/dev/null - Overig

Bol.com trapt in doorzichtige phish

02-05-2021, 11:18 door Anoniem, 38 reacties
Bol.com blijkt 750.000 euro te hebben betaald aan oplichters na het ontvangen van een zeer doorzichtige phishingmail. Normaal zouden bij de meeste mensen de alarmbellen gaan rinkelen als een mail vol met taalfouten ontvangen wordt en men vriendelijk wordt verzocht om de rekeningnummer van een bestaande klant te veranderen.

In de mail stond het volgende:

Houd he rekening mee dat we vanaf vandaag een wijziging in onze bankrekeninggegevens hebben voor incaende betalingen. Voortaan moten all incoming betalingen have been overgemaakt naar onze filiaalrekening in Spanje. We het op prijs as u uw gegevens kunt bijwerken.

Bij Bol.com gingen de alarmbellen niet af en die maakte prompt 750.000 euro over op de bankrekening van oplichters in plaats van Brabantia.

Brabantia die 750.000 euro misliep, stapte daarop naar de rechter om alsnog de rekening betaald te krijgen en....de rechter gaf Brabantia nog gelijk ook. Dat wordt dus een extra dure rekening voor Bol.com.

Link: https://www.telegraaf.nl/financieel/1114048802/bol-com-stort-per-ongeluk-750-000-euro-op-rekening-van-oplichters-na-doorzichtige-truc
Reacties (38)
02-05-2021, 16:18 door karma4
Door Anoniem: .....
Brabantia die 750.000 euro misliep, stapte daarop naar de rechter om alsnog de rekening betaald te krijgen en....de rechter gaf Brabantia nog gelijk ook. Dat wordt dus een extra dure rekening voor Bol.com. ....
Lijkt me zeer terecht dat bol.com gewoon de rekening betaald naar Brabantia.

Het is zeer vreemd dat de rechter daar aan te pas moest komen. Als ik geld verkeerd overmaak dan zal daarmee mijn betaling naar de werkelijke schuldeiser niet voldaan zijn. Het zou oplichting wel heel erg makkelijk maken. Je ziet dat ze daar in bestuurskamers de eigen fouten niet willen erkennen en het graag verleggen naar buiten.
02-05-2021, 16:57 door Anoniem
Ach de taal in het mailtje wijkt niet zo extreem af van wat ik soms onder mijn neus krijg van 2e klas middelbaar.
Ik verbaas mij er helemaal niet over dat de medewerker van bol.com de onderhavige tekst voor authentiek aanzag.
Nederlands? Daar is niks meer van over bij de app- en sms generatie die straks aan de bak moet.
Het Nederlands verkeerd... in slechte staat.
02-05-2021, 18:03 door Briolet
Door Anoniem: Normaal zouden bij de meeste mensen de alarmbellen gaan rinkelen als een mail vol met taalfouten ontvangen wordt en men vriendelijk wordt verzocht om de rekeningnummer van een bestaande klant te veranderen.

Die taalfouten zijn nog wel te begrijpen. Het geld moet overgemaakt worden naar een Spaans filiaal. Je kunt ook denken: "Die Spanjaard schrijft toch nog behoorlijk leesbaar Nederlands".

Taalfouten spelen hier dus geen grote rol in de fout. Maar wel dat er niet standaard via een onafhankelijk kanaal gecontroleerd wordt of de verandering legitiem is. Brabantia is wel in de fout gegaan doordat hun mailsysteem niet goed beveiligd was. Het verzoek tot aanpassing van de bankrekening kwam vanaf hun mailserver. En vergezeld van originele kopieën van facturen.

Dit geeft wel aan dat zelfs als de bron van de mail legitiem is, je dit niet 100% mag vertrouwen. Afgezien van gehacked zijn, is het ook wel eens voorgekomen dat eigen personeel dit soort mailtjes stuurde. Men moet zich er van bewust blijven dat iedereen zelf een afzender kan instellen en alle beveiligingen alleen de domeinnaam beveiligen. Als je in het mailsysteem zit, kun je altijd het adres van de boekhouder of directeur spoofen.
02-05-2021, 18:08 door Briolet
Door karma4: Het is zeer vreemd dat de rechter daar aan te pas moest komen. Als ik geld verkeerd overmaak dan zal daarmee mijn betaling naar de werkelijke schuldeiser niet voldaan zijn.

Zo zwart-wit is het niet. Het is Brabantia die de mail verstuurd heeft. Omdat zij hun mailsysteem niet goed beveiligd hadden.
02-05-2021, 21:36 door Anoniem
een zeer doorzichtige phishingmail

Heb je het rapport gelezen? Ik heb het even doorgelezen (is toch erg interessant) en dan valt mij op dat ik wel twijfel hoor.

Normaal zou je zeggen dat:
1) het e-mailadres niet klopte of nagemaakt moet zijn (lijkt wel te hebben geklopt)
2) er niemand zou reageren op een mail naar het officiële mailadres (reageerde wel iemand, de crimineel als ik het zo begrijp)

Eigenlijk was het enigste dus dat iemand niet zo goed Nederlands schreef dat het doorzichtig moet zijn?

Laatste mail die ik kreeg van Brabantia (serieus even opgezocht, ben klant bij ze toevallig): staan ook wel vage dingen in, zoals
P.O. Box (nummer), Valkenswaard, AA, 5550,
Wie schrijft serieus nu zijn postadres zo in Nederland, dus vraag me dan ook wel af hoe de rest van hun communicatie is.
02-05-2021, 22:39 door Erik van Straten - Bijgewerkt: 02-05-2021, 22:58
Door Briolet: Omdat zij hun mailsysteem niet goed beveiligd hadden.
Beetje vaag.

Uit https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBMNE:2021:1528:
[...]
2.2. Najaar 2019 is de mailbox [e-mailadres] @brabantia.com, van mevrouw [A] (hierna: [A] ), een medewerkster van de boekhoudafdeling van Brabantia Netherlands, gehackt door één of meerdere oplichters.
[...]
2.8. Brabantia Netherlands heeft medio januari navraag gedaan bij Bol.com over het uitblijven van betalingen. Rond 22 januari 2020 hebben partijen vervolgens gezamenlijk geconstateerd dat zij slachtoffer zijn geworden van fraude. Na onderzoek is duidelijk geworden dat bij deze fraude het volgende kan zijn gebeurd:

(a) De hack heeft plaatsgevonden in de ‘cloud’ (via Microsoft Office 365) en niet op enige PC of laptop van Brabantia Netherlands die in gebruik was bij [A] of andere medewerker van Brabantia Netherlands.

