Dit is technisch een stuk geavanceerder dan een appje waarin zogenaamd je dochter je om geld vraagt, maar in essentie is het dezelfde truc en wat je moet doen om er niet in te trappen is ook hetzelfde: neem zelf contact op met de ander en laat je niet overtuigen door contact dat door de ander is geïnitieerd, hoe echt dat ook lijkt.

En is nog maar het begin.
Het gaat nog veel leuker worden allemaal.

AitM.
Dat kan met internet.

Net een film scenario.

En daar begint het, je kan online video vergaderen niet meer vertrouwen.
Face2Face gaat dus waarschijnlijk weer belangrijker worden...

Paar opmerkingen na het lezen van SCMP artikel :

Het lijkt erop dat de enkele employee die gescammed werd (ook) de transacties deed.
(of een vier ogen principe werd niet genoemd omdat het andere paar ogen zich door de eerste liet overtuigen).

na een week deed de employee navraag op het hoofdkantoor en kwam de zaak uit.

Niet (heel) interactief :



Niet genoemd of de followup video sessies ook deepfake waren, of dat een echte persoon als 'assistent van de CFO' acteerde om de details van de overboeking te regelen. Dat laatste lijkt me zeker mogelijk - normaal wordt de uitvoerende afstemming geregeld met een assitent/medewerker van de baas die opdracht gaf.

Blijkbaar is de techniek nog niet heel geschikt voor live interactie:


In de context Wong de boekhouder die Mr Big Lee de CFO opdrachten moet geven misschien niet makkelijk

Dus het komt er op neer dat we( vooral bedrijven) zaken via direct fysiek contact moeten gaan oplossen.
Dus de z.g.n. “ vooruitgang “ d.m.v. alle zal achteruitgang blijken te zijn.
Mits men het toegeeft en niet op dezelfde weg doorgaat.
Want dat deepfake zich nog “ beter” ontwikkeld staat buiten kijf.

Elk voordeel hep zijn nadeel!!

Je gaat er nu vanuit je een betrouwbare manier hebt om dat contact te initieren met de juiste persoon, en dat die sessie ook niet onderschept kan worden door de aanvaller.

Verder ga je er ietwat impliciet vanuit dat je die juiste persoon uberhaupt goed kunt herkennen/identificeren.
Voor de simpele ouder-kind scams zal dat wel .
Hoe goed kun jij zelf een persoon 1 (management) laag boven je directe chef herkennen , bijvoorbeeld ?

Voor welke contact-manieren en endpoints vind je die aanname realistisch ?

Het venijn zit bij grote corporate organisaties wel dat je vaak niet direct contact op kan nemen met iemand directieniveau, zonder je eerst langs een berg managementassistenten en procedures te moeten wurmen. Daarnaast heerst in oost Azië een dusdanig hiërarchische organisatiecultuur dat iedere opdracht van iemand boven jouw eigen manager net zo goed een opdracht van god in hoogsteigen persoon had kunnen zijn. Hierdoor wordt het voor een handige aanvaller relatief makkelijk om het slachtoffer compleet te overrompelen.

ATM, en dan op zijn internets

Plus, niet te vergeten, AI


Artificial Intelligence die, in tegenstelling tot het internet, per dag "intelligenter" wordt - waardoor ook de risico's (waaronder niet van echt te onderscheiden impersonatie) ervan rap toenemen.

AI maakt bijvoorbeeld ook het vervalsen van digitale kopiën van identiteitsbewijzen steeds eenvoudiger (zie ook: "Kopie-ID: kap ermee!" in https://security.nl/posting/827137). Zelfs als je zo'n kopie-ID koppelt aan een selfie of VideoIdent. Uiteindelijk zijn dat allemaal pixels, bestaande uit (meestal ondetecteerbaar manipuleerbare) bits. Ik vind het ongelofelijk naïef en onverantwoordelijk om op dat soort "remote authentication" technieken (waar aantoonbaar eenvoudig mee kan worden gefraudeerd) te blijven vertrouwen.

Het primaire doel van authenticatie is het voorkómen van impersonatie. We moeten ons gedrag blijven aanpassen aan de ontwikkelingen.

Lang leve e-mail, dat onbetrouwbare communicatiemiddel!
(Maar niemand weet het.)

Wat bedoel je daarmee precies bij een artikel over een fake VIDEO CONFERENTIE ?

