Security Professionals
- ipfw add deny all from eindgebruikers to any
Pishing of echt?
Ik kreeg pas geleden een e-mail van een bedrijf waarbij we een (met name in de zorg) veelgebruikt beveiligde e-mail oplossing afnemen. De mail was verstuurd via reguliere e-mail en niet via hun beveiligde e-mail platform. In deze mail werd aangekondigd dat hun bankrekeningnummer gewijzigd was en of we de volgende factuur naar dat nieuwe rekeningnummer wilden overmaken. In de tekst stond verder "Hierbij dient onderstaande header als bewijs" met een scan van de bovenkant van een bankrekeningafschrift toegevoegd waarop het nieuwe rekeningnummer te zien was. Ten slotte was de e-mail verstuurd vanuit het hotmail account van de controller van de organisatie.
Bij navraag bleek de mail wel echt afkomstig van deze organisatie, is het nu terecht dat mijn vertrouwen in de de manier waarop deze organisatie met beveiliging omgaat behoorlijk geschonden is?
Bij navraag bleek de mail wel echt afkomstig van deze organisatie, is het nu terecht dat mijn vertrouwen in de de manier waarop deze organisatie met beveiliging omgaat behoorlijk geschonden is?
Reacties (8)
Hun aanpak klinkt inderdaad als vragen om problemen. Het riekt op allerlei manieren naar CEO-fraude, maar is dat blijkbaar niet. Snapt men daar, bij navraag, wat het probleem is?
Door SecOff: Bij navraag bleek de mail wel echt afkomstig van deze organisatie, is het nu terecht dat mijn vertrouwen in de de manier waarop deze organisatie met beveiliging omgaat behoorlijk geschonden is?
Besef je dat iedereen fouten kan maken, groot en klein. Ja het is knullig, maar belangrijk is nu hoe deze organisatie omgaat met jullie verbazing/'security melding'. Kijk of ze verbeteringen gaan doorvoeren om dit in de toekomst te voorkomen, dat is ook een belangrijk onderdeel van beveiliging. Wellicht dat een duidelijk mededeling 'alle facturen moeten worden verstuurd vanaf een bekend en zakelijk mailadres, anders worden ze niet betaald ' extra duidelijk maakt dat ze hier op moeten letten."Hierbij dient onderstaande header als bewijs" met een scan van de bovenkant van een bankrekeningafschrift toegevoegd waarop het nieuwe rekeningnummer te zien was.
Een scan is zo gemakkelijk te manipuleren dat dit nooit een bewijs kan zijn. Als je dat dan zelf als bewijs aandraagt, zou mij dat juist verdacht overkomen.
Ik heb de afgelopen jaren vaak een mail gehad met gewijzigd rekeningnummer. Ik controleer dat altijd, maar heb zelden meegemaakt dat een organisatie dit nieuwe nummer op hun website zet. Op die plek zou het meer vertrouwen wekken.
Bij organisaties met tijdschriften, vind je dat nieuwe rekeningnummer doorgaans wel in hun blad. Is het niet te verifiëren, dan bel ik altijd op.
Een bewijs van oorsprong van mail is een dkim ondertekening met de bedrijfsnaam. Dat accepteer ik wel als genoeg bewijs om niet verder te zoeken als het om kleine bedragen gaat. En ook hier kan de bedrijfsserver of een bedrijfsaccount gehacked zijn, waardoor de ondertekening klopt. Voor rekeningnummers waar grote bedragen naar toe gaan vind ik dit ook niet genoeg bewijs. Voor de doorsnee gebruiker is dkim echter lastig te controleren omdat de header onderzocht moet worden. En ook niet elke mailprovider schrijft de dkim conclusie in de mailheader.
Maar hier ging het vanaf een hotmail account, wat ook ongelofelijk dom is omdat dit niet aan het bedrijf gelinkt kan worden.
Door SecOff:
Bij navraag bleek de mail wel echt afkomstig van deze organisatie, is het nu terecht dat mijn vertrouwen in de de manier waarop deze organisatie met beveiliging omgaat behoorlijk geschonden is?
Bij navraag bleek de mail wel echt afkomstig van deze organisatie, is het nu terecht dat mijn vertrouwen in de de manier waarop deze organisatie met beveiliging omgaat behoorlijk geschonden is?
Ja. Benieuwd hoe ze hierop reageren.
Die navraag, bij wie is die gedaan en is het volledige bankrekeningnummer toen genoemd?
Pietje aan de balie denkt bij het horen van een bekend adres wellicht al snel dat het klopt. En geeft dan soms onterecht terug dat het klopt. Komt nadat tonnen verdwijnen dan altijd wel aan het licht.
Hotmail gebruiken voor zakelijke doeleinden: zonde.
Pietje aan de balie denkt bij het horen van een bekend adres wellicht al snel dat het klopt. En geeft dan soms onterecht terug dat het klopt. Komt nadat tonnen verdwijnen dan altijd wel aan het licht.
Hotmail gebruiken voor zakelijke doeleinden: zonde.
Bij navraag bleek de mail wel echt afkomstig van deze organisatie, is het nu terecht dat mijn vertrouwen in de de manier waarop deze organisatie met beveiliging omgaat behoorlijk geschonden is?
Je weet als SecOff het antwoord op je vraag wel. Tijd voor een andere leverancier.
Gap, je kan ze ook gewoon nabellen ipv te zeiken over de communicatie. Tuurlijk!, ik zou het wel aankaarten dat je de manier van doen/communiceren niet OK vind. Maar je werkt samen met ze. Communicatie is een must.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.