(b) De mailbox van [A] is door de oplichters ‘overgenomen’. Volgens [A] heeft zij niemand toestemming gegeven om gebruik te maken van haar e-mailadres en heeft zij haar logingegevens de laatste maanden niet gebruikt op websites, voor zakelijke en/of privédoeleinden.
[...]

Nb. Aan SPF, DKIM en DMARC heb je natuurlijk ook niets in dit soort situaties (sterker, juridisch zou dit wel eens in het nadeel van de eigenaar het zendende domein kunnen uitpakken - wat in dit geval niet lijkt te zijn gebeurd "dankzij" slecht Nederlands in de mail).

Interessant vind ik ook het oordeel van de rechter over o.a. het feit dat mevrouw [A] geen 2FA gebruikte:
[...]
3.20 [...]
Verder is het zo dat uitsluitend op basis van de door partijen verstrekte informatie over 2FA op dit moment niet geoordeeld kan worden dat Brabantia Netherlands onzorgvuldig/onrechtmatig jegens Bol.com heeft gehandeld doordat zij deze ‘mogelijkheid tot beveiliging’ eind 2019 (nog) niet had geïmplementeerd (zie 3.18. onder (b)). Wellicht was het toen al wel raadzaam om 2FA te gebruiken, maar dat brengt niet zonder meer mee dat Brabantia Netherlands ook een verplichting had daarvan gebruik te maken (in haar contractuele relatie tot Bol.com). Ditzelfde geldt voor het wel of niet nemen van maatregelen tegen het instellen van zogenaamde ‘inboxregels’ (zie 3.18. onder (c)). Ten slotte is vooralsnog door Bol.com onvoldoende concreet gemaakt dat Brabantia Netherlands een te eenvoudig wachtwoord en/of een te slordige omgang met inloggegevens heeft toegelaten (zie 3.18. onder (a)).
[...]

Het zou mij niet verbazen als de criminelen het wachtwoord van mevrouw [A] via phishing hebben ontfutseld. Denkbaar is dat rechters het volgende niet weten (en/of Microsoft geloven of de media die hen napraten [*]): zelfs aan een loeisterk wachtwoord plus 2FA heb je niets als mevrouw [A] met een phishingmail naar een "lijkt-op-Microsoft-loginpagina" wordt gelokt en daar die gegevens invult (waarmee de crimineel, al dan niet geautomatiseerd, direct op de echte Microsoft aanmeldpagina inlogt).

[*] In een blog van 20-08-2019 [1] wordt verwezen naar een pagina [2] van 09-07-2019 waarin staat dat wachtwoorden zinloos zijn en je daarom 2FA/MFA zou moeten gebruiken, want dat zou je in 99,9% van de gevallen beschermen. Deze niet onderbouwde statements, bedoeld om cloud-angst enigszins weg te nemen, met die niet onderbouwde "99,9%" gaan door tot minstens 11-08-2020 [3] waarin zelfs staat:
Whether using traditional methods like phone or token codes, or modern passwordless methods like the Authenticator, Windows Hello, or FIDO, MFA reduces the probability of account compromise by more than 99.9%.
Dit is in elk geval larie als je "traditional methods like phone or token codes" gebruikt.
[3] gaat verder met:
As part of adopting MFA, you should block legacy authentication endpoints that can’t support MFA. Legacy authentication protocols like POP, SMTP, IMAP, and MAPI can’t enforce MFA, making them preferred entry points for adversaries attacking your organization.
Natuurlijk zijn protocollen als POP3S en IMAPS kwetsbaar voor zwakke wachtwoorden, maar nauwelijks voor phishing-aanvallen - in tegenstelling tot Microsoft 365.
[1] https://www.microsoft.com/security/blog/2019/08/20/one-simple-action-you-can-take-to-prevent-99-9-percent-of-account-attacks/
[2] https://techcommunity.microsoft.com/t5/azure-active-directory-identity/your-pa-word-doesn-t-matter/ba-p/731984
[3] https://techcommunity.microsoft.com/t5/azure-active-directory-identity/conditional-access-policies-now-apply-to-all-client-applications/ba-p/1257371

De (web-based) cloud heeft het er allemaal niet veiliger op gemaakt. En de les is opnieuw: e-mail is en blijft een onbetrouwbaar communicatiemiddel waar cybercriminelen dankbaar misbruik van maken.
03-05-2021, 01:57 door Anoniem
Door Erik van Straten:
...

De (web-based) cloud heeft het er allemaal niet veiliger op gemaakt. En de les is opnieuw: e-mail is en blijft een onbetrouwbaar communicatiemiddel waar cybercriminelen dankbaar misbruik van maken.

Er bestaan extensies zoals PGP (Pretty Good Privacy) die emails digitaal kunnen tekenen. Zo kun je een email door twee vertrouwenspersonen of vertegenwoordigers laten tekenen (four eyes principe), zodat de ontvanger de zenders kan controleren/verifiëren (tot een bepaald niveau).

Helaas is het zo dat het PGP (framework) bijna niet wordt gebruikt, gestimuleerd of wordt aanbevolen. Erg jammer.
03-05-2021, 08:34 door Anoniem
Door Anoniem: Ach de taal in het mailtje wijkt niet zo extreem af van wat ik soms onder mijn neus krijg van 2e klas middelbaar.
Ik verbaas mij er helemaal niet over dat de medewerker van bol.com de onderhavige tekst voor authentiek aanzag.
Nederlands? Daar is niks meer van over bij de app- en sms generatie die straks aan de bak moet.
Het Nederlands verkeerd... in slechte staat.

Grappig dat je na je relaas zelf "verkeren" niet juist vervoegd.
Je zin staat in de onvoltooid tegenwoordige tijd, en dus is het de regel: stam + t. In dit geval: verkeer + t.

Zie https://nl.wiktionary.org/wiki/verkeren/vervoeging

Of was het met opzet en wilde je kijken of er uberhaupt iemand je fout op zou merken?

