image

Gemeente Helmond via frauduleuze e-mail voor 93.000 euro opgelicht

maandag 25 november 2024, 17:17 door Redactie, 19 reacties

De gemeente Helmond is door middel van een frauduleuze e-mail aan de crediteurenadministratie voor 93.000 euro opgelicht, zo heeft burgemeester Potters aan de gemeenteraad laten weten. De frauduleuze e-mail leek van een bekende leverancier afkomstig en stelde dat er een nieuw rekeningnummer voor de meegestuurde vervalste factuur gebruikt moest worden.

"Middels een succesvolle phishing bij de leverancier heeft die onbekende partij vertrouwelijke factuur- en contractgegevens verkregen en een vervalste factuur geproduceerd met een betrouwbaar ogend uiterlijk", aldus de burgemeester. De malafide factuur werd op 18 september naar de gemeente gestuurd en op 20 september betaald, naar het door de fraudeurs opgegeven rekeningnummer.

"De crediteurenadministratie heeft dit verzoek ingewilligd zonder de extra stap van bevestiging via een ander kanaal", schrijft de burgemeester. Die stelt dat bij het controleren van het verzoek tot aanpassing van de bankgegevens de afgesproken werkwijze niet volledig is gevolgd. "Het afwijkende herkomstadres van de e-mail had tot nader onderzoek moeten leiden. En ook had het verzoek middels een ander kanaal (bijvoorbeeld telefonisch op de in de stamgegevens bekende contactgegevens) gecontroleerd moeten worden. Dat is niet gebeurd en in de reguliere vier-ogen stap niet gecorrigeerd."

Nadat een betaalherinnering binnenkwam werd de fraude ontdekt. De gemeente heeft inmiddels verschillende stappen genomen. Zo is er is contact opgenomen met de bank om te proberen het geld terug te krijgen. Dit proces is nog gaande. Daarnaast is er een veiligheidsonderzoek naar de betrokken systemen uitgevoerd en wordt er gekeken naar mogelijkheden tot het (gedeeltelijk) verhalen van de schade (pdf).

"Voor zover wij hebben kunnen achterhalen is er geen fout in onze systemen ontdekt, noch dat een onbekende toegang heeft gehad tot onze systemen", laat de burgemeester weten. "Zoals u weet zetten we in op informatieveiligheid, zowel in onze systemen als processen en werkwijzen. Oplettendheid is daar een belangrijk onderdeel bij. Helaas is deze poging, door een menselijke fout, toch geslaagd."

Reacties (19)
25-11-2024, 17:26 door Anoniem
De gemeente Helmond ontving op 15 november jl. een aanmaning van de daadwerkelijke leverancier, omdat de factuur nog steeds niet betaald was. Zo ontdekte de gemeente dat het geld naar een ander rekeningnummer was overgemaakt, oftewel naar de fraudeurs. De valse factuur was voorzien van een logo, contactgegevens en een nephandtekening.

https://nos.nl/artikel/2545915-gemeente-helmond-betaalt-valse-factuur-aan-oplichters-van-93-000-euro
25-11-2024, 17:44 door Anoniem
Een gemeente die 'n factuur binnen twee dagen betaalt...
25-11-2024, 18:34 door Anoniem
Gemeente Helmond via frauduleuze e-mail voor 93.000 euro opgelicht
Dit is het equivalent van een hoeveelheid geld (opgehaald bij belastingbetalers) waarvan bijna vijf alleenstaande bijstandsgerechtigden een jaar lang kunnen leven (brutobedragen van 2024).
25-11-2024, 21:08 door Anoniem
De frauduleuze e-mail leek van een bekende leverancier afkomstig en stelde dat er een nieuw rekeningnummer voor de meegestuurde vervalste factuur gebruikt moest worden.
"Middels een succesvolle phishing bij de leverancier heeft die onbekende partij vertrouwelijke factuur- en contractgegevens verkregen en een vervalste factuur geproduceerd met een betrouwbaar ogend uiterlijk", aldus de burgemeester.

