Dieven stelen tientallen miljoenen bij netwerkfabrikant via social engineering

Kwaadwillenden hebben in juni bijna 47 miljoen dollar, zo'n 43 miljoen euro, buitgemaakt bij netwerkfabrikant Ubiquiti Networks. Ze wisten het immense bedrag buit te maken via social engineering, waarbij werknemers worden verleid om interne informatie prijs te geven.

De criminelen deden zich voor als medewerkers van de financiële afdeling. Door middel van frauduleuze aanvragen wisten ze 46,7 miljoen dollar over te boeken naar verschillende rekeningen van diverse partijen. Dat meldt de Amerikaanse toezichthouder Securities and Exchange Commission, zonder meer details te geven.

Toen een dochterbedrijf van Ubiquiti Networks in Hongkong lucht kreeg van de forse overboekingen, nam het contact op met de nationale bank. Die wist 8,1 miljoen dollar terug te halen. Daarnaast verwacht Ubiquiti Networks op korte termijn nog eens 6,8 miljoen dollar terug te krijgen door middel van een juridische procedure. De andere 31,8 miljoen blijft voorlopig spoorloos, maar Amerikaanse en buitenlandse opsporingsdiensten proberen het geld terug te vinden.

Social engineering, waarbij er wordt gezocht naar een fout in het menselijke functioneren, is één van de manieren hoe kwaadwillenden gevoelige informatie of geld kunnen buitmaken. Enkele jaren geleden bleek op beveiligingsconferentie DefCon al dat grote Amerikaanse bedrijven vatbaar zijn voor zulke aanvallen. Oracle bleek bij een test slecht te presteren, evenals Symantec, IBM, Dell en Apple.

In 2012 bleek dat enkele techbedrijven om de tuin werden geleid bij diverse social engineering-aanvallen. Daarbij werden de accounts van een journalist gekraakt en werden al zijn data gewist. Onder meer Apple en Amazon tuinden in de social engineering. Amazon gaf vlak daarna, als reactie op de kraak, aan niet langer accountgegevens te zullen veranderen van gebruikers die daar telefonisch om vragen.

Door Yoeri Nijs

Nieuwsposter

Feedback • 07-08-2015 20:50
37 • submitter: StM

07-08-2015 • 20:50

37 Linkedin

Submitter: StM

Lees meer

Beveiligingsbedrijf vindt command injection-lek in Ubiquiti-netwerkapparatuur Nieuws van 17 maart 2017
Symantec ontdekt 'goedaardige' malware Nieuws van 2 oktober 2015
Symantec breidt uit naar beveiliging van embedded systemen Nieuws van 26 augustus 2015
Lek in 4g-modem maakte Windows-laptops kwetsbaar voor niet-verwijderbare malware Nieuws van 10 augustus 2015
Amazon past privacybeleid aan na social-engineeringaanval Nieuws van 8 augustus 2012
Ook Amazon faalde bij social engineering-aanval Nieuws van 7 augustus 2012
Grote Amerikaanse bedrijven vatbaar voor social engineering Nieuws van 1 november 2011
Meer producten en artikelen
Politiek en recht

Reacties (37)

-Moderatie-faq
37
36
25
1
0
0
Wijzig sortering
r_bleumer
7 augustus 2015 21:13
Vraag me af of ze dit te boven komen, zo'n grote partij zijn ze volgens mij nou ook weer niet. Jammer, want ze maken leuk spul voor een leuke prijs.
Tribits
@r_bleumer7 augustus 2015 21:27
Ik zat net even te kijken naar de totale waarde van het bedrijf (market cap). Die zit rond de 2,8 miljard. Hoewel dat cijfer niets over de staat/gezondheid van het bedrijf zegt neem ik aan dat een bedrijf met een dergelijke omvang de schade van deze fraude wel op kan vangen.

