image

Salaris Zwitserse universiteitsmedewerkers gestolen via phishingaanval

dinsdag 6 oktober 2020, 12:23 door Redactie, 8 reacties

Criminelen zijn erin geslaagd om door middel van phishingaanvallen de salarissen van Zwitserse universiteitsmedewerkers te stelen. Zeker drie universiteiten, waaronder de Universiteit van Basel, zijn door de aanvallen getroffen, zo meldt Tages-Anzeiger, de grootste krant van Zwitserland.

De aanvallers verstuurden phishingmails naar universiteitsmedewerkers waarmee ze toegang tot het salarissysteem van de universiteit kregen. Daar veranderden ze het rekeningnummer van de medewerker in die van een katvanger. Zodoende werd het salaris aan het einde van de maand niet op de rekening van de medewerker gestort, maar op die van de katvanger. De exacte schade is niet bekendgemaakt, maar het zou om een zescijferig bedrag gaan.

Het Zwitserse openbaar ministerie heeft de aanvallen bevestigd en stelt dat meerdere universiteiten zijn getroffen. Dergelijke aanvallen komen al jaren voor. In het verleden werden vaak Amerikaanse universiteiten slachtoffer. Twee jaar geleden kwam de FBI nog met een waarschuwing voor salarisfraude door middel van phishingaanvallen. Twee mannen die achter dergelijke aanvallen zaten werden in 2018 veroordeeld tot gevangenisstraffen van drie en zes jaar.

Reacties (8)
06-10-2020, 12:50 door Erik van Straten
Met een systeem waarbij wijzigingen zoals deze moeten worden goedgekeurd door een andere (willekeurige of leidinggevende die dit werk normaal niet doet) medewerker dan degene wiens credentials worden misbruikt, kun je dit soort aanvallen bemoeilijken en wellicht in een vroeg stadium detecteren.

Ik weet overigens niet of dat soort HR-systemen al bestaan. Zo'n "4-ogen" principe lijkt mij in elk geval een zinvolle toevoeging.
06-10-2020, 13:23 door Anoniem
Door Erik van Straten: Met een systeem waarbij wijzigingen zoals deze moeten worden goedgekeurd door een andere (willekeurige of leidinggevende die dit werk normaal niet doet) medewerker dan degene wiens credentials worden misbruikt, kun je dit soort aanvallen bemoeilijken en wellicht in een vroeg stadium detecteren.

Ik weet overigens niet of dat soort HR-systemen al bestaan. Zo'n "4-ogen" principe lijkt mij in elk geval een zinvolle toevoeging.

Maar wat is er te controleren ?

Hoe kan de chef of een ander paar ogen nou weten of Dr Jansen wel of niet naar een andere bank is overgestapt ?
Als er genoeg mensen werken is het 'best normaal' dat er een aantal overstappen naar een andere bank. Of scheiden/trouwen en veranderen van of naar gedeelde rekening.
Het vervelende natuurlijk van met name de huidige covid-crisis, en altijd al bij universiteiten - is dat 'voor een dergelijke wijziging moet je persoonlijk langskomen met ID' een lastige procedure is.
Universiteiten hebben altijd al wat meer dan veel andere grote werkgevers een percentage mensen dat op (grote) afstand werkt en toch een arbeids/salaris relatie heeft . (denk sabatticals/gast docenten)

Nabellen kun je dan verzinnen - maar dan is je 'authenticatie' eigenlijk alleen het telefoonnummer dat HR heeft , en dat is in de context van dit soort hacks ook twijfelachtig betrouwbaar - en evenzeer wijzigbaar door een hacker die credentials van de medewerker kent.
06-10-2020, 13:50 door Anoniem
Door Erik van Straten: Met een systeem waarbij wijzigingen zoals deze moeten worden goedgekeurd door een andere (willekeurige of leidinggevende die dit werk normaal niet doet) medewerker dan degene wiens credentials worden misbruikt, kun je dit soort aanvallen bemoeilijken en wellicht in een vroeg stadium detecteren.
Ik krijg de indruk dat het hier om gegevens gaat die medewerkers zelf konden aanpassen. De criminelen veranderden namelijk het rekeningnummer van de medewerker in dat van de katvanger. Dat leest alsof ze per slachtoffer gegevens van alleen dat slachtoffer konden aanpassen.
06-10-2020, 14:42 door Anoniem
Dat hier nu eindelijk iets over naar buiten komt vindt ik wel interessant. De eerste maal dat ik van dergelijke acties hoorde, was alweer wat jaren geleden terug (theoretisch) en enkele maanden geleden bericht vanuit een Nederlandse partij waar dit bij is gebeurd.