Dit doet me denken aan dat recente akkerfietje van de in Nederland woonachtige Australier die hier een auto probeerde te kopen.
Hij kreeg een email (zogenaamd van de garage) om het geld naar een andere (Duitse) rekening te sturen.
En nu daagt hij de garage voor de rechter, om zijn geld terug te krijgen.

Ik zie een rechtzaak tussen de gemeente Helmond en de leverancier in de nabije toekomst :-)
Had de leverancier zijn data / systemen wel voldoende beveiligd?

Iemand moet de schade toch vergoeden ...
Of wordt dit afgewenteld op de gemeenschap?

/s
25-11-2024, 22:19 door Anoniem
Door Anoniem:
Ik zie een rechtzaak tussen de gemeente Helmond en de leverancier in de nabije toekomst :-)
Had de leverancier zijn data / systemen wel voldoende beveiligd?

Iemand moet de schade toch vergoeden ...
Of wordt dit afgewenteld op de gemeenschap?

Dat is niet eens zo'n slecht idee... Als het phishing was (dus vanaf een ander/vals emailadres) was het een ander verhaal, maar als de email daadwerkelijk van de leverancier afkomstig was...

Nog los van het feit dat de gemeente natuurlijk zelf ook enorm fout zat door zijn processen niet op de juiste manier te doorlopen, het beleid is ongetwijfeld dat bij rekeningaanpassingen er (telefonisch) contact opgenomen wordt met de afzender.

50/50 verdeling dus.
26-11-2024, 07:25 door Anoniem
Geachte Crediteurenadministrateurs:

Het is een bekende truc uit de onderwereld om met een veranderd rekeningnummer te werken.
Er zijn hierdoor veel bedrijven en instellingen met deze methode opgelicht.

REGEL.
1) Nooit geld overmaken naar een veranderd rekeningnummer.
2) Eerst de bekende leverancier bellen of die verandering wel klopt.
26-11-2024, 07:35 door Anoniem
Hoe is het mogelijk, dat een oplichterstruc die al zeker 30 jaar oud is nog steeds als valstrik gebruikt kan worden?
En dat team van de gemeente weet hier het bestaan er niet van?

Wat is hun opleidingsniveau eigenlijk?
26-11-2024, 08:14 door Anoniem
Door Anoniem:
De frauduleuze e-mail leek van een bekende leverancier afkomstig en stelde dat er een nieuw rekeningnummer voor de meegestuurde vervalste factuur gebruikt moest worden.
"Middels een succesvolle phishing bij de leverancier heeft die onbekende partij vertrouwelijke factuur- en contractgegevens verkregen en een vervalste factuur geproduceerd met een betrouwbaar ogend uiterlijk", aldus de burgemeester.

Dit doet me denken aan dat recente akkerfietje van de in Nederland woonachtige Australier die hier een auto probeerde te kopen.
Hij kreeg een email (zogenaamd van de garage) om het geld naar een andere (Duitse) rekening te sturen.
En nu daagt hij de garage voor de rechter, om zijn geld terug te krijgen.

Ik zie een rechtzaak tussen de gemeente Helmond en de leverancier in de nabije toekomst :-)
Had de leverancier zijn data / systemen wel voldoende beveiligd?

Bij die expat-auto-koper was de email 100% valide , qua afkomst. De leverancier was gehacked.

Helmond :

Die stelt dat bij het controleren van het verzoek tot aanpassing van de bankgegevens de afgesproken werkwijze niet volledig is gevolgd. "Het afwijkende herkomstadres van de e-mail had tot nader onderzoek moeten leiden.

Hier was de email (in principe) herkenbaar verdacht, en was alleen de layout /opstelling van de factuur gelekt.
Waar en hoe staat er niet bij.

Ik verwacht niet dat de "de layout van een echte factuur moet geheim blijven als teken van echtheid" een valide standpunt gaat worden.


