In een oude sok

in een oude sok
Vorige maand schreef ik over social engineering. Uit de reacties werd duidelijk dat daar verschillende definities voor zijn. Er zijn tegenwoordig duizenden manieren waarop fraude wordt gepleegd op internet en soms moet je alles een beetje groeperen om het overzicht te behouden. Bij andere vormen van social enineering kan het namelijk zo zijn dat het slachtoffer persoonlijk wordt benaderd met een verhaal waarbij angst wordt aangepraat of medelijden gewekt waardoor het slachtoffer vrijwillig of soms gedwongen meewerkt.

Deze week las ik een artikel dat CEO-fraude hand over hand toeneemt. Zelfs ik had geen idee hoe makkelijk het blijkbaar is je voor te doen als de CEO van een groot bedrijf en vervolgens aan de administratie- of boekhouding opdracht te geven om heel veel geld over te maken naar een bepaalde rekening. Het is geen kleine fraudevorm. In Amerika gaat er meer dan een miljard per jaar in om. In Frankrijk gaat het om ongeveer 100 miljoen per jaar verdeeld over slechts 300 gevallen per jaar. Het gemiddelde fraudebedrag is dus erg hoog.

In Frankrijk is dit een veel voorkomende vorm van fraude. Door de sociale afstand tussen de medewerker en de CEO durft men niet te controleren of alles wel klopt. Daar wordt listig gebruik van gemaakt. Vaak is er ook nog een geografische afstand. Een dochterbedrijf wordt gemaild, gebeld, gefaxt door de zogenaamde grote baas van het moederconcern.

FBI
Ook in Nederland gebeurt dit. Zelf hebben wij eerder dit jaar onderzoek gedaan naar een offshore fraudegeval. Een Chinese leverancier van een Nederlands concern mailde vlak voor het Chinees Nieuwjaar of de Nederlanders even snel alle openstaande facturen wilde overmaken, zodat ze bij het Nieuwjaar bonussen konden uitdelen. En als ze dat naar een offshore-rekening in Polen wilde overmaken dan kon het met een procent of wat korting. Het Nederlandse bedrijf maakte graag gebruik van deze aanbieding en maakte het geld direct over. Het ging om ongeveer 120.000 euro. Toen ze het een dag later doorhadden, was het geld al verdwenen. Tijdens het onderzoek bleek dat ook de FBI met deze fraudezaken bezig is. Zij hebben het onderzoek dan ook overgenomen.

Bij deze zaak was voor alle communicatie gebruik gemaakt van e-mail. Heel veel mensen gaan uit van de betrouwbaarheid van de afzender van e-mails en checken deze dus niet. Het transport van e-mail gebeurt met een systeem uit 1982! Toen had men nog geen idee van internet of hoe groot het zou worden. Er zijn dus geen veiligheidssystemen ingebouwd om de afzender te controleren. Daarom hebben we ook zo veel last van spam. Er zijn wel wat extra uitbreidingen op het systeem ontwikkeld die verbetering moeten brengen hierin, maar die zijn optioneel en worden niet breed ondersteund.

Even nabellen
Al deze vormen van fraude zijn heel eenvoudig te voorkomen door alles wat afwijkt van de standaard gewoon te controleren. Geen enkele baas zal je ontslaan omdat je een ongebruikelijke transactie van € 100.000 nog even nabelt. Dan moet je dus inderdaad gewoon even nabellen en niet mailen, want dat is dus niet veilig genoeg.

Wereldwijd zijn banken bezig met een uitgebreide rollback functionaliteit in hun systemen te bouwen. Dan worden alle transacties die volgden op een valse overboeking in één keer ongedaan gemaakt. En degene die met de schade blijft zitten, is de eerste in de keten die dat systeem niet ondersteunt, dus zal er uiteindelijk een brede ondersteuning komen. Helaas moeten ook alle banken uit corrupte landen daaraan meewerken. Dat zal nog een probleem worden. Het lost wel in één keer deze fraudemogelijkheid op, want waar je het geld ook parkeert, je bent het kwijt. Tenzij je het echt cash hebt opgenomen en in je matras hebt gestopt. Had je oma toch gelijk dat dat de veiligste plek voor je geld is… Juist ja!

No comments yet.

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.