Een oplichter is er via social engineering in geslaagd om van de Amerikaanse stad Baltimore 1,5 miljoen dollar te stelen. De diefstal deed zich begin dit jaar voor, zo laat de rekenkamer van de stad in een onderzoek weten (pdf). Baltimore maakt gebruik van Workday als platform voor aanbestedingen en leveranciers. Via Workday kunnen leveranciers facturen maken en bekijken, betalingen inzien, reageren op verzoeken voor offertes en informatie zoals contactgegevens, adresgegevens en bankrekeningen beheren.

Leveranciers kunnen via Workday ook een contactformulier invullen om contacten binnen Workday te wijzigen of verwijderen. Verschillende afdelingen binnen de stad moeten deze aanpassingen goedkeuren. Eind vorig jaar vulde een oplichter het contactformulier van een niet nader genoemde leverancier in. Daarin werd de naam van een bestaande medewerker bij de leverancier gegeven. Deze persoon was echter geen financieel medewerker bij de leverancier. Daarnaast gebruikte de oplichter een e-mailadres dat niet van de leverancier was.

Desondanks werd het verzoek toch goedgekeurd door een medewerker van de stad en de oplichter toegevoegd aan de Workday-omgeving van de leverancier. De medewerker nam geen contact op met de betreffende leverancier om het aanpassingsverzoek te verifiëren. Niet veel later deed de oplichter meerdere verzoeken om de bankrekening van de leverancier binnen Workday aan te passen. De aanpassingen werden door twee medewerkers goedgekeurd. In februari en maart van dit jaar maakte de stad respectievelijk 800.000 en 721.000 dollar over naar de nieuw ingestelde rekening.

De stad ontdekte de fraude nadat de bank van de ontvanger wegens verdachte activiteit een waarschuwing had gegeven. Het bedrag van 721.000 dollar kon uiteindelijk worden teruggehaald, de 800.000 dollar niet. De rekenkamer van Baltimore deed onderzoek naar het incident en ontdekte dat er een gebrek was aan intern beleid en procedures met betrekking tot de verificatie van leveranciers. Bij een soortgelijk incident in 2022 maakte de stad 62.000 dollar over naar de rekening van een oplichter. Toen had de rekenkamer verschillende aanbevelingen gedaan, maar die waren niet opgevolgd. De stad heeft aangegeven dat het nieuwe maatregelen gaat invoeren om soortgelijke incidenten in de toekomst te voorkomen.