Iemand moet de schade toch vergoeden ...
Of wordt dit afgewenteld op de gemeenschap?

/s

In principe de dader.
Maar verder is het de koper (die dan toevallig de Helmondse gemeenschap is) die geld verkeer gestuurd heeft, en die zal imo die schade moeten dragen.
Ik zie even niet waarom in deze situatie het leverende bedrijf zou moeten opdraaien voor de fout van (afwijkend adres, niet via ander kanaal verifieren) "de gemeenschap Helmond".
26-11-2024, 08:46 door ArjanB
De gemeente Helmond ontving op 15 november jl. een aanmaning van de daadwerkelijke leverancier, omdat de factuur nog steeds niet betaald was.
De originele factuur is niet aangekomen?
Fraudeurs waren dus op de hoogte dat er een factuur naar de gemeente onderweg was?
26-11-2024, 10:08 door Anoniem
"Voor zover wij hebben kunnen achterhalen is er geen fout in onze systemen ontdekt, noch dat een onbekende toegang heeft gehad tot onze systemen", laat de burgemeester weten. "Zoals u weet zetten we in op informatieveiligheid, zowel in onze systemen als processen en werkwijzen. Oplettendheid is daar een belangrijk onderdeel bij. Helaas is deze poging, door een menselijke fout, toch geslaagd."

Als je echt inzet op informatieveiligheid had je nu kunnen vertellen waar de factuur van afkomstig is als blijkt dat deze is nagemaakt en van een andere bron afkomstig is.

"Middels een succesvolle phishing bij de leverancier heeft die onbekende partij vertrouwelijke factuur- en contractgegevens verkregen en een vervalste factuur geproduceerd met een betrouwbaar ogend uiterlijk", aldus de burgemeester.

Hoe bepaal je dat er een succesvolle phising bij je leverancier is geweest en hoe komt het dat de originele factuur niet is ontvangen maar wel de vervalste want dan gaat het verder dan phising alleen.

Ik vind dit onderzoek niet echt uitblinken in het professioneel oppakken om de ware toedracht boven tafel te krijgen.
Wat ik ook heel graag zou willen weten is welke systemen er gebruikt worden, Office 365 bijv.?

Maar wat ik bovenal zo ontzettend dom vind is dat er nog steeds financiële afdelingen zijn die in valse facturen tuinen terwijl de aanduidingen tot falsificaties duidelijk aanwezig zijn en 1 daarvan is een ander bankrekeningnummer.

Zodra een bankrekeningnummer afwijkt moet je bellen met je leverancier en niet vertrouwen op de automatische verwerkingsprocessen in welke vorm dan ook.
26-11-2024, 10:29 door Anoniem
Door Anoniem: Dit doet me denken aan dat recente akkerfietje van de in Nederland woonachtige Australier die hier een auto probeerde te kopen.
Hij kreeg een email (zogenaamd van de garage) om het geld naar een andere (Duitse) rekening te sturen.
En nu daagt hij de garage voor de rechter, om zijn geld terug te krijgen.

Ik zie een rechtzaak tussen de gemeente Helmond en de leverancier in de nabije toekomst :-)
Je kan in het artikel lezen dat de e-mail een afwijkend herkomstadres had. Bij de Australiër was het herkomstadres niet alleen niet afwijkend, de e-mail was vanuit het e-mailsysteem dat de garage gebruikt verstuurd met het e-mailaccount van de garage, en het was zelfs geen losse e-mail maar onderdeel van een dialoog die vanuit dat e-mailaccount en die e-mailserver is gevoerd. Dat is een wezenlijk andere situatie.

Had de leverancier zijn data / systemen wel voldoende beveiligd?
Geen idee, maar er is een ander e-mailadres gebruikt, dus vermoedelijk zijn die systemen helemaal niet gebruikt.