On-topic:

Natuurlijk wel een behoorlijke fout van bol.com om deze mail niet te herkennen als vals. Men mag toch verwachten dat er even via een ander communicatiekanaal (telefoon?) gecontroleerd wordt of deze wijziging inderdaad klopt.
03-05-2021, 10:11 door Anoniem
Volgens mij is het eigenlijke probleem niet dat er een hacker in geslaagd is om een e-mail te sturen "vanuit Brabantia" maar veel meer dat Bol.com geen extra controle doet via een ander medium dan e-mail.
DAT is 2nd factor. Je gaat niet een reply sturen op een mailtje (of mailen naar de organisatie) als er wat vreemds binnen komt, nee je belt ze op of je stuurt ze een brief.

Ik maakte me ook wel eens zorgen hoe dat bij het bedrijf waar ik werk zou worden opgepakt maar er blijken heel duidelijke regels voor te zijn die het uitsluiten dat er rekeningnummers worden aangepast op basis van enkel en alleen een mailtje, een telefoontje, een brief, een factuur met sticker erop met "let op ons rekeningnummer is gewijzigd", of dat soort dingen.
Dat moet altijd grondig verder worden onderzocht. En zeker als het om dit soort bedragen gaat.
Misschien hadden ze dat bij Bol.com ook beter moeten regelen!
03-05-2021, 11:19 door Anoniem
Door Anoniem:
Er bestaan extensies zoals PGP (Pretty Good Privacy) die emails digitaal kunnen tekenen. Zo kun je een email door twee vertrouwenspersonen of vertegenwoordigers laten tekenen (four eyes principe), zodat de ontvanger de zenders kan controleren/verifiëren (tot een bepaald niveau).
Binnen de zakelijke wereld wordt er wel eens S/MIME gebruikt. Maar ja S/MIME en PGP dat zijn 2 kampen he?

Cruciaal is echter dat je voor dit soort acties niet moet afgaan op dit soort technische beveiligingen die wellicht ook
gehacked zijn. Pak de telefoon, schrijf een brief, ga er langs, whatever. Maar vertrouw niet op dit ene kanaal.

Helaas is het zo dat het PGP (framework) bijna niet wordt gebruikt, gestimuleerd of wordt aanbevolen. Erg jammer.
Dat gaat ook nooit meer gebeuren, nu de naam PGP verbonden is aan "beveiligde telefoons voor criminelen".
Wil je er ooit nog wat mee dan zul je minstens een nieuwe naam moeten verzinnen.
03-05-2021, 11:22 door Erik van Straten
Door Anoniem: Er bestaan extensies zoals PGP (Pretty Good Privacy) die emails digitaal kunnen tekenen.
[...]
Helaas is het zo dat het PGP (framework) bijna niet wordt gebruikt, gestimuleerd of wordt aanbevolen. Erg jammer.
Naast dat bijna niemand PGP/GPG/GnuPG gebruikt, zijn er grote problemen mee:
1) De methode om vast te stellen dat een public key van een specifiek persoon is, schaalt voor geen meter.
2) Sterker, wat belet de crimineel om een sleutelpaar te genereren en deze op naam van [A] op keyservers te publiceren (desgewenst voorzien van een waslijst aan handtekeningen van fake personen)? De afzender kan er in de mail desgewenst bij liegen dat de oude key verlopen, te zwak of gecompromitteerd is ("P.S. bijgaand mijn nieuwe public key; sla deze op om mijn toekomstige mails op authenticiteit te controleren").
3) Als je wel zeker weet dat een public key van een specifiek persoon is, hoe weet je dan dat deze geautoriseerd is om namens een organisatie te spreken?
4) Als een organisatie alle uitgaande mails automatisch zou signeren, zou dat in dit geval niet geholpen hebben (integendeel).
5) De meeste mensen snappen niets van protocollen als PGP en dat je een sterk wachtwoord voor je keyring moet gebruiken, en dat je public keys moet valideren (hoe? Key-signing party bol.com - Brabantia?) voordat je ze toevoegt. Bovendien willen mensen niet elke keer een sterk wachtwoord invullen als zij een mail verzenden, dus die gaat worden gecached - hoe en hoe lang? Kun je uitsluiten dat een aanvaller dit kan misbruiken?
6) Last but not least, als iemand meestal digitaal ondertekent en nu een keer niet, en je zelden mail van die persoon ontvangt (en/of vergeet dat deze eerder wel digitaal signeerde), is de kans groot dat dit over het hoofd wordt gezien.

Het probleem hier is een gebrek aan overeengekomen procedures tussen en binnen organisaties; dat los je m.i. nooit volledig en betrouwbaar op met alleen techniek (vertrouw geen mensen die roepen "daar bestaat of maak ik een app voor", zeker niet als zij opvallende schoenen dragen ;-)

Door Anoniem: Zo kun je een email door twee vertrouwenspersonen of vertegenwoordigers laten tekenen (four eyes principe), zodat de ontvanger de zenders kan controleren/verifiëren (tot een bepaald niveau).
Zoiets zou je kunnen doen, maar dat moet je dan wel in procedures vastleggen - inclusief wat te doen bij afwijkingen daarop.
03-05-2021, 11:32 door Erik van Straten
FYI, ik vraag me af hoe de rechter geoordeeld zou hebben indien de mail in (bijna) foutloos Nederlands zou zijn opgesteld. Dat vroeg Tweaker Chris_147 zich gisteren ook af (https://tweakers.net/nieuws/181152/bol-punt-com-trapte-in-phishingmail-en-maakte-750000-euro-over-naar-oplichters.html?showReaction=15999104#r_15999104), met daarop een antwoord van jurist Arnoud Engelfriet.

Overigens ben ik het niet eens met Arnoud, want ik vind e-mail onvoldoende betrouwbaar voor dit doel; BEC-scams zijn aan de orde van de dag. Maar ja, IANAL.
03-05-2021, 12:31 door Briolet
Rechters hebben hier zelf geen verstand van en leunen dus op externe deskundigen. Ik begrijp dat als Arnoud de geraadpleegde deskundige was en de tekst was foutloos Nederland, Brabantia naar zijn geld kon fluiten.

Brabantia gebruikt een DMARC policy van reject op hun maildomein @brabantia.com. Dat houdt ook in dat alle mailtjes via DKIM met hun private key ondertekend zijn.Ik zelf kijk ook vaak naar de DKIM ondertekening als ik mail niet vertrouw. Je weet dan dat het door de mailserver van dat bedrijf verstuurd is.