Laten we vooral stellen, dat er op security vlak veel te winnen valt omtrent de zogeheten Intranet omgevingen, veel grotere organisaties leggen veelal de directe HR taken bij het personeel neer, zodat dit de kosten drukt ( of eigenlijk verlegd), waarbij snelheid en beschikbaarheid belangrijker zijn dan veiligheid. Zelfs mijn eigen werkgever heeft grofweg een jaar geleden een dergelijk risico geaccepteerd, omdat men het vooral gebruiksonvriendelijk vond, als het personeel bij elke wijziging in het personeelsdossier middels MFA opnieuw moest aanmelden. ( SSO hierbij in acht nemend, is dat dus 1x extra inloggen per sessie om alle HR gerelateerde zaken te kunnen doen).

Maar goed, ik vermoed dat steeds meer bedrijven het besef krijgen dat de insteek, gebruiksvriendelijkheid voorop, ook gepaard gaat met soms redelijk grote risico's. Al zal dit besef soms duur gekocht worden..
06-10-2020, 15:27 door Erik van Straten
Ik begreep eruit dat aanvallers toegang hadden gekregen tot de HR-systemen via phishing van HR-medewerkers, wellicht heb ik dat fout. Echter, om aan een zes-cijferig bedrag te komen moeten er heel wat laag-betaalde medewerkers zijn gephished - of minder hoog-betaalde.

Hoe dan ook, medewerkers hebben geen salaris ontvangen terwijl de betrokken universiteiten wel hebben betaald. Ongeacht wie voor de schade opdraait is het verstandig om deze ellende te voorkomen. Zo vaak wijzigen bankrekeningnummers nou ook weer niet, laat de betrokkenen (sowieso of ter bevestiging) zich maar persoonlijk melden bij personeelszaken. Met name als een identiteitsfraudeur naast bankrekeningnummer ook de contactgegevens kan wijzigen, heb je het te makkelijk gemaakt voor aanvallers (met als bonus het kopietje paspoort dat zo'n aanvaller in veel gevallen uit personeelsdossiers kan downloaden).
06-10-2020, 20:59 door Anoniem
Nou en net als alle andere zaken die hier in het nieuws zijn gekomen kwam bijna altijd uit dat die 'Gasten' er mee wegkomen en dat de katvangers alleen een Taakstraf krijgen.. Ik vind: Het hele bedrag terughalen bij de katvanger.. Gaat hij maar lekker op kamers wonen, gem 60 uur p/w werken en alles inleveren voor de komende 25 jaar.. Dan zullen andere katvangers vast van schrikken en afzien van een klein vergoeding voor uitlenen bankpas..

-- Oplossing is er denk ik niet.. - Zou het een optie zijn dat wanneer bankgegevens veranderen dat dit door de bank wordt geregeld.. Deze doet anderen op de hoogte brengen.. of whatever.. Net als bij de post dat je een adreswijziging doorgeeft dat volgende post door wordt gestuurd.. ANywaYs: tis en blijft vervelend..
07-10-2020, 10:51 door Anoniem
Als alleen de medewerker zelf zijn bankrekeningnummer kan wijzigen dan heeft phishing op deze manier geen zin.
07-10-2020, 12:34 door Anoniem
Door Anoniem: Als alleen de medewerker zelf zijn bankrekeningnummer kan wijzigen dan heeft phishing op deze manier geen zin.

Spuit elf kan niet lezen...

De medewerker - en iedereen die de login gegegevens van de medewerker weet te krijgen - kan de opgegeven salarisrekening wijzigen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.