image

Criminelen kapen e-mailaccounts leveranciers voor ceo-fraude

donderdag 3 oktober 2019, 15:08 door Redactie, 3 reacties

Een groep criminelen heeft de afgelopen maanden honderden e-mailaccounts van leveranciers weten te kapen om die vervolgens voor ceo-fraude te gebruiken. Dat laat securitybedrijf Agari op basis van eigen onderzoek weten (pdf). Ceo-fraude kent verschillende varianten.

Een bekende variant zijn de e-mails waarin oplichters zich voordoen als de directeur van een aangevallen organisatie en financieel medewerkers de opdracht geven om geld naar een bepaalde rekening over te maken. Het komt de laatste maanden ook geregeld voor dat oplichters zich voordoen als de leverancier van het doelwit en vragen om voortaan een ander rekeningnummer te gebruiken of een nepfactuur te betalen, waarbij het rekeningnummer van een katvanger wordt gebruikt.

Agari ontdekte een groep fraudeurs die meer dan zevenhonderd e-mailaccounts van medewerkers van meer dan vijfhonderd bedrijven in veertien verschillende landen wist te compromitteren. De fraudeurs maakten hiervoor gebruik van phishingmails die van Microsoft OneDrive of DocuSign afkomstig lijken en naar een phishingsite wijzen. Zodra slachtoffers op de phishingsites inlogden werden hun inloggegevens naar de fraudeurs doorgestuurd.

Die logden vervolgens op het e-mailaccount in en stelden regels in zodat er van inkomende e-mailberichten een kopie naar opgegeven e-mailadressen werd doorgestuurd. Op deze manier verzamelden de fraudeurs informatie over klanten en lopende projecten. In sommige gevallen werd de e-mailcommunicatie van een aangevallen leverancier met zijn klanten maandenlang geobserveerd.

Wanneer de mogelijkheid zich vervolgens voordoet sturen de fraudeurs een nepfactuur naar de klant van de gecompromitteerde leverancier. Dit kan via het gecompromitteerde e-mailaccount worden gedaan, of de fraudeurs registreren een domeinnaam die op die van de leverancier lijkt. Bijna alle slachtoffers van de groep bevinden zich in Canada, het Verenigd Koninkrijk en de Verenigde Staten.

Image

Reacties (3)
03-10-2019, 15:33 door Anoniem
Stelling: nooit betalen als je een e-mail van een "CEO" krijgt.
ALTIJD met face-to-face terugkoppelen (dus ook geen telefoon gebruiken)
03-10-2019, 16:28 door Briolet
Door Anoniem: Stelling: nooit betalen als je een e-mail van een "CEO" krijgt.…

Dit zal al helemaal buiten de CEO om gaan. Rekeningen worden op een lager niveau afgehandeld. Nooit is ook veel te sterk geformuleerd omdat betalingen in 99% van de gevallen naar een bekend rekeningnummer gaan. Het gaat hier ten slotten om al bekende leveranciers.

Extra controle is pas nodig bij gewijzigde rekeningnummers.
04-10-2019, 10:42 door Anoniem
Door Briolet:
Door Anoniem: Stelling: nooit betalen als je een e-mail van een "CEO" krijgt.…

Dit zal al helemaal buiten de CEO om gaan. Rekeningen worden op een lager niveau afgehandeld. Nooit is ook veel te sterk geformuleerd omdat betalingen in 99% van de gevallen naar een bekend rekeningnummer gaan. Het gaat hier ten slotten om al bekende leveranciers.

Extra controle is pas nodig bij gewijzigde rekeningnummers.

Wij doen dat en hebben al tientallen pogingen afgevangen. Door hier ruchtbaarheid aan te geven, worden de medewerkers ook nog eens oplettender op allerlei andere fraude mailtjes. Niemand gelooft meer dat hij voor de CEO een stapetle iTunes kaartjes moet kopen en de codes doormailen.

We hebben hier trouwens ook een keer een leverancier mee geholpen. Hij kreeg al een tijdje geen facturen meer betaald. Ander klanten bleken het geld wel naar de criminelen te hebben overgemaakt.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.