Dat is het probleem wanneer je beveiligingen inbouwt. Als je dat niet goed waarborgt kan dat tegen je gebruikt worden. Vergelijk het met een gemeente die alle officiële stukken op papier met eigen watermerk drukt, maar dit papier niet veilig opbergt, zodat personeel gewoon enkele velletjes mee naar huis kan nemen.
03-05-2021, 13:21 door Erik van Straten - Bijgewerkt: 03-05-2021, 13:30
Door Briolet: Dat is het probleem wanneer je beveiligingen inbouwt. Als je dat niet goed waarborgt kan dat tegen je gebruikt worden. Vergelijk het met een gemeente die alle officiële stukken op papier met eigen watermerk drukt, maar dit papier niet veilig opbergt, zodat personeel gewoon enkele velletjes mee naar huis kan nemen.
Of moet je er daarom van uitgaan dat dit niets zegt? (Net zo min als een afgedrukte, niet met de pen gezette, handtekening?)

En precies zoals ik hierboven schreef i.r.t. digitaal ondertekende e-mails: als je voor officiële en belangrijke documenten (een waarde bijv. 750.000 Euro vertegenwoordigend) zulk papier gebruikt, mag je er dan vanuit gaan dat een document zonder zo'n watermerk (of met andere "echtheidskenmerken") altijd als zijnde een vervalsing wordt herkend?

Tenzij je daar heldere afspraken over gemaakt hebt (o.a. dat je niet in een "papier was op" smoes moet trappen), denk ik van niet. Alleen techniek gaat je niet redden.
03-05-2021, 14:36 door Eric-Jan H te D
Mails over bankrekeningen, betalingen of met betaallinkjes krijgen van mij altijd de koude schouder.

Een grote verzekeraar blijft mij mails met betaallinks toesturen. Zij blijft daar mee doorgaan ondanks dat ik ze via Facebook heb gewezen op de gevaren die daar voor klanten aan vastzitten mbt Phishing.

Zelf heeft deze verzekeraar besloten niet meer te communiceren via E-mail. Dat is erg lastig omdat je achteraf geen documentatie hebt over wat er is gewisseld en het maakt de betalingsverzoeken via E-mail des te merkwaardiger.
03-05-2021, 14:54 door _R0N_
Door Eric-Jan H te D: Mails over bankrekeningen, betalingen of met betaallinkjes krijgen van mij altijd de koude schouder.

Een grote verzekeraar blijft mij mails met betaallinks toesturen. Zij blijft daar mee doorgaan ondanks dat ik ze via Facebook heb gewezen op de gevaren die daar voor klanten aan vastzitten mbt Phishing.

Zelf heeft deze verzekeraar besloten niet meer te communiceren via E-mail. Dat is erg lastig omdat je achteraf geen documentatie hebt over wat er is gewisseld en het maakt de betalingsverzoeken via E-mail des te merkwaardiger.

Ik ken dat, mijn verzekerraar blijft linkjes sturen dat ik moet betalen. Een maand later krijg ik een herinnering via de snailmail die ik dan gewoon netjes betaal. Dat gaat al 4 jaar goed zo..
03-05-2021, 15:00 door Anoniem
Door Erik van Straten:
Door Briolet: Dat is het probleem wanneer je beveiligingen inbouwt. Als je dat niet goed waarborgt kan dat tegen je gebruikt worden. Vergelijk het met een gemeente die alle officiële stukken op papier met eigen watermerk drukt, maar dit papier niet veilig opbergt, zodat personeel gewoon enkele velletjes mee naar huis kan nemen.
Of moet je er daarom van uitgaan dat dit niets zegt? (Net zo min als een afgedrukte, niet met de pen gezette, handtekening?)
Zoals ik al eerder schreef: je moet dit soort wijzigingen nooit over een enkel kanaal afhandelen.
Dus zelfs als er een brief binnen komt die er heel erg echt uitziet, dan nog ga je het verifieren via een ander kanaal.
Je belt ze op, je kijkt op hun website, je raadpleegt KVK (in dit geval waarschijnlijk niet zo nuttig), whatever.
Als er ergens iets niet helemaal OK is dan vertrouw je de brief niet en doet voorlopig niets tot er duidelijkheid is.
03-05-2021, 15:26 door Anoniem
Door Erik van Straten:
...
Naast dat bijna niemand PGP/GPG/GnuPG gebruikt, zijn er grote problemen mee:
1) De methode om vast te stellen dat een public key van een specifiek persoon is, schaalt voor geen meter.
Als het over betalingen van tonnen gaat, is persoonlijk contact in eerste instantie altijd gewenst. Dat was dan een goed moment geweest om elkaar PGP-key te signen. Dit wordt ook wel key-signing party genoemd.

2) Sterker, wat belet de crimineel om een sleutelpaar te genereren en deze op naam van [A] op keyservers te publiceren (desgewenst voorzien van een waslijst aan handtekeningen van fake personen)? De afzender kan er in de mail desgewenst bij liegen dat de oude key verlopen, te zwak of gecompromitteerd is ("P.S. bijgaand mijn nieuwe public key; sla deze op om mijn toekomstige mails op authenticiteit te controleren").
In PGP kun je (niet aan te raden) terugvallen op mutual trusted party. En een gecompromiteerde key moet altijd PGP-revoked zijn; niet een emailtje met 'ik heb een nieuwe key'.

3) Als je wel zeker weet dat een public key van een specifiek persoon is, hoe weet je dan dat deze geautoriseerd is om namens een organisatie te spreken?
Dat had je kunnen beslissen bij het key-signing feestje wat ik beschrijf onder punt 1).

4) Als een organisatie alle uitgaande mails automatisch zou signeren, zou dat in dit geval niet geholpen hebben (integendeel).
Klopt. Digitaal tekenen moet altijd een handmatige actie zijn.

5) De meeste mensen snappen niets van protocollen als PGP en dat je een sterk wachtwoord voor je keyring moet gebruiken, en dat je public keys moet valideren (hoe? Key-signing party bol.com - Brabantia?) voordat je ze toevoegt. Bovendien willen mensen niet elke keer een sterk wachtwoord invullen als zij een mail verzenden, dus die gaat worden gecached - hoe en hoe lang? Kun je uitsluiten dat een aanvaller dit kan misbruiken?
Klopt! Dat gaf ik ook aan in mijn opmerking dat PGP niet gestimuleerd wordt, als in 'onderwezen'. Verder, natuurlijk is de security van het systeem van uiterst belang, zeker als je van dat systeem beslissingen kunt maken om miljoenen euro's over te maken.

