Criminelen lichten Nederlands museum op voor 2,86 miljoen euro via mailspoofing

Het Rijksmuseum Twenthe is voor 2,86 miljoen euro opgelicht nadat criminelen e-mailverkeer over de onderhandeling van een schilderijkoop wisten te monitoren. De criminelen slaagden erin via een vervalste mail het bedrag overgemaakt te krijgen.

Het Rijksmuseum Twenthe en de Britse kunsthandelaar Simon C. Dickinson Ltd. onderhandelden maandenlang over de aanschaf van een schilderij van de Britse schilder John Constable. Dat gebeurde onder andere via e-mail. De criminelen konden de conversatie volgen. Hoe dat kon, is niet duidelijk.

Nadat het museum en de kunsthandelaar het eens werden over het overnamebedrag van 2,4 miljoen pond, omgerekend 2,86 miljoen euro, stuurden de criminelen volgens Bloomberg enkele gespoofte e-mails die afkomstig leken van Dickinson. Een van die berichten ging over het daadwerkelijk overmaken van het bedrag, naar een rekeningnummer in Hongkong.

Het museum en Dickinson beschuldigen elkaar er nu van dat hun e-mailsysteem binnengedrongen was door de criminelen. Volgens de advocaat van het museum wisten de onderhandelaars zelf van de e-mailspoofing, maar deden ze niets. Omgekeerd claimt Dickinson dat het museum meer had moeten doen om te verifiëren dat het rekeningnummer daadwerkelijk van de onderhandelaars was.

Het museum betoogde tegen het hooggerechtshof van Londen dat op de kunsthandelaar een verplichting rustte om de beveiliging van zijn e-mailsystemen op orde te houden. Het hof verwierp de claims van het museum, dat zich nu op verdere stappen beraadt.

IT-banen

Reacties (146)

146

141

Wijzig sortering

Dostar 31 januari 2020 09:28

Anno 2020 en mensen hebben nog steeds blindelings vertrouwen in een verouderd protocol. Namelijk E-mail. In mijn middelbare schooltijd toen e-mail pas net nieuw was, wist ik al vrij snel e-mail te spoofen en leuke grapjes uit te halen (onschuldige acties zonder directe schade).
Ik werk binnen het onderwijs, we maken sinds kort gebruik van Microsoft Teams, maar nog steeds sturen mensen gevoelige documenten via de e-mail. O.a. psychologische dossiers van kinderen waarin naast de psychologische uitslag ook adres gegevens, geboortedatum, etc. staan.
We hebben allemaal AVG cursus gehad, maar daarin wordt bijna niet vermeld van veilig delen van bestanden. Wordt alleen kort uitgelegd wat een phising e-mail is en hoe je dit mogelijk zou kunnen herkennen (als enige voorbeeld de rijke Afrikaanse prins die even je bankgegevens wil voor een donatie).

Betreft AVG, security, etc. mogen dit soort cursussen wel meer zijn dan 1 bijeenkomst met wat vage voorbeeldjes. Mag het wat mij betreft echt een terugkerende cursus worden met ook steekproefgewijs een test team dat via e-mail of telefoon contact op neemt met de scholen/organisaties. Gebruik maakt van Social Engineering en aan het einde van de test perioden 2 jaarlijkse rapporten aan het management geeft die weer stappen kan ondernemen naar de collega's die laag scoren op AVG technisch handelen.

In ieder geval is de AVG cursus die ik gehad heb van 2 uurtjes echt een lachertje geweest, de beste man wist zelf niet eens antwoorden op wat diepere vragen omtrent het e-mail protocol en/of encryptie technieken. Collega's en de cursus instantie keken me ook aan alsof ik Chinees sprak toen ik met het woord encryptie om te hoek kwam kijken.

Verwijderd @Dostar • 31 januari 2020 09:48

Dit probleem draait helemaal niet techniek maar om mensen. De communicatie methode is helemaal niet relevant, het draait voornamelijk om validatie. Email is prima te beveiligen maar dat kost tijd en geld dus wordt dit vaak vermeden.

Mensen worden dagelijks opgelicht via Facebook, Whatsapp (volledig end-to-end encryptie helpt je hier helemaal niets), marktplaats of zelfs aan je voordeur zonder dat er een mailtje aan te pas komt.

Dostar @Verwijderd • 31 januari 2020 09:53

In mijn ogen is het een mix van techniek en mensen. Die psychologische onderzoeken die ik vermeld kan je door middel van andere technieken ook door sturen naar mensen. Bestand via een veilige omgeving delen, ook nog eens encrypted en het wachtwoord versturen via de post en/of de telefoon.
Maar mijn punt was ook in mijn verhaal dat de AVG cursussen die ik heb gezien te belabberd zijn om de mensen zelf te veranderen. Waar jij dus weer gelijk hebt dat het draait om de mens.