Iemand moet de schade toch vergoeden ...
Het lukt niet altijd om de dader te pakken en ook niet altijd om het bedrag terug te krijgen. Als het spoor doodloopt bij een zwakbegaafde katvanger die het geld zelf allang niet meer heeft, werkelijk geen donder snapt wat van wat er gaande is en het zelf krap heeft, hoe hard wil je die dan aanpakken?
26-11-2024, 17:07 door Anoniem
Door ArjanB:
De gemeente Helmond ontving op 15 november jl. een aanmaning van de daadwerkelijke leverancier, omdat de factuur nog steeds niet betaald was.
De originele factuur is niet aangekomen?
Fraudeurs waren dus op de hoogte dat er een factuur naar de gemeente onderweg was?
Ik lees nergens dat de originele factuur niet is aangekomen.

- Bedrijf stuurt een factuur naar de gemeente. Gemeente betaalt deze niet direct.
- Fraudeurs sturen een vervalste aanmaning naar de gemeente. Gemeente betaalt deze wel.
- Bedrijf stuurt een legitieme aanmaning naar de gemeente. Gemeente denkt "verhip".

En ja, de fraudeurs wisten blijkbaar van de openstaande factuur naar de gemeente. Dan zijn de meest voor de hand liggende opties illegale toegang tot de systemen van de gemeente (ontkend door de gemeente), illegale toegang tot de systemen van het bedrijf (beweerd door de gemeente), of een malafide medewerker met legitieme toegang aan één van beide kanten.
26-11-2024, 18:03 door Anoniem
Door Anoniem:
Door Anoniem:
Ik zie een rechtzaak tussen de gemeente Helmond en de leverancier in de nabije toekomst :-)
Had de leverancier zijn data / systemen wel voldoende beveiligd?

Iemand moet de schade toch vergoeden ...
Of wordt dit afgewenteld op de gemeenschap?

Dat is niet eens zo'n slecht idee... Als het phishing was (dus vanaf een ander/vals emailadres) was het een ander verhaal, maar als de email daadwerkelijk van de leverancier afkomstig was...

Nog los van het feit dat de gemeente natuurlijk zelf ook enorm fout zat door zijn processen niet op de juiste manier te doorlopen, het beleid is ongetwijfeld dat bij rekeningaanpassingen er (telefonisch) contact opgenomen wordt met de afzender.

50/50 verdeling dus.

Klinkt redelijk.

Maar dat lijkt voor die Australier niet te hoeven. Die had ook via een ander communcatiekanaal (bv telefoon-nr op de originele offere) kunnen navragen of dat geld wel echt naar die andere Duitse bankrekening gestuurd moest worden. Heeft ie ook niet gedaan.
26-11-2024, 22:40 door Anoniem
Dit ruikt naar een inside job.
27-11-2024, 03:09 door Anoniem
Door Anoniem:
Door ArjanB:
De gemeente Helmond ontving op 15 november jl. een aanmaning van de daadwerkelijke leverancier, omdat de factuur nog steeds niet betaald was.
De originele factuur is niet aangekomen?
Fraudeurs waren dus op de hoogte dat er een factuur naar de gemeente onderweg was?
Ik lees nergens dat de originele factuur niet is aangekomen.

- Bedrijf stuurt een factuur naar de gemeente. Gemeente betaalt deze niet direct.
- Fraudeurs sturen een vervalste aanmaning naar de gemeente. Gemeente betaalt deze wel.
- Bedrijf stuurt een legitieme aanmaning naar de gemeente. Gemeente denkt "verhip".

Of andersom - de vervalste factuur werd eerst gestuurd, betaald, en de volgende originele terzijde gelegd als "duplicaat, hebben we al betaald".