Wat ik me na het lezen van het artikel afvraag is of de SEC nog verder onderzoek gaat doen naar deze fraude. Beursgenoteerde bedrijven hebben toch wel bepaalde verplichtingen tegenover aandeelhouders en ik heb nu niet bepaald het idee dat Ubiquity hier aan zijn verplichtingen voldaan heeft met betrekking tot zorgvuldig werken. Een en ander los van het strafrechtelijk onderzoek naar de fraudeurs, dat ongetwijfeld ook plaats zal vinden.
PuzzleSolver
@Tribits7 augustus 2015 22:16
Het schijnt best wel veel voor te komen volgens dit artikel

http://www.csoonline.com/...l-engineering-attack.html
Ubiquiti are not the first company to fall victim to such an attack. These type of attacks have become so common that in January of this year the FBI issued a warning to businesses to be aware of these attacks. In its warning the FBI state that there were 2126 victims of this type of fraud in 2013, with 1198 being in the United States, with losses totalling up to $214,972,503.
Het probleem is voornamelijk dat bedrijven teveel vertrouwen stellen in e-mail. Deze oplichters proberen eerst alles te vinden over je bedrijfsstructuur en misbruiken vervolgens de hiërarchie in de organisatie om druk uit te oefenen op personeel. Ook worden relaties met andere bedrijven misbruikt op dezelfde manier.

Zoals de FBI ook al aangeeft in dat artikel, gebruik niet de Reply knop maar gebruik Forward en type het e-mail adres van de persoon en vraag om bevestiging. (Laatst genoemd in dat artikel maar die lijkt mij nog het belangrijkst).
mrkazoodle
@PuzzleSolver8 augustus 2015 13:42
What do we need? E-mail certification!
When do we need it? 1994!
Powermage
@r_bleumer8 augustus 2015 10:58
Als ik t even snel lees hebben ze ondanks die fraude in dit kwartaal nog winst gemaakt, dus ja, het doet pijn, maar omvallen zal niet gebeuren.
ikt
7 augustus 2015 21:27
Dit heeft nogal weinig met technologie te maken buiten het feit dat het een technologiebedrijf betreft. Voor hetzelfde geld kan hetzelfde gebeuren met boer Jansen die de locatie van zijn kluissleutel prijs geeft.

Natuurlijk moeten bedrijven letten op wat hun medewerkers allemaal uitspoken qua bedrijf, maar helemaal foolproof kan het nooit worden. Dit is net zo min opmerkelijk als iemand die een flash drive achterlaat in de trein.
Wild Chocolate
@ikt7 augustus 2015 21:44
Social engineering niets met technologie te maken? Is denk ik de meest voorkomende vorm van cybercriminaliteit.

Het is natuurlijk juist wel frappant dat dit een technologie bedrijf overkomt. Je mag toch verwachten dat men daar beter op de hoogte is van dergelijke trucs, dan bij niet-technologie bedrijven. De medewerkers zullen tenminste enige affiniteit met technologie hebben.
Bovendien verwacht je dat de mensen met de bevoegdheid om bedragen >10.000 over te maken, niet de domste zijn... (ik ga er voor het gemak even vanuit dat die 47 miljoen niet allemaal voor facturen van een tientje zijn overgemaakt (met zo'n hoeveelheid facturen moeten er ook alarmbellen gaan rinkelen).

Kortom het heeft voor mij zeker nieuwswaarde.
rob12424
@Wild Chocolate8 augustus 2015 00:24
Het heeft alles met techniek te meken voornamelijk omdat het datamining met psychologisch inzicht is. Ga bijvoorbeeld Linkedin af zoek de juiste personen koppel dat aan FB programeer hier een goeie Crawler voor. En mensen weten meer dan je lief is. Daarnaast bij vooral grote bedrijven zo dat bedragen tot een bepaald bedrag standaard niet bij de chef om toestemming gevraagd hoeft te worden. En dan zijn er van die richtlijnen van die werknemer mag tot 2000 die tot 10.000 en dan 30.000 als je dan een email adres spooft en aan de juiste werknemers 1900 vraagt voor iets wat standaard ook zo duur is. Zal niemand er naar kraaien. Stel ik ben een dataminer en vraag bij foxcon een factuur van 1000 toestellen aan met Android achtige specificaties van een mobiel van Samsung aan. En vervolgens klop ik bij Samsung aan om Materiaal kosten over te maken naar Foxcon, je checked even iemands FB of de persoon die dit standaard afhandeld op vakantie is zodat de persoon die het overneemt mogelijk niet het standaard rekeningnummer heeft en het bedrijf ook onderbezet is (werkdruk=foutenrisico) en je bent er al. Beste is overigens bij grote bedrijven aandeelhouders worden vaak geinformeerd over bijvoorbeeld een nieuwe telefoon of koers. Ook uit die info kun je mensen voor zijn zonder argwaan te wekken.

En het mooie is die standaarden zijn vaak al zou oud als de weg naar Rome zodat iedereen ze hanteert (ook de hackers) Standaard is makkelijk maar ook gevaarlijk!