Maar om te zeggen dat het "helemaal niet" om techniek draait... vind ik een iets te eenvoudig antwoord. Wel snap ik volledig het punt dat je wil maken en komt overeen op het punt dat ik zelf probeerde te maken. Namelijk bewustwording.

[Reactie gewijzigd door Dostar op 23 juli 2024 16:22]

A64_Luuk @Dostar • 31 januari 2020 10:12

Het gaat uiteindelijk om een balans tussen veiligheid en gemak. Als de veilige omgeving te ingewikkeld wordt, sturen mensen gewoon even een mailtje.

Als ik het wachtwoord voor een leerling dossier via de post moet ontvangen, wordt de kans dat ik dat dossier even doorneem een stuk kleiner. Er is een reden dat er gestaakt wordt, we hebben wel meer te doen. Dan moet je niet alles heel ingewikkeld gaan maken... je hebt gelijk dat dingen veiliger moeten, maar als ik een mail stuur met daarin puur dat er over leerling X in Magister een nieuwe notitie is gemaakt, weet ik bij voorbaat dat de meesten die niet gaan lezen. Magister is tegenwoordig ook 2-factor, en da’s te veel gedoe om een notitietje te lezen.

Om heel eerlijk te zijn, de meeste van die notities stellen dan ook niet zoveel voor.

supersnathan94

Politiek en recht

@A64_Luuk • 31 januari 2020 10:59

het probleem is dan ook dat mensen alles in zo'n dossier vastleggen. dus bij iedere poep of scheet krijg je daar bericht van en dan snap ik dat je op een gegeven moment zoiets hebt van "ja dag, ik blijf bezig".

Het probleem met veel van dit soort systemen is dan ook dat ze ontzettend traag zijn, waardoor het gebruik ook een crime is en dat ze geen mogelijkheid bieden om sommige dingen wel direct in een mailtje te zetten.

een notitie met het feit dat jij de ouders hebt gebeld over situatie X zou ook prima over de mail kunnen en toch via een Leerlingvolgsysteem worden gestuurd. daar zit namelijk geen privacy gevoelige boodschap in.

Hoe chill zou het zijn als een LVS een goede app zou hebben met push notificaties waarbij na ontgrendelen wel het inhoudelijke bericht zichtbaar zou zijn (net als whatsapp of een andere messaging app dat heeft bijvoorbeeld). Om echt toegang tot de omgeving te krijgen zou je altijd nog een losse code kunnen vereisen naast faceID of touchID.

Een dergelijke technishe ontwikkeling zorgt er wel voor dat men het systeem sneller zou gebruiken en dus minder vaak teruggrijpt op mail.

Het is namelijk wel degelijk een stukje user experience die gewoon gruwelijk in de weg zit.

A64_Luuk @supersnathan94 • 31 januari 2020 15:04

De reden dat elke poep en scheet geadministreerd wordt is omdat dat tegenwoordig nodig is, anders gaan ouders zeuren dat we niet meer genoeg op hun speciale geval letten en kunnen we niet hard maken dat wel degelijk over dit specifieke bloempje nagedacht hebben. Geen enkele ouder is tegenwoordig nog in de veronderstelling dat hun kind normaal en of gemiddeld is, en ze moeten allemaal bovengemiddelde aandacht krijgen. Iedereen met enige wiskundige achtergrond kan bedenken dat dat lastig wordt. Overigens hebben zoveel kinderen leer problemen omdat ze gewoon boven hun niveau zitten te werken. Vwo staat nu eenmaal leuker dan havo staat nu eenmaal leuker dan mavo (etc) dus dat kind moet een stoornis opgeplakt krijgen zodat ie om een of andere reden meer tijd krijgt of andersoortige ondersteuning mag gebruiken. In het gamen noemen we dat gewoon cheats. Ik zal maar niet in al te veel detail uitwerken wat passend onderwijs tezamen met bovenstaande met het niveau doet, maar laat ik het erbij houden dat we er wat minder in krijgen tegenwoordig. Dat resulteert niet in lagere cijfers hoor, want als we dat doen zijn de rendementen niet hoog genoeg en krijgen we op onze flikker. Er gaat iets mis in onderwijsland geloof ik.

Dat alles tezamen maakt dat je omkomt in het werk, terwijl je nou niet echt minder gefrustreerd raakt.

[Reactie gewijzigd door A64_Luuk op 23 juli 2024 16:22]

necessaryevil @supersnathan94 • 2 februari 2020 00:31

Ik durf het bijna niet te vragen, maar wat is een LVS?

bed76 @necessaryevil • 2 februari 2020 01:27

Leerling volgsysteem.... Ik vind dat eigenlijk een heel erg eng idee. Vroeger ging je naar school en was school een black box voor de ouders, tenzij je uit de band sprong, dan werd er contact opgenomen. Nu wordt elke stap van het kind vastgelegd en kun je dat als ouder volgen. We laten ze nu alvast wennen aan het idee dat de overheid straks alles van jou als persoon online kan volgen. En vinden zij (de huidige generatie kinderen) dat normaal.

Jelovnik @bed76 • 3 februari 2020 12:41

Met je eens. Een heel eng idee. Zelf nog geen ervaring met LVS, heb nog erg jonge kinderen (lees onder 4) en hier krijgen eens per week verslagje van de opvang.
Van tijd tot tijd heb je een gesprek met de begeleider van je kind, tenzij er iets dringends is. Dan wordt dit eerder gemeld.

Maar een LVS..... je hebt als puber al met genoeg te dealen. In deze tijd hecht je extra waarde aan je privacy en is het laatste waar je op zit te wachten wel je ouders continue mee loeren met hoe jij presteert op school.

TheVivaldi @A64_Luuk • 31 januari 2020 12:15

Inderdaad. Ik snap het probleem ook niet. Vroeger ging dat allemaal via een papieren schriftje. Dat kon je ook onderscheppen, maar volgens mij is dat niet vaak gebeurd. Dus waarom het dan digitaal wél een probleem zou zijn om een eenvoudige methode te kiezen snap ik ook niet.

Amadeus1966 @TheVivaldi • 31 januari 2020 16:33

Ik zie het ook zo.
Vroeger ( nog niet zo lang geleden ) hadden we een prikbord in de kantine met daarop de bijzonderheden of roosters en weet ik veel wat nog meer.
Nu hebben we een groepsapp voor collega's, een app voor ons prikbord en we krijgen maandelijks zo niet wekelijks een mail cq nieuwsbrief.
Wat opvalt is dat dit alles er toe heeft geleid dat de informatie veel minder gelezen wordt dan toen het in de kantine hing.
Toen stond je even vijf minuten met een bakje koffie in de hand het prikbord te bekijken en was je weer op de hoogte.
Nu wordt je zelfs in je vrije tijd thuis met je werk geconfronteerd.
Zelfs in het weekend of vakanties.
Als er nu een mail of een app binnenkomt dan geeft dat gewoonweg een zuchtmoment van wat nu weer.
Ik ben één van die strijders die gewoon te kennen heb gegeven dat ik dergelijke zaken gewoon onder werktijd lees en eventueel beantwoord en dit pertinent weiger om het in mijn eigen tijd te gaan doen.
Ach dan wordt er even scheef gekeken en dan ben ik weer de boeman en kinderachtig omdat al die anderen dat wel doen.
Sinds het allemaal digitaal is geworden worden we overspoeld met informatie.

GeoBeo @Amadeus1966 • 31 januari 2020 23:19

Misschien echt een heel radicaal ongelofelijk en waanzinnig idee, maar: je kunt ook gewoon Whatsapp helemaal niet gebruiken?

L0g0ff

@GeoBeo • 1 februari 2020 10:51

Ik heb dat een tijdje geprobeerd leven zonder WhatsApp. Maar als er groepsapps zijn waar alle ouders van je kinderen gezamenlijk inzitten, waar allemaal afspraken, roep om hulp, rijden (schoolreisje), informatie en foto's instaan dan gooi ik de handoek in de ring.

Nu staat er gewoon een killswitch op waardoor ik WhatsApp moet starten als ik de berichten wil lezen.

ExManolo @Verwijderd • 31 januari 2020 10:49

Ho ho, techniek is er voor de mens en niet andersom. We worden steeds vaker gedwongen om ons aan te passen aan apparaten in plaats van dat men meer werk maakt van het beter ontwikkelen van die apparaten. Ik vind dat de luiheid bij de ontwerpers ligt en minder bij de gebruikers.

Dostar @ExManolo • 31 januari 2020 11:11

Je kan de techniek nog zo veilig maken, het lek zit vaak bij de eindgebruiker. Dus de ontwerpers zijn niet lui, integendeel zelfs. Het is vaak de eindgebruiker die gemak (luiheid zoals jij het noemt) verkiest boven veiligheid. Daar mag best een bewustwording in gaan komen op den duur, vooral nu met de AVG en haar hoge boetes. Vooral het onderwijs wat met beperkte middelen moet werken, heeft geen geld klaar liggen voor de AVG boetes. Leraren staken niet voor niets, heeft niet alleen met het salaris te maken, maar vooral lerarentekort, werkdruk, etc.

eerdepeer @Dostar • 31 januari 2020 13:01

Voeg daar ook maar onwetendheid aan toe. Als je niet weet hoe iets zou moeten werken is het erg moeilijk om hiernaar te werken.

freaky @Verwijderd • 31 januari 2020 14:49

E-mail is helaas niet echt prima te beveiligingen. Het basis protocol is zo brak als het maar kan zijn en stamt uit een tijd dat iedereen elkaar kende en spoofen niet zo'n probleem was. Derhalve kan in het basis protocol iedereen onder ieder e-mail adres wat ie maar wil, mail versturen.

Daar hebben we pleisters voor, zoals SPF en DKIM. SPF heeft echter als nadeel dat het andere dingen breekt. Zoals forwarden van je e-mail als je thuis werkt of met vakantie bent ofzo.

Daarvoor is er een pleister voor de pleister, ARC.

Natuurlijk kun je je mail ook digitaal tekenen, DKIM doet en dan is er ook nog PGP/GPG o.a.

Geen van die dingen zijn verplicht en niemand kan dat afdwingen ook helaas. Sommigen dingen zijn al lastig te doorgronden door techneuten, laat staan eindgebruikers en een eindgebruiker zou dus maar moeten weten hoe ie dit gaat valideren?

Ik zie het nog niet gebeuren.

Wij zetten o.a. geforceerde TLS aan voor bepaalde domeinen, maar je kan het niet voor alles aanzetten want dan ga je gewoon mail missen. We hebben dus klanten die heel bewust weten van welke domeinen ze mail kunnen vertrouwen en bij welke ze beter na kunnen vragen als het kritisch wordt (al het andere). Maar ook dat is al een heel gedoe.

Het is eigenlijk echt wel tijd voor wat degelijkers. Maar wie gaat dat regelen? En dan afdwingen... IPv6 duurt ook al heel lang en we zitten al rond de 30%... Op de piek momenten dan.

t-force

@freaky • 31 januari 2020 15:05

SPF is inderdaad een pleister op de wonde. Maar inderdaad omdat niet ALLE beheerder SPF en DKIM gied inrichten niet echt functioneel.
Als iedere mail/DNS beheerder nu eens goed SPF en DKIM zou inrichten zou SPAM al snel veeel minder worden.
Voor de mailsystemen die ik beheer ga ik meer en meer SPF (soft)fail gewoonweg blokkeren. En de geblokkeerden uitleggen wat ze moeten doen om SPF op orde te krijgen.
Is veel werk, maar ik moet iets doen om die ongewenste mails buiten de deur te houden.

Verwijderd @t-force • 31 januari 2020 15:28

Microsoft en Google (de twee grootste e-mail providers) zijn gelukkig ook aan de weg aan het timmeren. MS accepteert in Juli geen zwakke encryptie methoden meer en hun dashboards voor TLS ondersteuning bewijst ook dat ze dit in de toekomst niet meer gaan accepteren.

Houd er rekening mee dat TLS 1,0 en 1,1 al niet wordt ondersteund, maar de werkelijke afschrijving wanneer Office 365 stopt met het accepteren van verbindingen met behulp van TLS 1,0 en 1,1 is gepland om te starten in juni 2020.
https://docs.microsoft.co...are-tls-1.2-in-office-365

Wanneer zij echt blokkades op gaan gooien zal het hopelijk ook iets sneller gaan met andere technieken. CEO fraude berichten zoals in dit artikel helpen natuurlijk ook.

mphilipp @Verwijderd • 31 januari 2020 09:56

maar dat kost tijd en geld

Ja, €2,86mln om precies te zijn...

Dostar @mphilipp • 31 januari 2020 10:00

Sorry maar ik moest lachen

Verwijderd @mphilipp • 31 januari 2020 11:58

Voor dat bedrag, regel ik je een veilige e-mail oplossing!
Maar serieus, je maakt een goed punt dat voorkomen goedkoper is dan genezen!

jmmk @Verwijderd • 31 januari 2020 12:11

Precies. Je was al klaar geweest wanneer je zo'n belangrijke aankoop even had gevalideerd in een doodnormaal telefoongesprek via een nummer dat je op voorhand met elkaar hebt afgesproken. Basale vorm van 2FA waar criminelen niet snel tussen kunnen komen (zolang je het face to face afspreekt, niet via e-mail natuurlijk). Kleine moeite om bijna 3 miljoen te beveiligen.

t-force

@Verwijderd • 31 januari 2020 14:17

Het probleem draait erom dat de gebruikers van mail vertrouwen hebben in een techniek die in de basis al meer dan 25 jaar hetzelfde is gebleven.
Ik maak dagelijks mee dat mensen geen enkel idee hebben van hoe onbetrouwbaar mail is.

Er is wel aan het SMTP verkeer gesleuteld en verbeterd door gebruik te maken van SPF, DKIM en eventuele TLS. Maar het is helaas nog niet afgedwongen dat iedereen bijvoorbeeld SPF op orde heeft.

Zo zie ik bijvoorbeeld veel SPAM verkeer binnen komen die verstuurd word vanuit een email adres wat een 'normaal' domein is bijvoorbeeld @kantoorjansen.nl, maar dat het domein een foutief SPF record heeft met als laatste commando -all. dat betekend zoveel als ik heb een SPF maar ik vindt het lastig dat ik niet zomaar vanuit elk willekeurig IP/locatie mail kan versturen.
Dat wordt dus massaal misbruikt door spammers. En je SPF controle werkt dan dus eigenlijk niet meer.

Zou SPF gemeengoed zijn dan kun je alvast keihard blokkeren op een SPF (soft)fail. Nu kan dat nog niet omdat heel veel, ook grote bedrijven, SPF niet op orde hebben.

Dat SPF verhaal is maar 1 van de hiaten aan het 'verbeterde' SMTP protocol.

Als sommige gebruikers mij vragen, hoe kan ik gegarandeerd belangrijke berichten laten aankomen bij de betreffende ontvangers, dan antwoord ik stoïcijns, stuur een aangetekende brief via PostNL. Een mail komt op zijn best meestal wel aan, maar garanties krijg je NOOIT.

Ramobo @Dostar • 31 januari 2020 09:43

Mijn werkgever (IT bedrijf) stuurt af en toe zelf phishing mails of dergelijke met als bedoeling te kijken hoeveel er in trappen en laat ik je zeggen dat als je iets van carpolicy verbetering krijgt en je wordt doorgestuurd naar een login pagina die exact lijkt op de outlookpagina van je werkgever dat ik toch ook even heb getwijfeld en het was lastpass die niet automatisch mijn gegevens invulde waardoor ik het zag. We gebruiken 2 factor authentication maar het eerste stuk waren toch veel van mijn collega's ingetrapt.

Dostar @Ramobo • 31 januari 2020 09:50

Cybercriminelen worden ook met de dag handiger. Zie je ook wel met Tikkie/IDEAL/DigiD fraude. Meeste mensen kennen niet eens de echte URL voor deze websites. Zo lang de website er uit ziet zoals het er uit hoort te zien keuren mensen het goed.
Wat criminelen ook doen is juist social engineering en phising tijdens tijden dat ze weten dat mensen het druk hebben/onder stress staan. Daardoor maken mensen iets sneller een overhaaste beslissing.
Dit is ook de reden dat telemarketing mensen nogal graag bellen op het moment dat het fornuis aan staat en je aardappelen bijna overkoken. In de hoop dat ze in een gehaast moment en woordje "JA" kunnen opnemen, vooral in het verleden veel gebeurd. Was een woordje ja genoeg voor een bindend contract.

svenslootweg @Dostar • 31 januari 2020 10:38

Meeste mensen kennen niet eens de echte URL voor deze websites.

Het is eigenlijk ook helemaal niet redelijk om te verwachten dat ze die wel kennen. URLs zijn helemaal niet ontworpen om onthouden te worden voor beveiligingsdoeleinden, maar om een locatie op het web uit te drukken. Daarvoor werkt het prima, maar op het moment dat je bijv. een domeinnaam als 'identiteit' gaat behandelen, dan gaat het fout.

Dit soort dingen kun je dus veel beter aanpakken met bijvoorbeeld authenticatiedongels (die zelf checken of het domain wel matcht met je credentials), wachtwoordmanagers met autofill (die hetzelfde doen), enzovoorts.

Bjorn89 @Dostar • 31 januari 2020 11:19

Maar vaak wordt je herleid naar een subdomein, of iets als IngNLA.NL

Sorry maar mij valt zoiets meteen op, het enige aaar ik zelf bang voor ben zijn injectie aanvallen, ik blokkeer al veel zaken en scripts, maar ik weet niet echt hoe je daar tegen kunt beschermen.

Verkeerde GIF geladen, code injectie en aju met de paraplu.

Dostar @Bjorn89 • 31 januari 2020 11:24

Ik heb zelf de betaalde versie van Bitdefender, die houd veel tegen, maar natuurlijk ook niet alles. Gebruik deze op zowel PC als telefoon. Ik denk dat injecties gewoon niet voor de volle 100% zijn tegen te houden. Ik denk ook de juiste browser met plugins om scripts e.d. tegen te houden ook al veel kan betekenen. Alleen wel veel werk met de white/blacklists.

thefal @Bjorn89 • 31 januari 2020 14:04

Er zijn vele tekens in gebruik die op andere tekens lijken. Il| bijvoorbeeld. Het is niet altijd even makkelijk om te zien dat een URL niet klopt.

dan krijg je zaken als Mijn.ing.nI
Natuurlijk, als je heel goed kijkt zie je dat bovenstaande link niet klopt, maar zelfs als je ook maar een beetje niet goed kijkt valt het al niet op.

wifikabelhuren @Dostar • 31 januari 2020 11:01

Tikkie of betaalverzoeken hebben het ook deels aan hun zelf te danken. Bijvoorbeeld:

"Wil je me €3,95 betalen voor ... via"
https://betaalverzoek.rab...nl/betaalverzoek/?id=..."

Het bedrag wordt hier namelijk 2 keer genoemd. Namelijk in het gedeelte bericht waar nu 3,95 staat. En op de betaalpagina van de betreffende bank/instantie. De controle van het bedrag gebeurt namelijk bij de eerste regel in het gedeelde bericht, vervolgens kom je op de betaalpagina van de bank en controle hoeft hier niet meer plaats te vinden aangezien het bedrag al bekend was in het gedeelde bericht.
Op de uiteindelijke betaalpagina reken ik niet 3,95 maar 13,95.. Veel mensen zullen dit aangepaste bedrag niet zien omdat controle al geweest was.

Tintel

Politiek en recht

@Ramobo • 31 januari 2020 14:50

Maar bron validatie is toch ook het begin van het vertrouwen...? Als je je eigen werkgever niet meer kunt vertrouwen? En dat is het probleem met man-in-the-middle... Je 'moet' het eigenlijk wel vertrouwen. Als dat verderop fout gaat dan lijkt het eerder een vergissing dan phishing.

tdlaccount @Dostar • 31 januari 2020 10:58

Wil je weer over op fax dan? Want in Duitsland wordt dat nog steeds gebruikt voor snel gevoelige data opsturen. Maar de fax infrastructuur wordt met tijd echt een drama.

Daarnaast had dit debacle simpel verholpen kunnen worden door 1 belletje te doen meer niet en was het niet zo uit de hand gelopen.

Zelfs Google mail is veiliger.

Dostar @tdlaccount • 31 januari 2020 11:00

Ja ik benoem zaken zoals Microsoft Teams, Encryptie etc. en daarmee bedoel ik inderdaad de fax

Nee wat ik bedoel is of delen via een beveiligde/digitale omgeving waar mensen een account hebben (Teams/Sharepoint) of een manier waarin je combinatie tussen beveiligde container en afgesproken wachtwoorden met instanties gaat gebruiken. 2 staps verificatie als het ware.

[Reactie gewijzigd door Dostar op 23 juli 2024 16:22]

jimshatt @tdlaccount • 31 januari 2020 12:20

Een telefoon aftappen is misschien nog wel makkelijker dan een e-mailaccount hacken / spoofen. Zeer weinig faxmachines hebben encryptie, en de afzender is al helemaal makkelijk te spoofen. Dus misschien moeten die Duitsers nog maar eens nadenken over hun methode

Ik ben het wel eens met het museum dat de handelaar op z'n minst iets van SPF had kunnen instellen, maar inderdaad even een belletje zou handig zijn geweest, zeker bij zo'n bedrag.

mjtdevries @Dostar • 31 januari 2020 16:17

In ieder geval is de AVG cursus die ik gehad heb van 2 uurtjes echt een lachertje geweest, de beste man wist zelf niet eens antwoorden op wat diepere vragen omtrent het e-mail protocol en/of encryptie technieken.

Nogal logisch want AVG heeft geen zier te maken met email beveiliging.

AVG gaat over welke gegevens je wel of niet mag bewerken. Hoe lang je ze met bewaren etc etc.
Ook dat je ze veilig moet opslaan.

Maar hoe je dat veilig doet is een volledig andere expertise. En dan ben je er niet met alleen IT kennis, want als het gegevens op papier zijn, dan moet heb je het over fysieke beveiliging zoals een kluis. Dus dan helpt die encryptie kennis je niet.
Blijkt wel dat die AVG cursus niet goed genoeg is geweest als dat niet bij je over gekomen is.

Dostar @mjtdevries • 31 januari 2020 19:12

Laat ik het zo zeggen; toen de AVG van start ging kregen we een PDFje met de "spelregels", die eigenlijk vrijwel het zelfde waren als wat we altijd gewend waren met gegevens van personeel en leerlingen. Ook de bewaartermijn, etc.
Was meer een opfrisser dan nieuwe kennis. De cursus zelf was bijna het citeren van het PDFje dat we al in handen hadden met wat slappe voorbeeldjes.
En zoals ik aan gaf moest je niet dieper vragen over bepaalde onderwerpen van de cursus.

Van mij mag er ook weer een soort van nieuw digitaal rijbewijs komen voor mensen. Waar ik vroeger op de middelbare school een beetje Office en Windows leerde, hoort er tegenwoordig toch wel iets meer bij betreft security en preventie. Tot op zekere hoogte natuurlijk.
Maar goed verkeerslessen met kinderen op de basisschool met daadwerkelijk in groepjes fietsen inclusief leerkracht erbij gebeurd tegenwoordig ook bijna niet meer. Was vroeger toch wel anders, inclusief fiets/licht controle, etc.
Nu sturen we ouders voortaan aan klasbord berichtje of ze aub de kinderfietsjes willen verlichten... met natuurlijk maar de helft die er ook iets mee doet.
Hoe dan ook, digitale vaardigheden mogen wel wat beter aangeleerd worden bij kinderen, zoals o.a. nu gebeurd met lesmateriaal over social media en sexting. Wat weer wel een goede ontwikkeling is.

[Reactie gewijzigd door Dostar op 23 juli 2024 16:22]

Neoldian @Dostar • 31 januari 2020 11:17

De AVG vertelt ook niet hoe je het moet doen, maar wel aan welke voorwaarden je moet voldoen als het gaat om digitale gegevensoverdracht. Dat iemand die een AVG cursus geeft, geen kennis heeft van ICT vind ik niet zo raar.

Ik geef die training op mijn werk ook en ik weet wel iets van techniek, maar ben ook geen ICT-er. Wel heb ik met de IT afdeling om tafel gezeten om uit te leggen wat de bedoeling is met AVG en ik vertrouw erop dat zij dat technisch ook inrichten, dat is immers hun specialisme.

Daarnaast hebben we een uitgebreid ICT protocol voor medewerkers waarin staat welke middelen waarvoor bedoeld zijn. We gebruiken bv. Whatsapp voor day-to-day communicatie, maar niet voor vertrouwelijke zaken.

100% waterdicht is volgens mij niets, maar je kunt natuurlijk wel heel ver komen als je organisatie ook bereid bent erin te investeren, zowel in geld, middelen en tijd. En vaak blijkt dit, samen met de factor mens, meestal de basis van problemen te zijn.

FrankHe

@Dostar • 31 januari 2020 11:41

Een AVG cursus met een voorbeeld van 419 phishing, werkelijk? Daar heeft duidelijk iemand twee verschillende cursussen door elkaar zitten halen.

Dostar @FrankHe • 31 januari 2020 12:01

Het hele AVG gebeuren is natuurlijk ook weer een business voor "adviseurs" om geld in te verdienen.
En deze mensen hebben niet altijd de meest uitgebreide kennis.

Een mooi voorbeeld is echt jaren terug toen ik een lange tijd in de ziektewet zat. Het UWV had een bedrijf in dienst genomen om mensen weer aan het werk te krijgen. Zogenaamde job coaching bureau. Wat bleek dat bureau was voorheen niets meer dan een telemarketing bedrijf. Waren goed in praten, maar hadden echt 0.0 kennis van de arbeidsmarkt. Maar voor het UWV de goedkoopste.
Dus ik wilde graag aan het werk, dus had mijn aangemeld voor een jobcoaching traject via UWV en dus dat extern bedrijf.
Kwam een best aantrekkelijke juffrouw bij mij thuis over de vloer die besprak mijn situatie, wensen, noem het maar op. Het gaf mij gelijk een goed gevoel, vooral vanwege de wensen die ik had en waar ze mij bergen van goud beloofde betreft een werkplek vinden. Heb daarna die juffrouw nog 1 keer gezien bij mij thuis en we hadden weer exact het zelfde gesprek, zelfde beloften, maar geen enkele stappen gezet richting werkgevers.
Achteraf kreeg ik een brief vanuit het UWV dat de samenwerking met deze externe instantie was stopgezet vanwege enorm slechte resultaten. Al met al hadden ze flink lopen beuren en bijna niemand echt aan het werk gekregen.

Lang verhaal kort: Ik denk dat sommige AVG adviseurs van het zelfde niveau zijn zoals die jobcoach destijds helaas, maar bedrijven en instellingen zijn wel opzoek naar cursussen voor hun personeel en komen dan bij dit soort instanties terecht.

Habana @Dostar • 31 januari 2020 13:05

Dat herken ik, jobcoaching breek me de bek niet open precies het zelfde meegemaakt, twee maal zelfs, een hoop geleuter over niets met een kopje koffie erbij en voor het UWV een rekening van €6000 euro, ze hadden voor mij een lijstje gemaakt met Jobs die zouden passen, precies tegenstrijdig met de handicap waar ik destijds mee worstelde.. je gaat omdat UWV dat min of eist, maar totaal goed bedoeld belasting geld weg gegooid.. zo zonde..