En ja, de fraudeurs wisten blijkbaar van de openstaande factuur naar de gemeente. Dan zijn de meest voor de hand liggende opties illegale toegang tot de systemen van de gemeente (ontkend door de gemeente), illegale toegang tot de systemen van het bedrijf (beweerd door de gemeente), of een malafide medewerker met legitieme toegang aan één van beide kanten.

lezen . Het staat er, dan hoef je niet te speculeren !
"Middels een succesvolle phishing bij de leverancier heeft die onbekende partij vertrouwelijke factuur- en contractgegevens verkregen en een vervalste factuur geproduceerd met een betrouwbaar ogend uiterlijk", aldus de burgemeester.

Dat is niet geweldig, maar uiteindelijk hoort veiligheid niet af te hangen van een "geheime" layout van factuur en opdrachtnummers e.d.

"Toegang" hoeft niet eens - als er ge-phished met iets als "Met Jan van gemeente Helmond, kun je even de aanstaande factuur doorsturen dan kan ik die voorbereiden in het systeem" , is er niet direct 'toegang' tot de leverancier, maar wel een bruikbare sample verkregen.
27-11-2024, 15:53 door Anoniem
stinkt naar een inside job.
27-11-2024, 17:11 door Anoniem
Door Anoniem:
Of andersom - de vervalste factuur werd eerst gestuurd, betaald, en de volgende originele terzijde gelegd als "duplicaat, hebben we al betaald".
Volgens het artikel ging het om een aanmaning die de gemeente heeft betaald, op basis van een vervalste factuur. Dat zou betekenen dat die factuur al bestond en waarschijnlijk ook al was verzonden.
lezen . Het staat er, dan hoef je niet te speculeren !
Ik noemde slechts de mogelijke opties, en zei in die quote letterlijk al dat de tweede optie degene was die door de gemeente werd gesteld. Over lezen gesproken.

Voor wat betreft toegang is jouw phishing-uitleg mogelijk, maar dit vereist wel dat iemand al op de hoogte was van de overeenkomst tussen leverancier en gemeente om specifiek die factuur op te kunnen vragen. Dan is er eigenlijk al meer sprake van social engineering dan phishing; je komt dan ook al snel alsnog bij de derde optie van een malafide medewerker uit.

De kans is groter dat iemand bij die leverancier in een van de vele standaard phishing-mails is getrapt, en men met zijn of haar wachtwoord toegang heeft gekregen tot een mailbox of ander systeem, en daar één of meerdere openstaande facturen heeft aangetroffen, waarna er vervalste aanmaningen zijn verstuurd. Een redelijk simpele, maar effectieve methode, waar je verder geen enkele 'inside information' voor nodig hebt.

Dat is niet geweldig, maar uiteindelijk hoort veiligheid niet af te hangen van een "geheime" layout van factuur en opdrachtnummers e.d.
Dat klopt natuurlijk helemaal en de correcte procedures om dit te voorkomen zijn hier simpelweg niet gevolgd door de gemeente.
28-11-2024, 16:11 door Anoniem
Door Anoniem:
Door Anoniem:
Of andersom - de vervalste factuur werd eerst gestuurd, betaald, en de volgende originele terzijde gelegd als "duplicaat, hebben we al betaald".
Volgens het artikel ging het om een aanmaning die de gemeente heeft betaald, op basis van een vervalste factuur. Dat zou betekenen dat die factuur al bestond en waarschijnlijk ook al was verzonden.

Je kunt echt niet lezen !

De gemeente kreeg een echte aanmaning van de echte leverancier omdat die niet betaald was.
Maar de valse factuur al wel.
De aanmaning was (pas) de aanleiding voor de gemeente om de boel te onderzoeken.
Nadat een betaalherinnering binnenkwam werd de fraude ontdekt.

Dus : valse factuur werd (zonder aanmaning) betaald.
Leverancier stuurt aanmaning (naar ik aanneem na ook een valide factuur gestuurd te hebben die niet betaald werd) - en dan wordt de gemeente pas wakker.


lezen . Het staat er, dan hoef je niet te speculeren !
Ik noemde slechts de mogelijke opties, en zei in die quote letterlijk al dat de tweede optie degene was die door de gemeente werd gesteld. Over lezen gesproken.