De zwakste schakel is hierin overigens ook dieven willen cashen en wel zo snel mogelijk. Ik zeg altijd voor zulke gevallen geldt je stuurt mensen het bos in om bomen te zoeken. Je geeft ze veel vertrouwlijke oppervlakkige info zonder zelf diepgaande info te (hoeven ) geven. (want daaraan zijn ze te achterhalen) Het is heel moeilijk maar je moet dus werknemers trainen om door te vragen zonder vragen te stellen.

Overigens ik raad niemand aan dit Illigaal te doen!! Maar als je een eigen bedrijf hebt je kunt je eigen personeel wel testen.

[Reactie gewijzigd door rob12424 op 8 augustus 2015 01:00]

Wild Chocolate
@rob124248 augustus 2015 01:15
Er staat ook een vraagteken achter, en gelijk daarachter dat ik denk dat het alles met technologie te maken heeft. Het was dan ook een reactie op ikt, die dit kennellijk geen nieuws voor Tweakers vindt.
Lednov
@Wild Chocolate8 augustus 2015 08:38
Phising Emails zijn in principe ook een soort van SE. degene die de email ontvangt denkt dat er iets mis is met zijn bankrekening en geeft de gegevens door.

of deze:
"goeiemiddag, jansen hier van Systeembeheer, zeg we zijn met een test bezig om <vul random IT klinkende termen die totaal niet met elkaar te maken hebben>. En volgens mij zijn we bij een fout gekomen bij jouw account. kunt u met mij even wat stappen doornemen?
<doe random stuff die totaal nutteloos zijn>

Nee, er zijn wat foutjes ingeslopen, ik ozu uw account ff moeten resetten, geen punt, doe ik wel even voor je. als inlog heb je <pieters.1>.
OK en je wachtwoord is....
nou ja, ik hoef je dan niet vertellen wat er dan gaat gebeuren....

(Lednov heeft misschien, of misschien ook nie,t ooit eens geprobeerd zo op het systeem van zijn middelbare school te komen. En het heeft misschien, of misschien ook niet, gewerkt.)
Infor40
@Lednov8 augustus 2015 12:26
Kan nog sneller. Zo kwam ik terug na vakantie en wist mijn ww niet meer.

Bel de receptie: "Wat is het nummer van ICT?"

Bel ICT: "Hoi, ik ben ... en weet mijn wachtwoord niet meer..." Vervolgens krijg je gelijk een nieuw makkelijk te onthouden (en te bedenken) ww en log je in met de username wat een afgeleide is van naam-achternaam....

En echt niet dat die man van ICT mij op basis van mijn stem herkent.

Komt nog eens bij dat ik niet eens het ww bij eerste inlog hoefde aan te passen en het was echt te makkelijk te raden... dus een scriptje dat usernames probeert en een setje snel te bedenken ww na een vakantieperiode gaat vast bij menig bedrijf werken. En zeker als je vooraf een telefoontje pleegt en achter het standaard ww bent van ICT in vakantieperiodes.

Vette social engineering niet? Dat is toch de term 'engineering' niet waard... :P
jay123
@Infor4010 augustus 2015 08:02
Bij ons (zelf helpdeskmedewerker) zijn we sinds 1.5 jaar verplicht om een resem willekeurige vragen te stellen bij een wachtwoordreset (Bijvoorbeeld; adres, stamnummer, functie). Als we een twijfelachtig antwoord horen, of niet vlot genoeg stellen we meer vragen.

Ook sturen we +/- na een dag een mail dat er een wachtwoordwijziging doorgevoerd was. Moest de gebruiker zelf dit niet gevraagd hebben zullen er nog extra belletjes gaan rinkelen.

Dit is wel een extra fail-safe en totaal niet 100% veilig. Men kan hier nog steeds achterkomen. Maar het helpt wel weer wat meer.
Anoniem: 382732
@Wild Chocolate8 augustus 2015 09:40
Maar dit heeft plaatsgevonden via de financieele afdeling en daar werken "dezelfde soort" administratieve medewerkers als bij een willekeurig ander bedrijf. Om te factureren hoef je geen enkele affiniteit met het product te hebben.
uiltje
@Anoniem: 3827328 augustus 2015 17:27
Inderdaad. En hetzelfde geld voor de kantoor automatisering van het desbetreffende bedrijf. Vanwege functie-scheiding kan het best voorkomen dat deze IT minder kennis heeft van de beveiliging, zelfs als het binnen een bedrijf is waar je van weet dat het die kennis wel aan boord moet hebben. Op het eind kom je toch bij de individuele werknemers terecht; een bedrijf is wat dat betreft niet 1 geheel...
Deveon
@ikt7 augustus 2015 22:16
Social Enginering is enkel en alleen te voorkomen met een goed en strikt beleid die gecontroleerd wordt.