6) Last but not least, als iemand meestal digitaal ondertekent en nu een keer niet, en je zelden mail van die persoon ontvangt (en/of vergeet dat deze eerder wel digitaal signeerde), is de kans groot dat dit over het hoofd wordt gezien.
Dit kun je ondervangen om niet versleutelde/getekende mails nooit toe te laten.

Zoiets zou je kunnen doen, maar dat moet je dan wel in procedures vastleggen - inclusief wat te doen bij afwijkingen daarop.
Momenteel heeft bol.com dit verlies geleden, en dit kan in de toekomst nog steeds gebeuren. Als men in het verleden hier beter over had nagedacht, dan had mogelijk het verlies voorkomen kunnen worden. But that is a big if.
03-05-2021, 23:16 door Anoniem
Door Erik van Straten: FYI, ik vraag me af hoe de rechter geoordeeld zou hebben indien de mail in (bijna) foutloos Nederlands zou zijn opgesteld. Dat vroeg Tweaker Chris_147 zich gisteren ook af (https://tweakers.net/nieuws/181152/bol-punt-com-trapte-in-phishingmail-en-maakte-750000-euro-over-naar-oplichters.html?showReaction=15999104#r_15999104), met daarop een antwoord van jurist Arnoud Engelfriet.
Daar zie je ook weer dat net zoals hier de een in de technische richting schiet (over hoe veilig e-mail is en hoe je dat
veilig moet maken en hoe nuttig dat dan is) terwijl de ander inziet dat je gewoon het proces zelf beter moet beschrijven
en van veiligheden voorzien, totaal onafhankelijk van hoe veilig e-mail al of niet is. Immers die opdracht kan ook per
vervalste brief of per telefoon of misschien nog per FAX binnenkomen en dan gelden exact dezelfde overwegingen.
Dat ga je dus niet oplossen door e-mail te beveiligen of door te voorkomen dat het systeem gehacked wordt.
Het antwoord van Arnoud verbaast me eigenlijk, dat is wel erg naief. Maar ik ben er wel blij mee dat het bedrijf waar
ik werk hier wel over heeft nagedacht, en geen rekeningnummers zomaar wijzigt en/of ingaat op plotselinge paniek
op vrijdagmiddag dat er in opdracht van de directie ineens een bak geld moet worden overgemaakt naar een buitenlandse
rekening "voor een belangrijke opdracht die echt niet kan wachten" of zo iets.
04-05-2021, 08:08 door Anoniem
Even Brabantia bellen was wel beter geweest. Nee hoor, boem effe 3/4 millioen overmaken en daarna gaan lullen als het fout gaat.
04-05-2021, 14:15 door Anoniem
Door Anoniem:
Door Erik van Straten: FYI, ik vraag me af hoe de rechter geoordeeld zou hebben indien de mail in (bijna) foutloos Nederlands zou zijn opgesteld. Dat vroeg Tweaker Chris_147 zich gisteren ook af (https://tweakers.net/nieuws/181152/bol-punt-com-trapte-in-phishingmail-en-maakte-750000-euro-over-naar-oplichters.html?showReaction=15999104#r_15999104), met daarop een antwoord van jurist Arnoud Engelfriet.
Daar zie je ook weer dat net zoals hier de een in de technische richting schiet (over hoe veilig e-mail is en hoe je dat
veilig moet maken en hoe nuttig dat dan is) terwijl de ander inziet dat je gewoon het proces zelf beter moet beschrijven
en van veiligheden voorzien, totaal onafhankelijk van hoe veilig e-mail al of niet is. Immers die opdracht kan ook per
vervalste brief of per telefoon of misschien nog per FAX binnenkomen en dan gelden exact dezelfde overwegingen.
Dat ga je dus niet oplossen door e-mail te beveiligen of door te voorkomen dat het systeem gehacked wordt.

Inderdaad, nerds op een nerd forum gaan weer los op hun perfecte techniek . Altijd een illustratie waarom ITers zo weinig serieus genomen buiten hun domeintje.
En inderdaad, vervalste brieven hebben hetzelfde risico . "Officieel briefhoofd van het bedrijf" was in de praktijk altijd voldoende, maar zegt technisch natuurlijk weinig.


Het antwoord van Arnoud verbaast me eigenlijk, dat is wel erg naief.

mww. Hoe de juridische praktijk uitpakt bij randgeval-disputen kan soms verrasssend zijn voor buitenstaanders.

Wat Arnoud later noemde is - dat een wederpartij geen schade hoeft te lijden van een interne ruzie (directeur trekt opdracht gegeven door hoofd inkoop in ) klopt volgens mij .
Aan de andere kant, ik meen dat in een KvK inschrijving moet staan wie er beslis/tekenbevoegd is .

Alleen hoe dat werkt bij grotere bedrijven weet ik niet - Het is niet de directeur KPN die persoonlijk elk mobiel abbonnementje aftekent .
Dus er is een hoop gedelegeerde bevoegdheid waar je als wederpartij op mag rekenen .


Maar ik ben er wel blij mee dat het bedrijf waar
ik werk hier wel over heeft nagedacht, en geen rekeningnummers zomaar wijzigt en/of ingaat op plotselinge paniek
op vrijdagmiddag dat er in opdracht van de directie ineens een bak geld moet worden overgemaakt naar een buitenlandse
rekening "voor een belangrijke opdracht die echt niet kan wachten" of zo iets.

Goed dat je werkgever bewust is.
Maar of 'geval Brabantia' overkwam als spoedje overkwam weet ik niet . Het is op zich 'normaal' dat klanten of leveranciers wel eens van rekening of adres of domein wijzigen .
Per relatie is het zeldzaam, maar als je er een paar duizend relaties hebt krijg je er zeker wel een aantal per jaar die - volkomen valide en niet zomaar' wijzigen .