Als iemand je opdrachten kan geven om aardig astronomische bedragen over te maken dan is het wel zo handig om meerdere communicatiekanalen naar die persoon te hebben waarlangs je inderdaad kan verifiëren of de opdracht klopt. En elektronische handtekeningen die je kan verifiëren doen ook geen kwaad. Het moet niet van zoiets als een videoconferentie afhangen. En ook liever niet van uitsluitend persoonlijk contact, het is wel zo handig als de ontvanger van de opdracht kan laten zien dat die inderdaad een zeer geloofwaardige en liefst aantoonbaar echte opdracht heeft ontvangen. De hele organisatie heeft er baat bij om dat goed te organiseren, even aangenomen dat ze niet aan het sjoemelen zijn en dingen te verbergen hebben.

Als de betrouwbare manier om het contact te initiëren er niet is dan beschikt de organisatie niet over manieren waarop opdrachten om tientallen miljoenen euro's over te boeken kunnen worden uitgezet in de organisatie.

Het is natuurlijk wel erg dom van het bedrijf om bij dit soort bedragen geen extra beveiliging er op los te laten, zoals meerdere opdrachten via verschillende kanalen of codewoorden af te spreken.

Niet om irritant te doen, maar bij hoeveel is het veilig?

Dat klinkt allemaal nogal vrijblijvend. Ook hierbij is het probleem dat de meeste mensen eenvoudig te foppen zijn (ik stuur je zo mijn public key via de mail).

Eens.

Als je die persoon kent en zeker weet dat die persoon geautoriseerd is om jou de opdracht te geven, lijkt mij dat de waarschijnlijk veiligst denkbare methode. Maar ook hierbij is sprake van "ketens": wie heeft jou die persoon voorgesteld en hoe weet je zeker dat zij/hij geen oplichter is?

Oplichters profiteren ervan dat de meeste organisaties geen duidelijke protocollen hebben. Maar dat soort protocollen "waterdicht" maken is veel minder eenvoudig dan je op het eerste gezicht zou kunnen denken. En op het moment dat er een protocol bestaat en oplichters daar weet van krijgen, moet het een waterdicht protocol zijn om te voorkómen dat de oplichters misbruik maken van zwaktes of gaten daarin.

Essentieel is het bewustzijn (awareness) van medewerkers welke aanvalstechnieken mogelijk zijn, waaronder roepen dat er snel moet worden overgemaakt omdat het bedrijf anders een belangrijke opdracht o.i.d. misloopt en jij daar dan verantwoordelijk voor gehouden zult worden. Hoe groter de bedragen, hoe geavanceerder de aanvallen kunnen en vaak zullen zijn. Dat medewerkers vervolgens onvoorspelbaar handelen (omdat een protocol ontbreekt), zou wel eens in het nadeel van de aanvallers kunnen zijn - maar dat is dan wel een vorm van Russisch roulette spelen.

Belangrijk is, denk ik, zekerheid voor medewerkers in het geval van oplichting, bijvoorbeeld:

• Als er geen sprake is van tijdsdruk moet je, afhankelijk van de grootte van het bedrag, zus en zo gecheckt hebben om geen laksheid verweten te worden;

• Als er wel sprake is van tijdsdruk en jou geen tijd gegund wordt om fatsoenlijke checks uit te voeren, zal niemand het jou verwijten als je besluit om géén geld over te maken.

Met dat laatste punt verplaats je het (veel te grote) risico van de medewerker naar diens werkgever. Dat vereist lef van organisaties en kan tot verliezen leiden; dat moet je als organisatie afwegen tegen mogelijke verliezen aan oplichting. In elk geval vind ik het niet fair om in zo'n situatie de schuld bij de medewerker te leggen; als organisatie heb je daar de omstandigheden voor gecreëerd (ook als je niets doet).

M.b.t. verschillende kanalen: zie mijn vorige reactie. M.b.t. codewoorden: die zijn zinloos bij AitM (Attacker in the Middle) aanvallen.

Je ontkomt denk ik niet aan digitale handtekeningen, maar dat vereist een complexe infrastructuur en perfect getrainde medewerkers (die zich niet laten foppen met social engineering).

De grootste fout zou wel eens kunnen zijn te denken dat er simpele oplossingen bestaan die geavanceerde oplichting voorkómen.

Automatisering was onder andere bedoeld om analoge fraude met de vervalste handtekening tegen te gaan. Handtekening + een digitale registratie, bijvoorbeeld een sofinummer was zogenaamd fraudebestendiger: Two factor authentification. Waar al die inspanningen toe hebben geleid.

Inderdaad,
That's all....