image

Fraudeurs stelen 1 miljoen dollar met behulp van typosquatting

donderdag 5 december 2019, 15:23 door Redactie, 9 reacties

Fraudeurs hebben met behulp van typosquatting 1 miljoen dollar van een Chinese investeringsmaatschappij weten te stelen dat voor een Israëlische startup was bedoeld. Om de fraude uit te voeren registreerden de fraudeurs twee domeinen die leken op de domeinen van beide partijen, alleen van een extra 's' waren voorzien. Een tactiek die typosquatting wordt genoemd, zo meldt securitybedrijf Check Point dat onderzoek naar de fraude uitvoerde.

De investeringsmaatschappij wil een miljoen dollar in het Israëlische bedrijf investeren. Het lijkt erop dat de aanvallers toegang tot een e-mailaccount van één van de twee partijen hadden. De fraudeurs weten namelijk dat er een investering van een miljoen dollar zal gaan plaatsvinden en registreren de twee domeinnamen die op de legitieme domeinen lijken.

Vervolgens versturen de fraudeurs twee e-mails met het onderwerp van een lopende e-mailwisseling tussen beide partijen. De eerste e-mail wordt naar de Chinese investeringsmaatschappij gestuurd en is afkomstig van het geregistreerde domein dat op het domein van de Israëlische startup lijkt. De tweede mail wordt verstuurd vanaf het domein dat op dat van de Chinese investeringsmaatschappij lijkt en is voor de Israëlische partij bedoeld.

Zodoende weten de fraudeurs zich tussen beide partijen te nestelen. Tijdens de aanval versturen de fraudeurs achttien e-mails naar de Chinese partij en veertien naar de Israëlische startup. Op een gegeven moment besluiten beide partijen om elkaar in Sjanghai te ontmoeten. De fraudeurs versturen vervolgens naar beide partijen een e-mail dat de meeting niet kan doorgaan.

Uiteindelijk geven de fraudeurs hun rekeningnummer door. De Chinese partij maakt hier vervolgens een miljoen dollar naar over. Check Point stelt dat het onderzoek werd bemoeilijkt doordat de startup van GoDaddy gebruikmaakte. De gekozen mailoplossing bij de provider laat alleen de laatste vijf inlogpogingen zien. Daarnaast bleek dat de startup allerlei e-mails met betrekking tot de aanval had verwijderd en er geen directe communicatie met de Chinese investeringsmaatschappij was.

Organisaties krijgen dan ook het advies om e-mailoplossingen te kiezen die uitgebreidere logs bijhouden en in het geval van een incident geen data te verwijderen. Verder wordt aangeraden om op nieuw geregistreerde domeinnamen te monitoren die op de eigen domeinnaam lijken.

Reacties (9)
05-12-2019, 15:43 door Anoniem
Incroyable
05-12-2019, 15:50 door hw28
Slim gedaan door de cyberboefjes. Maar 18 + 14 = 32 mails, en niemand die iets opviel?
05-12-2019, 17:09 door Anoniem
Slim gedaan door de cyberboefjes. Maar 18 + 14 = 32 mails, en niemand die iets opviel?

Ben benieuwd of het jou wel zou zijn opgevallen. Deze boefjes weten verdomd goed wat ze doen. Kwantiteit zegt niets, als ze het professioneel aanpakken, en je vertrouwen winnen.
05-12-2019, 19:16 door Anoniem
Door herbert28: Slim gedaan door de cyberboefjes. Maar 18 + 14 = 32 mails, en niemand die iets opviel?

Het is niet dat er volledige gesprekken gebeuren met tussen de fraudeurs en de bedrijven en dat de andere kant er niets van afweet. Het meeste van de mails sturen ze waarschijnlijk gewoon mooi door zodat de 2 bedrijven in de normale onderhandeling blijven. Ondertussen zie je dat je het minimale aan acties onderneemt om uiteindelijk het bankrekening nummer te kunnen geven.

Stel je voor je hebt de gsm van een vriend vast en hij wilt dat je voor hem even sms't. Als je gewoon dezelfde stijl van schrijven aanhoudt merkt niemand er iets van.
06-12-2019, 09:03 door botbot
Door herbert28: Slim gedaan door de cyberboefjes. Maar 18 + 14 = 32 mails, en niemand die iets opviel?

Niet vreemd. Iedere mail die elk van de partijen stuurde is gewoon aangekomen bij de andere partij en ze kregen netjes antwoord. Als ik in mijn email client een bestaand adres in tik, dan zie ik het eigenlijke email-adres zonder extra handeling niet eens meer. Ik zie alleen de naam, en alleen met wat extra clicks of hover over zie ik het eigenlijke email adres.
Ze hebben misschien 1 keer kunnen zien dat het een dubbel "s" had, en daarna is alle communicatie gewoon verlopen.
Ik vind het niet vreemd dat ze dat niet meer gezien hebben.
06-12-2019, 09:03 door botbot - Bijgewerkt: 06-12-2019, 09:04
-dubbepost deleted-
06-12-2019, 09:35 door Anoniem
De vraag is, of geen van de gedupeerde partijen in werkelijkheid de aanvallers zijn. (aanvallers wisten van de investeringsplanne)
Hoe ga je dat controleren?
06-12-2019, 13:50 door Anoniem
De grootste fraudeurs zitten aan de top daar lees je mooi niks over
07-12-2019, 18:32 door Anoniem
Door Anoniem: De grootste fraudeurs zitten aan de top daar lees je mooi niks over
Klopt, daar gaat het artikel ook niet over!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.