Inderdaad, dat lukt je telkens maar half.
Als er nou precies staat hoe de dader aan een exemplaar factuur kwam , waarom ga je dan uberhaupt zitten speculeren ?
En neem je niet eens de manier mee waarop het ging .
Dan heb je gewoon echt niet gelezen.


Voor wat betreft toegang is jouw phishing-uitleg mogelijk, maar dit vereist wel dat iemand al op de hoogte was van de overeenkomst tussen leverancier en gemeente om specifiek die factuur op te kunnen vragen. Dan is er eigenlijk al meer sprake van social engineering dan phishing; je komt dan ook al snel alsnog bij de derde optie van een malafide medewerker uit.

Dat is echt niet zo nodig . Veel bedrijven vermelden met trots met wie ze allemaal zaken doen op hun website.
Als je bekend bent in een gemeente kun je (deels) zien wie het werk doet .
Als een rotonde op de schop gaat en er staan busjes van de aannemingsbedrijf K de Vries & zonen, nou, met wie zou de gemeente nou zaken doen ?
Voor wat groter werk staan dingen meen ik ook in de raadsstukken.



De kans is groter dat iemand bij die leverancier in een van de vele standaard phishing-mails is getrapt, en men met zijn of haar wachtwoord toegang heeft gekregen tot een mailbox of ander systeem, en daar één of meerdere openstaande facturen heeft aangetroffen, waarna er vervalste aanmaningen zijn verstuurd. Een redelijk simpele, maar effectieve methode, waar je verder geen enkele 'inside information' voor nodig hebt.

Dat is niet gedragen door de beschikbare informatie - dat er (ook) gehacked is dmv phishing.
Wat er ook tegen pleit is het feit dat de vervalse factuur met een ander afzend adres gestuurd werd.

Als men werkelijk toegang gehad had tot systemen van de leverancier om gereedstaande facturen als voorbeeld te hebben, ligt het erg voor de hand om de vervalste factuur dan vanaf daar te sturen, zodat alle technische controles (afzender etc ) kloppen.
Waarom acht je nou de kans _groter_ dat er ingebroken is in de mailsystemen van de leverancier terwijl er dan de vervalsing met een herkenbaar ander afzendadres gestuurd is , in plaats van meteen die inbraak door ook voor te gebruiken ?
Juist omdat een ander afzender adres gebruikt (moest ) worden denk ik dat de "phishing" beperkt was tot het (laten) sturen van een toekomstige factuur.



Dat is niet geweldig, maar uiteindelijk hoort veiligheid niet af te hangen van een "geheime" layout van factuur en opdrachtnummers e.d.
Dat klopt natuurlijk helemaal en de correcte procedures om dit te voorkomen zijn hier simpelweg niet gevolgd door de gemeente.
28-11-2024, 20:35 door Anoniem
Door Anoniem:
Je kunt echt niet lezen.
Je hebt gedeeltelijk gelijk. Het artikel op nu.nl over dit onderwerp – dat ik eerst heb gelezen – stelt wel degelijk expliciet dat het om een vervalste aanmaning op een niet-betaalde factuur ging die werd ontvangen en betaald door de gemeente. De kop van dat artikel luidt zelfs "Gemeente Helmond trapt in nepaanmaning en is bijna ton kwijt".

Het artikel op security.nl en ook de originele brief van de gemeente Helmond zeggen dit inderdaad niet op deze wijze. Ik ging in mijn antwoord dus van deze wellicht onjuiste informatie uit.

Overigens heb ik in mijn originele antwoord niet gespeculeerd over wat er gebeurd is, enkel aangegeven wat de meest voor de hand liggende mogelijkheden waren, waarbij ik al expliciet aangaf welke daarvan door de gemeente Helmond ontkend, danwel gesteld werden. Dat is dus geen speculatie. Hoe de phishing-actie precies is uitgevoerd, is dat wel en is inderdaad weinig zinvol.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.