Middelburgse accountant steelt 6,1 miljoen euro via wachtwoord van collega
Een accountant uit Middelburg heeft met het wachtwoord van een collega over een periode van meerdere jaren in totaal 6,1 miljoen euro van zijn werkgever weten te stelen, zo liet de man vorige week in de rechtbank weten. De man was werkzaam voor industrieel dienstverlener Industrial Services in Vlissingen. Jarenlang wist hij geld van zijn werkgever naar zijn eigen rekeningen weg te sluizen.
Daarvoor had hij alleen het wachtwoord van een collega nodig. Vanwege de kosten van softwarelicenties gebruikten meer collega's de werkplek van deze collega. "Ze gebruikte oplopende nummeringen achter hetzelfde wachtwoord", stelde de verdachte in de rechtbank. Via de computer van zijn collega kon hij betalingen klaarzetten, die hij vervolgens zelf goedkeurde, zo meldt Omroep Zeeland. Nadat de man wegens een reorganisatie was ontslagen kwam de fraude aan het licht.
Het Amerikaanse Industrial Services had vorig jaar een omzet van bijna een miljard euro. Het bedrijf spande drie jaar geleden een civiele rechtszaak tegen de voormalige accountant aan, die het won. De rechter oordeelde toen dat de man al het gestolen geld moet terugbetalen. Het Openbaar Ministerie eiste vorige week een gevangenisstraf van vier jaar. De rechtbank doet over anderhalve week uitspraak.
Dat is misschien wat sterk gesteld.
Het heeft hier zeker geholpen dat het 'normaal' was om een werkplek van de collega te gebruiken (zo te lezen een soort van vier ogen principe - eentje zet de betaling klaar, tweede moet (ook) accorderen) .
Maar je hebt wel een heel strak authenticatie systeem - en gebruikscultuur - nodig om een zo nabije insider-threat te voorkomen.
Er zijn maar weinig mensen met een zodanige 'opsec' mindset dat ze een rechtstreekse, jarenlange collega die kwaadwillend is toch geen kans geven om hun systeem te 'lenen' - en dan is ook nog vereist dat het bedrijf de toegansprocedures (2FA) erg goed op orde heeft.
In een heel goede setup _kan_ het, maar de normale verdediging is toch vooral gericht op 'gelegenheidsmisbruikers', en een jarenlange afdelingsgenoot is een heel moeilijk threat model.
Nee, tikje beter lezen.
Zoals ik schreef (16:14) het lijkt erop dat ze wel een vier-ogen principe hadden.
Want hij stuurde de betaling vanaf de werkplek van collega, maar deed het goedkeuren ervan zelf .
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.