Je kunt ook een salarisbetalingen denken . Werknemers veranderen van rekening , hetzij overstap, of wat ingrijpender , echtscheiding . Per individu is dat zeldzaam, maar heb je een paar duizend werknemers krijg je dat soort mutaties langs.
04-05-2021, 15:33 door Bitje-scheef
Bij ons wordt bij dit soort veranderingen gewoon gebeld/gecontroleerd of de brief c.q. email klopt.
04-05-2021, 16:07 door Anoniem
Dan moet je wel heel dom zijn om dat te doen. Of diegene is de inside figuur.
04-05-2021, 16:20 door Anoniem
Door Bitje-scheef: Bij ons wordt bij dit soort veranderingen gewoon gebeld/gecontroleerd of de brief c.q. email klopt.

Naar wie ?

Het had voor Bol zeker gescheeld als ze ook gebeld hadden, qua zorgvuldigheid . Maar het vinden een contactnummer uit onafhankelijke bron (dus niet uit de betwijfelde brief) kan al lastig zijn.

Bij brabantia zal _een_ nummer wel te vinden zijn , en dan moet je alleen vanaf het algemene nummer naar de juiste persoon op de boekhouding zien te komen.
04-05-2021, 16:36 door Anoniem
Door Anoniem:
Goed dat je werkgever bewust is.
Maar of 'geval Brabantia' overkwam als spoedje overkwam weet ik niet . Het is op zich 'normaal' dat klanten of leveranciers wel eens van rekening of adres of domein wijzigen .
Per relatie is het zeldzaam, maar als je er een paar duizend relaties hebt krijg je er zeker wel een aantal per jaar die - volkomen valide en niet zomaar' wijzigen .

Je kunt ook een salarisbetalingen denken . Werknemers veranderen van rekening , hetzij overstap, of wat ingrijpender , echtscheiding . Per individu is dat zeldzaam, maar heb je een paar duizend werknemers krijg je dat soort mutaties langs.

Ja daarom heb je daar juist een procedure voor. Zodat je wel een rekening wijzigt als dat nodig is maar niet omdat een
boze ex die nog geld krijgt stiekem het eigen rekeningnummer naar de werkgever doorgeeft zodat daar het salaris heen
gaat. En idem dus voor leveranciers.
Wijzigingen zijn mogelijk maar moeten goed gecontroleerd worden via een ander kanaal.
Per mail of telefoon je bankrekening voor je salaris aanpassen dat gaat hier ook niet, dan moet je maar even bij de salarisadmininstratie langs gaan met je bankpasje ofzo.
04-05-2021, 18:03 door Anoniem
Door Anoniem:
Door Bitje-scheef: Bij ons wordt bij dit soort veranderingen gewoon gebeld/gecontroleerd of de brief c.q. email klopt.

Naar wie ?

Het had voor Bol zeker gescheeld als ze ook gebeld hadden, qua zorgvuldigheid . Maar het vinden een contactnummer uit onafhankelijke bron (dus niet uit de betwijfelde brief) kan al lastig zijn.

Bij brabantia zal _een_ nummer wel te vinden zijn , en dan moet je alleen vanaf het algemene nummer naar de juiste persoon op de boekhouding zien te komen.

Als je dat voor bedragen van driekwart miljoen niet kunt doen, dan heb je een groter probleem. Dan is je interne controle afwezig en zullen er nog vele tonnen richting oplichters volgen. Contractnummers dienen in het contract te staan, en dat doet Inkoop. De contracten zelf bevatten mailadressen, telefoonnummers, gegevens voor het volgen van escalatiepaden (en anders staan die wel in de SLA), je hebt bij dit soort grote klanten stellig een klantportaal waar je normaliter vragen in kwijt kunt, de account manager heeft vast wel een telefoonnummer etc. Het is echt niet zo dat bij miljoenencontracten niemand weet wie benaderd moet worden bij dit soort vreemde mails. En dat het inderdaad ook anders kan zal blijken uit de maatregelen die Bol.com nu gaat nemen om herhaling te voorkomen. Want geloof me, er komen extra maatregelen om deze bedragen niet nog een keer over te boeken op basis van dit soort mails.
04-05-2021, 21:09 door Anoniem
Door Anoniem:
Door Anoniem:
Goed dat je werkgever bewust is.
Maar of 'geval Brabantia' overkwam als spoedje overkwam weet ik niet . Het is op zich 'normaal' dat klanten of leveranciers wel eens van rekening of adres of domein wijzigen .
Per relatie is het zeldzaam, maar als je er een paar duizend relaties hebt krijg je er zeker wel een aantal per jaar die - volkomen valide en niet zomaar' wijzigen .

Je kunt ook een salarisbetalingen denken . Werknemers veranderen van rekening , hetzij overstap, of wat ingrijpender , echtscheiding . Per individu is dat zeldzaam, maar heb je een paar duizend werknemers krijg je dat soort mutaties langs.

Ja daarom heb je daar juist een procedure voor. Zodat je wel een rekening wijzigt als dat nodig is maar niet omdat een
boze ex die nog geld krijgt stiekem het eigen rekeningnummer naar de werkgever doorgeeft zodat daar het salaris heen
gaat. En idem dus voor leveranciers.
Wijzigingen zijn mogelijk maar moeten goed gecontroleerd worden via een ander kanaal.
Per mail of telefoon je bankrekening voor je salaris aanpassen dat gaat hier ook niet, dan moet je maar even bij de salarisadmininstratie langs gaan met je bankpasje ofzo.

Niet iedereen werkt bij het MKB op hetzelfde fysieke kantoor als de boekhouding - laat staan met alle angsthazen nu met corona .
KPN heeft werknemers in Groningen , de centrale afdelingen in Den Haag (of nu Rotterdam).

Waterdichte procedures zijn best moeilijk - en het onafhankelijk vinden van een tweede kanaal - zeker bij initialisatie van een nieuwe relatie - kan ook best een ding zijn.

Uit de uitspraak blijkt in elk geval dat Bol meer had moeten doen , en daarom de schade nu bij Bol ligt.
04-05-2021, 21:16 door Briolet
Door Anoniem: Het is op zich 'normaal' dat klanten of leveranciers wel eens van rekening of adres of domein wijzigen .
Per relatie is het zeldzaam, maar als je er een paar duizend relaties hebt krijg je er zeker wel een aantal per jaar die - volkomen valide en niet zomaar' wijzigen .