Zelf blijf ik me verbazen hoeveel supportdesks in gaan op verzoeken zonder te verifiëren of ze inderdaad de juiste aan de telefoon hebben.
DiedX
@Deveon7 augustus 2015 22:21
Helaas heb je niets aan beleid (=angst) als je je personeel niet opvoed.

Fouten maken is menselijk, zorg ervoor dat mensen melden als ze fouten maken, leidt ze op (awareness), en dát tezamen met beleid (en procedures dat X niet meer dan Y over mag maken) geeft je een redelijke barrière.
Droefsnoet
@Deveon7 augustus 2015 23:31
Zelf blijf ik me verbazen hoeveel supportdesks in gaan op verzoeken zonder te verifiëren of ze inderdaad de juiste aan de telefoon hebben.
Omdat daar slechte reviews van komen online. Als je de regels hanteert ben je een klantonvriendelijk bedrijf, want je helpt de klant niet met hun verzoek. En het ligt natuurlijk nooit aan henzelf, want het is zo vanzelfsprekend dat je je inloggegevens niet hebt bewaard (maar wel alle andere mails die je de afgelopen 10 jaar hebt gekregen) en als zij verhuizen dan hoor je dat als bedrijf toch zelf actief bij te houden. En uiteraard moet op vrijdagmiddag nog snel even door iemand aan de website gewerkt worden, maar de contactpersoon is afwezig en niemand kan bij zijn mailbox en de website moet morgen live en als je niet meteen helpt gaan ze hun website wegverhuizen.

Jij verbaast je over de supportmensen, ik verbaas me over de onredelijke mensen elke keer, die allemaal zichzelf koning vinden als klant en daarom geen enkele verantwoordelijkheid hoeven te nemen ("hoe durven jullie een incassobureau op me af te sturen, als ik niet betaal is het toch duidelijk dat ik wil stoppen""). En nee, je kunt je gelijk niet halen, want die discussie willen ze nooit aangaan (en levert toch niks op).

Niet niet weg dat het niet hoort, maar zo af en toe soepel zijn kan later ongemakkelijke gesprekken van een uur vermijden.
Deveon
@Droefsnoet8 augustus 2015 07:55
Vaak is het best wel begrip voor te krijgen zo lang je het duidelijk uitlegt.

"Graag zou ik U wel eerst even willen verifiëren of u meneer X bent. We willen ten slotte niet dat iemand anders toegang tot uw account krijgt, toch?"
r2504
7 augustus 2015 22:34
Los van wat dan ook begrijp ik niet dat iemand in staat is zo'n bedrag over te schrijven op een voor het bedrijf onbekende rekening zonder dat hier ook maar enige verantwoording tegenover moet staan.

Nu ja, ik heb ook voor multinationals gewerkt waar je meer moeite moest doen om aan een balpen te geraken dan met de duurste network switch door de voordeur te lopen.
gdamen
@r25048 augustus 2015 10:13
De kans is groot dat het elke keer om een incidentele relatie gaat. Dan ontvangt het bedrijf een fake factuur die zeker bij kleinere bedragen zelden uitgebreid gecontroleerd wordt. Wel mag je van een beetje financieel pakket verwachten dat als dezelfde rekening bij verschillende relaties wordt gebruikt hij gaat piepen. Het kan legitiem zijn, maar echt logisch is het niet.

Overigens het opvoeren van een nieuwe relatie is bij de meeste adminstraties functioneel (en fysiek) gescheiden van de betalingsfunctie. Maar zoals gesteld, vooral tijdens vakantie periodes zijn bedrijven kwetsbaarder omdat de bezetting vaak lager is en deze scheidingen dan in het gedrang kunnen komen.
sympa
7 augustus 2015 23:07
Ubiquity schijnt zich weer niet zo goed aan de GPL te houden. Dus echt medelijden heb ik niet, zeker als het verhaal van Resol klopt: http://news.slashdot.org/...atively-violating-the-gpl
HyperBart
@sympa8 augustus 2015 15:58
Als je nu je reactie leest, vind je dat dan eigenlijk niet wat kort door de bocht?

