Criminelen zijn erin geslaagd om door middel van een phishingaanval ruim 23 miljoen dollar van het Amerikaanse ministerie van Defensie te stelen. Een verdachte in deze zaak is vorige week schuldig bevonden en kan worden veroordeeld tot een gevangenisstraf van tientallen jaren.

Bedrijven die met het Pentagon zaken doen moeten in de "System for Award Management" (SAM)-database staan. Via de website login.gov kunnen leveranciers op de database inloggen en hun gegevens wijzigen. De criminelen registreerden een domeinnaam die op die van het Defense Logistics Agency (DLA) leek. Vervolgens verstuurden ze naar leveranciers phishingmails die van de overheidsinstantie afkomstig leken met een link die naar een phishingsite wees.

Deze phishingsite leek op de website login.gov. Met gegevens die slachtoffers op deze website invulden konden de criminelen inloggen op de SAM-database. Een medewerker van een bedrijf dat vliegtuigbrandstof aan het Amerikaanse leger levert trapte in de phishingmail en vulde zijn gegevens in. De criminelen gebruikten deze gegevens om op de SAM-database in te loggen en gegevens te wijzigen, zodat geld voor de defensieleverancier naar een andere rekening werd overgemaakt. Het Pentagon maakte uiteindelijk 23,5 miljoen dollar naar de criminelen over.

Een veertigjarige Amerikaan bekende vorig jaar schuld in deze zaak en is vorige week schuldig bevonden en veroordeeld voor zes aanklachten. Op vijf van deze aanklachten staat elk een gevangenisstraf van maximaal dertig jaar. Voor de zesde aanklacht kan de Amerikaan een celstraf van maximaal tien jaar krijgen. De rechter maakt de strafmaat op 21 juni bekend (pdf).