extra authenticatie zit.
Als je een iCloud account via een niet-apple programma gebruikt, moet je voor die cliënt een eigen wachtwoord instellen die alleen op dat apparaat werkt. Blijkbaar herkent de apple mailserver het specifieke apparaat en mail cliënt.
Als dan een derde via IMAP toegang zoekt, zal dat niet lukken, ook al kent hij het WW.

Van andere mailservers heb ik nog nooit gehoord van F2A op een IMAP toegang. Dus dat 'altijd' is meestal niet mogelijk.
Je hoeft niet per sé van een ingebouwde 2FA uit te gaan in de client, maar je kunt wel degelijk een 2FA invoeren door mails met verzoek tot verandering rekeningnummer alleen uit te voeren na confirmatie van de werknemer of CEO. Zo kun je op redelijk eenvoudige manier deze fraude, en ook CEO-fraude bestrijden.
10-08-2018, 12:10 door dmstork
Door SecGuru_OTX: ... en neem ook voldoende maatregelen om domeinspoofing te voorkomen, ook dit behoord tot een mogelijkheid voor een dergelijke vorm van oplichting.

SPF en DMARC, en uh, oh ja, vergeet vooral je SPF en DMARC inbound rules niet te configureren;-)

Nog beter met een DKIM check erbij.

Maar in dit geval had het waarschijnlijk weinig uitgemaakt aangezien de mailaccounts gehackt waren en men dus vanuit het medewerkers account had gemaild (tenminste, dat is wat ik uit de context opmaak). Interne mail wordt normaal gesproken niet gecontroleerd op SPF, laat staan DMARC en DKIM.
Hier gingen dus twee zaken fout: account beveiliging en een extra controle op gevoelige veranderingen door personeelszaken.
10-08-2018, 18:39 door Anoniem
Door dmstork:
Door SecGuru_OTX: ... en neem ook voldoende maatregelen om domeinspoofing te voorkomen, ook dit behoord tot een mogelijkheid voor een dergelijke vorm van oplichting.

SPF en DMARC, en uh, oh ja, vergeet vooral je SPF en DMARC inbound rules niet te configureren;-)

Nog beter met een DKIM check erbij.

Maar in dit geval had het waarschijnlijk weinig uitgemaakt aangezien de mailaccounts gehackt waren en men dus vanuit het medewerkers account had gemaild (tenminste, dat is wat ik uit de context opmaak). Interne mail wordt normaal gesproken niet gecontroleerd op SPF, laat staan DMARC en DKIM.

Ook al zou de interne mail technisch perfect secure zijn, tot en met S/MIME toe, helpt dat niet wanneer de mail met een gehacked account technisch perfect klopt.
SPF/DKIM/DMARC kloppen allemaal wanneer het account gehacked is.

Het kan zelfs een vals gevoel van veiligheid geven - de techniek garandeert heel goed dat het mail daadwerkelijk van het account afkomstig is - maar dat is in zo'n geval niet hetzelfde als daadwerkelijk van de persoon die bij het account hoort.

Net zoals chip-pas en pin vrij goed garanderen dat de transactie afkomstig is van iemand die de pas heeft en pincode kent - gewoonlijk, maar niet altijd - is dat de rekeninghouder.
10-08-2018, 22:01 door Anoniem
Op zich positief dat het niet voldoende was om het e-mail adres te spoofen maar dat er een echte hack voor nodig was, toch? Ik denk dat een portal waarop je gegevens kan veranderen misschien wel veiliger is. Maar dat werk e-mail gehackt kan worden lijkt me zorgelijk genoeg, dat zou niet heel simpel moeten zijn.
Of gaat het hier om prive e-mail adressen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.