Ik denk dat het bij een paar honderd relaties ook al jaarlijks voorkomt. Ik kreeg deze week een banknummer wijziging van een leverancier waarbij dit al de 4e wijziging is in 10 jaar tijd. Het vorige nummer was nog zo recent veranderd dat op de laatste factuur nog de waarschuwing stond om op het gewijzigd bankrekeningnummer te letten. NB: dat ging dus nog over de vorige wijziging.

Hier ook als eerste aangekondigd per mail. Maar ook aangekondigd met een bijgesloten briefje bij de zending goederen. Ik heb echter ook elke week telefonisch contact zodat dit ook automatisch telefonisch geverifieerd gaat worden voordat er betaald wordt.

Door Anoniem: Het is echt niet zo dat bij miljoenencontracten niemand weet wie benaderd moet worden bij dit soort vreemde mails. En dat het inderdaad ook anders kan zal blijken uit de maatregelen die Bol.com nu gaat nemen om herhaling te voorkomen. Want geloof me, er komen extra maatregelen om deze bedragen niet nog een keer over te boeken op basis van dit soort mails.

Er zal vast een protocol voor dit soort gevallen opgesteld zijn. Bol.com is misschien een jong en onervaren bedrijf, maar het maakt onderdeel uit van het Ahold concern. Binnen het concern zullen dit soort zaken vast besproken worden. Ik kan me niet voorstellen dat ze bij AH een uitgewerkt protocol hebben en dat de andere firma's binnen Ahold er geen weet van hebben. Een protocol opstellen en een protocol strikt uitvoeren zijn echter twee verschillende zaken.
04-05-2021, 21:20 door Anoniem
Door Anoniem:
Door Anoniem:
Door Bitje-scheef: Bij ons wordt bij dit soort veranderingen gewoon gebeld/gecontroleerd of de brief c.q. email klopt.

Naar wie ?

Het had voor Bol zeker gescheeld als ze ook gebeld hadden, qua zorgvuldigheid . Maar het vinden een contactnummer uit onafhankelijke bron (dus niet uit de betwijfelde brief) kan al lastig zijn.

Bij brabantia zal _een_ nummer wel te vinden zijn , en dan moet je alleen vanaf het algemene nummer naar de juiste persoon op de boekhouding zien te komen.

Als je dat voor bedragen van driekwart miljoen niet kunt doen, dan heb je een groter probleem. Dan is je interne controle afwezig en zullen er nog vele tonnen richting oplichters volgen. Contractnummers dienen in het contract te staan, en dat doet Inkoop. De contracten zelf bevatten mailadressen, telefoonnummers, gegevens voor het volgen van escalatiepaden (en anders staan die wel in de SLA), je hebt bij dit soort grote klanten stellig een klantportaal waar je normaliter vragen in kwijt kunt, de

Huh ? BOL is geen klant bij Brabantia ! Een leverancier heeft niet zo vaak escalatiepaden of SLA's of contactportals bij z'n klant .

Hier is het probleem dat Brabantia - van een geldige email - (en waarschijnlijk met kennis van klant/contractnummers die ze zijn bij Bol, uit de Sent folder e.d.) iets wijzigt bij BOL.

Dan moet bol - onafhankelijk van die email en persoon - een contactkanaal met het echte brabantia vinden om dat valideren .
Een behoorlijke kans dat de afzender bij brabantia (de gehackte mail) in het contract staat als authorized contactpersoon.

Inderdaad - uiteindelijk zullen ze _iets_ moeten hebben, en de rechter is duidelijk dat ze meer hadden moeten controleren , vandaar dat de schade nu aan bol toegewezen is .


account manager heeft vast wel een telefoonnummer etc. Het is echt niet zo dat bij miljoenencontracten niemand weet wie benaderd moet worden bij dit soort vreemde mails. En dat het inderdaad ook anders kan zal blijken uit de maatregelen die Bol.com nu gaat nemen om herhaling te voorkomen. Want geloof me, er komen extra maatregelen om deze bedragen niet nog een keer over te boeken op basis van dit soort mails.

Er zal beslist wat stevige meetings bij bol geweest zijn, of komen hieromtrent .
05-05-2021, 08:20 door Bitje-scheef
Door Anoniem:
Door Bitje-scheef: Bij ons wordt bij dit soort veranderingen gewoon gebeld/gecontroleerd of de brief c.q. email klopt.

Naar wie ?

Het had voor Bol zeker gescheeld als ze ook gebeld hadden, qua zorgvuldigheid . Maar het vinden een contactnummer uit onafhankelijke bron (dus niet uit de betwijfelde brief) kan al lastig zijn.

Bij brabantia zal _een_ nummer wel te vinden zijn , en dan moet je alleen vanaf het algemene nummer naar de juiste persoon op de boekhouding zien te komen.

Ook dat is normaliter geen probleem, althans tot nu toe altijd gelukt. Met de juiste reden wordt je gewoon doorverbonden.
05-05-2021, 08:46 door Anoniem
Als ik geld verkeerd overmaak dan zal daarmee mijn betaling naar de werkelijke schuldeiser niet voldaan zijn

Indien jij een bedrijf hebt, ligt er dan ook verantwoording aan eigen kant, op gebied van beveiliging van je systemen, en het voorkomen van het hacken, van de email accounts van je financiele afdeling ? Bijvoorbeeld, door 2-factor authenticatie te implementeren, of andere zinnige maatregelen. Is er enkel aan de kant van Bol iets fout gegaan ?
05-05-2021, 10:34 door Anoniem
Door Anoniem:
Als je dat voor bedragen van driekwart miljoen niet kunt doen, dan heb je een groter probleem. Dan is je interne controle afwezig en zullen er nog vele tonnen richting oplichters volgen.
Wat je (en anderen) niet snapt is dat er geen bedrag staat in de actie die onterecht heeft plaatsgevonden.

Er wordt niet gevraagd "maak even 750.000 euro over op dit spaanse nummer". Nee, er wordt een melding gestuurd
"vanaf nu moeten betalingen naar dit spaanse nummer" en dan past iemand dat aan in "het systeem" en de volgende
keer dat er geld naar die partij moet (in dit geval toevallig 750.000 euro maar had net zo goed 5.000 kunnen zijn) dan
wordt dit overgemaakt op dat verkeerde nummer. Er is dus nergens een situatie "oh let even op want het gaat om
750.000 euro" geweest!
Het kan zelfs goed zijn dat er nooit 750.000 euro is overgemaakt, maar allerlei kleinere bedragen, en dat pas toen
Brabantia ging klagen dat Bol.com de rekeningen niet betaalde dit is uitgezocht en dat TOEN bleek dat er in totaal
al 750.000 euro naar de verkeerde rekening gegaan was.
05-05-2021, 10:36 door Anoniem
Door Anoniem:
Huh ? BOL is geen klant bij Brabantia !