Om nu direct geen medelijden meer te hebben met een bedrijf omdat ze het niet nauw nemen met de GPL en ze een paar miljoenen zijn verloren vind ik nogal een redelijk cru'e manier om het te stellen. De gevolgen kunnen vaak groter zijn dan je denkt. Wat als dit bedrijf nu door een moeilijke tijd gaat en hierdoor mensen moeten vertrekken? Om maar iets op te noemen...

Blijft een punt dat social engineering iets is wat je heel moeilijk kan afvangen of beveiligen. Ieder individu is anders. Social engineering is uiteindelijk in mijn ogen niets anders dan de moderne variant van "hussling" op straat. Iemand overtuigen, iets doen geloven en daar buit (gegevens) uit slaan...
biglia
7 augustus 2015 22:20
Zijn er geen verdere details bekend hoe het precies gebeurd is?
Goldwing1973
7 augustus 2015 22:56
Ik hoop echt dat dit niet hun ondergang gaat worden, anders kan ik straks weer op zoek naar andere WiFi apparatuur en bewakingscamera's voor m'n bedrijf.
VoDkA12
8 augustus 2015 17:20
Het verbaast mij dat zulke grote bedrijven daar nog in falen. Ook omdat het concept social engineering binnen de digitale wereld ook al zo lang bestaat. The Art of Deception van Kevin Mitnick is een 'must read' als je iets wil lezen over social engineering en hacking.

Maarja, verbaast mij dat binnen zulke grote bedrijven het IT en beveiliging afdelingen daar weinig aan hebben gedaan.
Anand
7 augustus 2015 21:16
Social enginering? Mooie term, maar wat is er mis met 'babbeltruc'?
ZpAz
@Anand7 augustus 2015 21:23
Social engineering gaat verder dan "babbeltruc". Veel mensen vullen bijvoorbeeld hun geheime vragen: "hoe heet je oudste dochter", "wat was de eerste straat waar je woonde" naar waarheid in om wachtwoorden te resetten. Via Googlen zou je mogelijk voor de personen achter die informatie kunnen komen en dus het wachtwoord resetten. Zonder "gebabbeld" te hebben met de betreffende persoon.

Ook zijn er genoeg mensen die de naam van hun hondje, geliefde o.i.d. als wachtwoord hebben. Dit zou je dus ook kunnen opzoeken en proberen.

[Reactie gewijzigd door ZpAz op 7 augustus 2015 21:24]

lazershark
@ZpAz7 augustus 2015 22:10
Neen, eigenlijk is "babbeltruc" veel dichter bij de echte definitie dan wat jij opnoemt:

Defintie van Wikipedia:
"Social engineering, in the context of information security, refers to psychological manipulation of people into performing actions or divulging confidential information. A type of confidence trick for the purpose of information gathering, fraud, or system access, it differs from a traditional "con" in that it is often one of many steps in a more complex fraud scheme."

Dus in feite is het specifieke mensen "aanspreken" en ze vervolgens misleiden om gevoelige informatie prijs te geven. Op de Wikipedia pagina staan vervolgens allerlei verschillende methodes opgesomd. https://en.wikipedia.org/...ngineering_%28security%29

Wat jij opnoemt valt eerder onder "wachtwoord raden".
CopyCatz
@Anand7 augustus 2015 21:18
Nee dan: "Social engineering, waarbij er wordt gezocht naar een fout in het menselijke functioneren, is één van de manieren hoe kwaadwillenden gevoelige informatie of geld kunnen buitmaken"

Ik hoor me al naar de bank bellen, "er zat een fout in mijn menselijk functioneren, nu hebben kwaadwillenden iets van mijn rekening afgehaald.."
LopendeVogel
@CopyCatz7 augustus 2015 22:29
Haha ja de manier hoe jij het zegt maakt het nog mooier.
Anoniem: 524929
7 augustus 2015 21:12
Balen dit! En ik een Ubiquiti router gekocht omdat het een 1gbit verbinding aan kan.. Wel erg slim gehandeld als je zo een bedrag kan halen met informatie!
cybermaus
7 augustus 2015 21:17
Oei. En ik gebruik dit voor een hotspot. Goede radios, ik heb er ongeveer 15.
Ik hoop dat dit geen impact of prijs of onwikkeling heeft.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee