Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 37 reacties
Submitter: StM

Kwaadwillenden hebben in juni bijna 47 miljoen dollar, zo'n 43 miljoen euro, buitgemaakt bij netwerkfabrikant Ubiquiti Networks. Ze wisten het immense bedrag buit te maken via social engineering, waarbij werknemers worden verleid om interne informatie prijs te geven.

De criminelen deden zich voor als medewerkers van de financiële afdeling. Door middel van frauduleuze aanvragen wisten ze 46,7 miljoen dollar over te boeken naar verschillende rekeningen van diverse partijen. Dat meldt de Amerikaanse toezichthouder Securities and Exchange Commission, zonder meer details te geven.

Toen een dochterbedrijf van Ubiquiti Networks in Hongkong lucht kreeg van de forse overboekingen, nam het contact op met de nationale bank. Die wist 8,1 miljoen dollar terug te halen. Daarnaast verwacht Ubiquiti Networks op korte termijn nog eens 6,8 miljoen dollar terug te krijgen door middel van een juridische procedure. De andere 31,8 miljoen blijft voorlopig spoorloos, maar Amerikaanse en buitenlandse opsporingsdiensten proberen het geld terug te vinden.

Social engineering, waarbij er wordt gezocht naar een fout in het menselijke functioneren, is één van de manieren hoe kwaadwillenden gevoelige informatie of geld kunnen buitmaken. Enkele jaren geleden bleek op beveiligingsconferentie DefCon al dat grote Amerikaanse bedrijven vatbaar zijn voor zulke aanvallen. Oracle bleek bij een test slecht te presteren, evenals Symantec, IBM, Dell en Apple.

In 2012 bleek dat enkele techbedrijven om de tuin werden geleid bij diverse social engineering-aanvallen. Daarbij werden de accounts van een journalist gekraakt en werden al zijn data gewist. Onder meer Apple en Amazon tuinden in de social engineering. Amazon gaf vlak daarna, als reactie op de kraak, aan niet langer accountgegevens te zullen veranderen van gebruikers die daar telefonisch om vragen.

Moderatie-faq Wijzig weergave

Reacties (37)

Vraag me af of ze dit te boven komen, zo'n grote partij zijn ze volgens mij nou ook weer niet. Jammer, want ze maken leuk spul voor een leuke prijs.
Ik zat net even te kijken naar de totale waarde van het bedrijf (market cap). Die zit rond de 2,8 miljard. Hoewel dat cijfer niets over de staat/gezondheid van het bedrijf zegt neem ik aan dat een bedrijf met een dergelijke omvang de schade van deze fraude wel op kan vangen.

Wat ik me na het lezen van het artikel afvraag is of de SEC nog verder onderzoek gaat doen naar deze fraude. Beursgenoteerde bedrijven hebben toch wel bepaalde verplichtingen tegenover aandeelhouders en ik heb nu niet bepaald het idee dat Ubiquity hier aan zijn verplichtingen voldaan heeft met betrekking tot zorgvuldig werken. Een en ander los van het strafrechtelijk onderzoek naar de fraudeurs, dat ongetwijfeld ook plaats zal vinden.
Het schijnt best wel veel voor te komen volgens dit artikel

http://www.csoonline.com/...l-engineering-attack.html
Ubiquiti are not the first company to fall victim to such an attack. These type of attacks have become so common that in January of this year the FBI issued a warning to businesses to be aware of these attacks. In its warning the FBI state that there were 2126 victims of this type of fraud in 2013, with 1198 being in the United States, with losses totalling up to $214,972,503.
Het probleem is voornamelijk dat bedrijven teveel vertrouwen stellen in e-mail. Deze oplichters proberen eerst alles te vinden over je bedrijfsstructuur en misbruiken vervolgens de hiėrarchie in de organisatie om druk uit te oefenen op personeel. Ook worden relaties met andere bedrijven misbruikt op dezelfde manier.

Zoals de FBI ook al aangeeft in dat artikel, gebruik niet de Reply knop maar gebruik Forward en type het e-mail adres van de persoon en vraag om bevestiging. (Laatst genoemd in dat artikel maar die lijkt mij nog het belangrijkst).
What do we need? E-mail certification!
When do we need it? 1994!
Als ik t even snel lees hebben ze ondanks die fraude in dit kwartaal nog winst gemaakt, dus ja, het doet pijn, maar omvallen zal niet gebeuren.
Dit heeft nogal weinig met technologie te maken buiten het feit dat het een technologiebedrijf betreft. Voor hetzelfde geld kan hetzelfde gebeuren met boer Jansen die de locatie van zijn kluissleutel prijs geeft.

Natuurlijk moeten bedrijven letten op wat hun medewerkers allemaal uitspoken qua bedrijf, maar helemaal foolproof kan het nooit worden. Dit is net zo min opmerkelijk als iemand die een flash drive achterlaat in de trein.
Social engineering niets met technologie te maken? Is denk ik de meest voorkomende vorm van cybercriminaliteit.

Het is natuurlijk juist wel frappant dat dit een technologie bedrijf overkomt. Je mag toch verwachten dat men daar beter op de hoogte is van dergelijke trucs, dan bij niet-technologie bedrijven. De medewerkers zullen tenminste enige affiniteit met technologie hebben.
Bovendien verwacht je dat de mensen met de bevoegdheid om bedragen >10.000 over te maken, niet de domste zijn... (ik ga er voor het gemak even vanuit dat die 47 miljoen niet allemaal voor facturen van een tientje zijn overgemaakt (met zo'n hoeveelheid facturen moeten er ook alarmbellen gaan rinkelen).

Kortom het heeft voor mij zeker nieuwswaarde.
Het heeft alles met techniek te meken voornamelijk omdat het datamining met psychologisch inzicht is. Ga bijvoorbeeld Linkedin af zoek de juiste personen koppel dat aan FB programeer hier een goeie Crawler voor. En mensen weten meer dan je lief is. Daarnaast bij vooral grote bedrijven zo dat bedragen tot een bepaald bedrag standaard niet bij de chef om toestemming gevraagd hoeft te worden. En dan zijn er van die richtlijnen van die werknemer mag tot 2000 die tot 10.000 en dan 30.000 als je dan een email adres spooft en aan de juiste werknemers 1900 vraagt voor iets wat standaard ook zo duur is. Zal niemand er naar kraaien. Stel ik ben een dataminer en vraag bij foxcon een factuur van 1000 toestellen aan met Android achtige specificaties van een mobiel van Samsung aan. En vervolgens klop ik bij Samsung aan om Materiaal kosten over te maken naar Foxcon, je checked even iemands FB of de persoon die dit standaard afhandeld op vakantie is zodat de persoon die het overneemt mogelijk niet het standaard rekeningnummer heeft en het bedrijf ook onderbezet is (werkdruk=foutenrisico) en je bent er al. Beste is overigens bij grote bedrijven aandeelhouders worden vaak geinformeerd over bijvoorbeeld een nieuwe telefoon of koers. Ook uit die info kun je mensen voor zijn zonder argwaan te wekken.

En het mooie is die standaarden zijn vaak al zou oud als de weg naar Rome zodat iedereen ze hanteert (ook de hackers) Standaard is makkelijk maar ook gevaarlijk!

De zwakste schakel is hierin overigens ook dieven willen cashen en wel zo snel mogelijk. Ik zeg altijd voor zulke gevallen geldt je stuurt mensen het bos in om bomen te zoeken. Je geeft ze veel vertrouwlijke oppervlakkige info zonder zelf diepgaande info te (hoeven ) geven. (want daaraan zijn ze te achterhalen) Het is heel moeilijk maar je moet dus werknemers trainen om door te vragen zonder vragen te stellen.

Overigens ik raad niemand aan dit Illigaal te doen!! Maar als je een eigen bedrijf hebt je kunt je eigen personeel wel testen.

[Reactie gewijzigd door rob12424 op 8 augustus 2015 01:00]

Er staat ook een vraagteken achter, en gelijk daarachter dat ik denk dat het alles met technologie te maken heeft. Het was dan ook een reactie op ikt, die dit kennellijk geen nieuws voor Tweakers vindt.
Phising Emails zijn in principe ook een soort van SE. degene die de email ontvangt denkt dat er iets mis is met zijn bankrekening en geeft de gegevens door.

of deze:
"goeiemiddag, jansen hier van Systeembeheer, zeg we zijn met een test bezig om <vul random IT klinkende termen die totaal niet met elkaar te maken hebben>. En volgens mij zijn we bij een fout gekomen bij jouw account. kunt u met mij even wat stappen doornemen?
<doe random stuff die totaal nutteloos zijn>

Nee, er zijn wat foutjes ingeslopen, ik ozu uw account ff moeten resetten, geen punt, doe ik wel even voor je. als inlog heb je <pieters.1>.
OK en je wachtwoord is....
nou ja, ik hoef je dan niet vertellen wat er dan gaat gebeuren....

(Lednov heeft misschien, of misschien ook nie,t ooit eens geprobeerd zo op het systeem van zijn middelbare school te komen. En het heeft misschien, of misschien ook niet, gewerkt.)
Kan nog sneller. Zo kwam ik terug na vakantie en wist mijn ww niet meer.

Bel de receptie: "Wat is het nummer van ICT?"

Bel ICT: "Hoi, ik ben ... en weet mijn wachtwoord niet meer..." Vervolgens krijg je gelijk een nieuw makkelijk te onthouden (en te bedenken) ww en log je in met de username wat een afgeleide is van naam-achternaam....

En echt niet dat die man van ICT mij op basis van mijn stem herkent.

Komt nog eens bij dat ik niet eens het ww bij eerste inlog hoefde aan te passen en het was echt te makkelijk te raden... dus een scriptje dat usernames probeert en een setje snel te bedenken ww na een vakantieperiode gaat vast bij menig bedrijf werken. En zeker als je vooraf een telefoontje pleegt en achter het standaard ww bent van ICT in vakantieperiodes.

Vette social engineering niet? Dat is toch de term 'engineering' niet waard... :P
Bij ons (zelf helpdeskmedewerker) zijn we sinds 1.5 jaar verplicht om een resem willekeurige vragen te stellen bij een wachtwoordreset (Bijvoorbeeld; adres, stamnummer, functie). Als we een twijfelachtig antwoord horen, of niet vlot genoeg stellen we meer vragen.

Ook sturen we +/- na een dag een mail dat er een wachtwoordwijziging doorgevoerd was. Moest de gebruiker zelf dit niet gevraagd hebben zullen er nog extra belletjes gaan rinkelen.

Dit is wel een extra fail-safe en totaal niet 100% veilig. Men kan hier nog steeds achterkomen. Maar het helpt wel weer wat meer.
Maar dit heeft plaatsgevonden via de financieele afdeling en daar werken "dezelfde soort" administratieve medewerkers als bij een willekeurig ander bedrijf. Om te factureren hoef je geen enkele affiniteit met het product te hebben.
Inderdaad. En hetzelfde geld voor de kantoor automatisering van het desbetreffende bedrijf. Vanwege functie-scheiding kan het best voorkomen dat deze IT minder kennis heeft van de beveiliging, zelfs als het binnen een bedrijf is waar je van weet dat het die kennis wel aan boord moet hebben. Op het eind kom je toch bij de individuele werknemers terecht; een bedrijf is wat dat betreft niet 1 geheel...
Social Enginering is enkel en alleen te voorkomen met een goed en strikt beleid die gecontroleerd wordt.

Zelf blijf ik me verbazen hoeveel supportdesks in gaan op verzoeken zonder te verifiėren of ze inderdaad de juiste aan de telefoon hebben.
Helaas heb je niets aan beleid (=angst) als je je personeel niet opvoed.

Fouten maken is menselijk, zorg ervoor dat mensen melden als ze fouten maken, leidt ze op (awareness), en dįt tezamen met beleid (en procedures dat X niet meer dan Y over mag maken) geeft je een redelijke barričre.
Zelf blijf ik me verbazen hoeveel supportdesks in gaan op verzoeken zonder te verifiėren of ze inderdaad de juiste aan de telefoon hebben.
Omdat daar slechte reviews van komen online. Als je de regels hanteert ben je een klantonvriendelijk bedrijf, want je helpt de klant niet met hun verzoek. En het ligt natuurlijk nooit aan henzelf, want het is zo vanzelfsprekend dat je je inloggegevens niet hebt bewaard (maar wel alle andere mails die je de afgelopen 10 jaar hebt gekregen) en als zij verhuizen dan hoor je dat als bedrijf toch zelf actief bij te houden. En uiteraard moet op vrijdagmiddag nog snel even door iemand aan de website gewerkt worden, maar de contactpersoon is afwezig en niemand kan bij zijn mailbox en de website moet morgen live en als je niet meteen helpt gaan ze hun website wegverhuizen.

Jij verbaast je over de supportmensen, ik verbaas me over de onredelijke mensen elke keer, die allemaal zichzelf koning vinden als klant en daarom geen enkele verantwoordelijkheid hoeven te nemen ("hoe durven jullie een incassobureau op me af te sturen, als ik niet betaal is het toch duidelijk dat ik wil stoppen""). En nee, je kunt je gelijk niet halen, want die discussie willen ze nooit aangaan (en levert toch niks op).

Niet niet weg dat het niet hoort, maar zo af en toe soepel zijn kan later ongemakkelijke gesprekken van een uur vermijden.
Vaak is het best wel begrip voor te krijgen zo lang je het duidelijk uitlegt.

"Graag zou ik U wel eerst even willen verifiėren of u meneer X bent. We willen ten slotte niet dat iemand anders toegang tot uw account krijgt, toch?"
Los van wat dan ook begrijp ik niet dat iemand in staat is zo'n bedrag over te schrijven op een voor het bedrijf onbekende rekening zonder dat hier ook maar enige verantwoording tegenover moet staan.

Nu ja, ik heb ook voor multinationals gewerkt waar je meer moeite moest doen om aan een balpen te geraken dan met de duurste network switch door de voordeur te lopen.
De kans is groot dat het elke keer om een incidentele relatie gaat. Dan ontvangt het bedrijf een fake factuur die zeker bij kleinere bedragen zelden uitgebreid gecontroleerd wordt. Wel mag je van een beetje financieel pakket verwachten dat als dezelfde rekening bij verschillende relaties wordt gebruikt hij gaat piepen. Het kan legitiem zijn, maar echt logisch is het niet.

Overigens het opvoeren van een nieuwe relatie is bij de meeste adminstraties functioneel (en fysiek) gescheiden van de betalingsfunctie. Maar zoals gesteld, vooral tijdens vakantie periodes zijn bedrijven kwetsbaarder omdat de bezetting vaak lager is en deze scheidingen dan in het gedrang kunnen komen.
Ubiquity schijnt zich weer niet zo goed aan de GPL te houden. Dus echt medelijden heb ik niet, zeker als het verhaal van Resol klopt: http://news.slashdot.org/...atively-violating-the-gpl
Als je nu je reactie leest, vind je dat dan eigenlijk niet wat kort door de bocht?

Om nu direct geen medelijden meer te hebben met een bedrijf omdat ze het niet nauw nemen met de GPL en ze een paar miljoenen zijn verloren vind ik nogal een redelijk cru'e manier om het te stellen. De gevolgen kunnen vaak groter zijn dan je denkt. Wat als dit bedrijf nu door een moeilijke tijd gaat en hierdoor mensen moeten vertrekken? Om maar iets op te noemen...

Blijft een punt dat social engineering iets is wat je heel moeilijk kan afvangen of beveiligen. Ieder individu is anders. Social engineering is uiteindelijk in mijn ogen niets anders dan de moderne variant van "hussling" op straat. Iemand overtuigen, iets doen geloven en daar buit (gegevens) uit slaan...
Zijn er geen verdere details bekend hoe het precies gebeurd is?
Ik hoop echt dat dit niet hun ondergang gaat worden, anders kan ik straks weer op zoek naar andere WiFi apparatuur en bewakingscamera's voor m'n bedrijf.
Het verbaast mij dat zulke grote bedrijven daar nog in falen. Ook omdat het concept social engineering binnen de digitale wereld ook al zo lang bestaat. The Art of Deception van Kevin Mitnick is een 'must read' als je iets wil lezen over social engineering en hacking.

Maarja, verbaast mij dat binnen zulke grote bedrijven het IT en beveiliging afdelingen daar weinig aan hebben gedaan.
Social enginering? Mooie term, maar wat is er mis met 'babbeltruc'?
Social engineering gaat verder dan "babbeltruc". Veel mensen vullen bijvoorbeeld hun geheime vragen: "hoe heet je oudste dochter", "wat was de eerste straat waar je woonde" naar waarheid in om wachtwoorden te resetten. Via Googlen zou je mogelijk voor de personen achter die informatie kunnen komen en dus het wachtwoord resetten. Zonder "gebabbeld" te hebben met de betreffende persoon.

Ook zijn er genoeg mensen die de naam van hun hondje, geliefde o.i.d. als wachtwoord hebben. Dit zou je dus ook kunnen opzoeken en proberen.

[Reactie gewijzigd door ZpAz op 7 augustus 2015 21:24]

Neen, eigenlijk is "babbeltruc" veel dichter bij de echte definitie dan wat jij opnoemt:

Defintie van Wikipedia:
"Social engineering, in the context of information security, refers to psychological manipulation of people into performing actions or divulging confidential information. A type of confidence trick for the purpose of information gathering, fraud, or system access, it differs from a traditional "con" in that it is often one of many steps in a more complex fraud scheme."

Dus in feite is het specifieke mensen "aanspreken" en ze vervolgens misleiden om gevoelige informatie prijs te geven. Op de Wikipedia pagina staan vervolgens allerlei verschillende methodes opgesomd. https://en.wikipedia.org/...ngineering_%28security%29

Wat jij opnoemt valt eerder onder "wachtwoord raden".
Nee dan: "Social engineering, waarbij er wordt gezocht naar een fout in het menselijke functioneren, is één van de manieren hoe kwaadwillenden gevoelige informatie of geld kunnen buitmaken"

Ik hoor me al naar de bank bellen, "er zat een fout in mijn menselijk functioneren, nu hebben kwaadwillenden iets van mijn rekening afgehaald.."
Haha ja de manier hoe jij het zegt maakt het nog mooier.
Balen dit! En ik een Ubiquiti router gekocht omdat het een 1gbit verbinding aan kan.. Wel erg slim gehandeld als je zo een bedrag kan halen met informatie!
Oei. En ik gebruik dit voor een hotspot. Goede radios, ik heb er ongeveer 15.
Ik hoop dat dit geen impact of prijs of onwikkeling heeft.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True