Huh? Dat zijn ze WEL! Daar gaat dit hele verhaal over.
BOL koopt spullen bij Brabantia om die via hun eigen webwinkel aan consumenten te verkopen.
Ze zijn dus kennelijk (zakelijke) klant van Brabantia.
05-05-2021, 14:00 door Anoniem
Door Anoniem:
Door Anoniem:
Huh ? BOL is geen klant bij Brabantia !

Huh? Dat zijn ze WEL! Daar gaat dit hele verhaal over.
BOL koopt spullen bij Brabantia om die via hun eigen webwinkel aan consumenten te verkopen.
Ze zijn dus kennelijk (zakelijke) klant van Brabantia.
De laatste zin van de inleiding van het Telegraafartikel waar TS naar linkte:
Bol.com betaalde de oplichters 750.000 euro die eigenlijk bedoeld waren voor het bedrijf Brabantia, dat gebruikmaakt van het platform van Bol.com.
Brabantia maakt gebruik van het platform van bol.com. Dat doen ze niet als ze leverancier aan bol.com zijn, dat doen ze als ze het platform van bol.com gebruiken om zelf spullen te verkopen. Dat zal niet voor niets in dat artikel staan, dus daar gaat het hier kennelijk om.

Het is best mogelijk dat bol.com daarnaast zelf ook spullen van Brabantia verkoopt, en als dat zo is koopt het die vermoedelijk zelf bij Brabantia in. Het een sluit het ander niet per se uit, maar deze fraude lijkt wel te hebben plaatsgevonden in de context van Brabantia als verkoper die het handelsplatform van bol.com gebruikt.
05-05-2021, 15:36 door Briolet
Door Anoniem: …Brabantia maakt gebruik van het platform van bol.com. Dat doen ze niet als ze leverancier aan bol.com zijn, dat doen ze als ze het platform van bol.com gebruiken om zelf spullen te verkopen. Dat zal niet voor niets in dat artikel staan, dus daar gaat het hier kennelijk om.

Zo had ik het ook gelezen. Brabantia is de echte verkoper, maar je doet alle betalingen naar bol.com. Bol.com maakt het bedrag daarna over naar de platform gebruiker (minus hun commissie). Dat zal per week of maand zijn en niet per transactie.
05-05-2021, 15:52 door Anoniem
Door Briolet:
Door Anoniem: …Brabantia maakt gebruik van het platform van bol.com. Dat doen ze niet als ze leverancier aan bol.com zijn, dat doen ze als ze het platform van bol.com gebruiken om zelf spullen te verkopen. Dat zal niet voor niets in dat artikel staan, dus daar gaat het hier kennelijk om.

Zo had ik het ook gelezen. Brabantia is de echte verkoper, maar je doet alle betalingen naar bol.com. Bol.com maakt het bedrag daarna over naar de platform gebruiker (minus hun commissie). Dat zal per week of maand zijn en niet per transactie.

Nou of je dan Bol nog een klant noemt van Brabantia dat mag iedereen zelf uitmaken (ik noem iemand die illegale
copieen maakt ook gewoon een dief al zijn sommige pedante mensen het daar niet eens) maar waar het om gaat is dat
de actie "het rekeningnummer aanpassen" niet gekoppeld is aan de actie "geld overmaken". Als er inderdaad een keer
per week geld wordt overgemaakt kan het best 4-8 weken geduurd hebben voor dat duidelijk werd dat dit geld niet
aankwam door deze gemaakte fout, en dus kan het best dat er "maar" 100.000 per keer werd overgemaakt en dat
dan meerdere keren, allemaal naar het verkeerde nummer.
Dat maakt deze fraude dus heel anders dan de truukjes waarmee men soms in 1 keer veel geld probeert te laten
overmaken op een bepaald nummer, en waarbij zowel het afwijkende nummer als het rare hoge bedrag een red flag
zijn. De bekende vrijdagmiddag fraude waarin "de CFO" een mail of telefoontje stuurt naar "de boekhouding" met het
bericht dat er voor een of andere spectaire situatie nu snel geld moet worden overgemaakt.
05-05-2021, 16:10 door Anoniem
Door Briolet:
Door Anoniem: …Brabantia maakt gebruik van het platform van bol.com. Dat doen ze niet als ze leverancier aan bol.com zijn, dat doen ze als ze het platform van bol.com gebruiken om zelf spullen te verkopen. Dat zal niet voor niets in dat artikel staan, dus daar gaat het hier kennelijk om.

Zo had ik het ook gelezen. Brabantia is de echte verkoper, maar je doet alle betalingen naar bol.com. Bol.com maakt het bedrag daarna over naar de platform gebruiker (minus hun commissie). Dat zal per week of maand zijn en niet per transactie.

Of Brabantia of Bol.com de echte verkoper is, is afhankelijk van hoe de webshop en factuur in elkaar steekt.

Amazon heeft recentelijk een rechtzaak verloren waar Amazon zich uitgaf als bemiddelaar, maar Amazon toch als verkoper werd geduid.
Should Amazon, which accounts for roughly half of all online sales, be legally and financially responsible for the safety of products sold on the site, including those offered by third parties?

Amazon says no.

A trio of California Court of Appeal justices in Los Angeles last week said otherwise.
https://www.seattletimes.com/business/amazon/a-hoverboard-burst-into-flames-it-could-change-the-way-amazon-does-business-commentary/
03-06-2021, 13:45 door Anoniem
Voor zulke processen zijn dus beveiligde protocollen opgezet die dit voorkomen. Neem bijvoorbeeld facturatie via E-Invoicing via PEPPOL. Er zitten niet voor niets ook gewoon regels aan facturatie waar je aan moet voldoen.

https://www.emerce.nl/wire/lucom-benelux-sluit-meerdere-gemeenten-efacturatienetwerk-simplerinvoicing-peppol
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.