Dostar @Habana • 31 januari 2020 13:10

Nou ik had het voordeel dat ik echt zelf wilde en het aangeboden kreeg (dus niet verplicht). Maar was destijds ook 85 tot 100% afgekeurd. Als je minder bent afgekeurd is het inderdaad bijna een verplichting vanuit het UWV (en ook logisch ergens, werken naar kunnen).
Maar die externe bedrijven die ze inzetten...
Ik heb daar na zelf gezocht naar een echte jobcoach en had in 3 maanden tijd een baan met jaarcontract, daar na vaste aanstelling gekregen en tot op heden in dienst. Dus er zijn wel goede jobcoaches, alleen moet je echt goed zoeken, zelfde met recruiters waar hier op Tweakers een heel forum van bestaat.

cdwave @Dostar • 31 januari 2020 11:39

Je kunt e-mail prima beveiligen en authenticeren, je moet er wel vijf minuten tijd insteken om het in te stellen.

Om mij onbekende redenen wil niemand eraan beginnen. Misschien vinden mensen het wel fijn om zich achter de plausible-deniability te verschuilen. Het heeft een beetje onofficiele status en je kunt altijd claimen dat het mailtje niet van jou kwam.

Het onbegrijpelijke is niet zozeer het gebruik van e-mail, maar het misplaatste vertrouwen in een onbeveiligd medium.

TheAccountant @Dostar • 31 januari 2020 14:15

Op kantoor heeft ons Outlook een add-on genaamd Cryptshare Transfer-Manager. Zou zo'n add-on niet al jouw zorgen wegnemen?

Verwijderd @Dostar • 31 januari 2020 17:35

Ik zou als ik you was, zelf deze cursussen gaan geven!

SpAsMic 31 januari 2020 09:09

Wat een ontzettend knullige manier van handelen. Je zou zeggen dat het oppakken van de telefoon, alvorens je zo'n bedrag overmaakt, niet al te lastig zou moeten zijn... Ik doe al moeilijk boven de 5 tientjes, laat staan met het gemiddeld inkomen dat een Nederlander in zijn leven verdient....

PvT.Arj @SpAsMic • 31 januari 2020 09:14

Inderdaad, HOE kun je zo'n bedrag overmaken zonder even te bellen om de overeenkomst en het rekeningnummer te verifiëren?

gitaarwerk @PvT.Arj • 31 januari 2020 09:17

Simpel. Alles berust op vertrouwen. Eigenlijk is dat met security net zo.

Het is ongelooflijk makkelijk om social engineering te doen, en daarvoor hoef je eigenlijk alleen maar goed te luisteren. De laatste stappen laat je in een lang traject liggen. Daarvoor zijn dus eigenlijk al die bureaucratische protocollen. Welke dus hiervoor dienen :-)

FairPCsPlease @gitaarwerk • 31 januari 2020 11:48

Inderdaad. Vertrouwen. Mensen zouden te vertrouwen moeten zijn. Het verbaast mij altijd dat dit soort dingen gebeuren en dat we online zoveel beveiligingsmaatregelen moeten treffen. Hoe komt het toch dat mensen anderen geld of andere zaken afhandig maken die niet voor hen zijn bestemd? Wat speelt zich af in het hoofd van een crimineel? Ik kan me helemaal niet voorstellen, hoe het kan dat je anderen op zo'n manier benadeelt? Ik kan me er helemaal niet in inleven hoe het is, om willens en wetens anderen geld afhandig te maken, waar je geen recht op hebt. Heeft zo'n crimineel geen inlevingsvermogen? Neem bijvoorbeeld dat geval van het gijzelen van het systeem van de Maastrichtse universiteit: voor een paar ton wat die criminelen helemaal niet verdiend hebben, ontwrichten ze de studenten, de docenten, het wetenschappelijk proces? Hoe is het mogelijk dat iemand/een groep mensen dat willens en wetens doet?

Sluuut @FairPCsPlease • 31 januari 2020 12:43

Het doet er eigenlijk niet toe hoe dat mogelijk is, feit is dat het sinds het bestaan van de mensheid gebeurd en blijft gebeuren. Dus je moet er helaas rekening mee houden.

gepebril @FairPCsPlease • 2 februari 2020 10:11

Helaas wordt hier in Nederlandse media weinig tot geen aandacht aangeschonken hoe dit komt.
In mijn periode van mijn leven deelde ik een woning met dergelijke type mensen. Ik vond ze de menselijke variant van Koekoeken. Als je van Darwin uitgaat, is het heel normaal dat mensen de maatschappij vanuit verschillende kanten benaderen. Zij kenden de wet opvallend goed, dus wisten goed wat net wel mocht, of de zaak zo te frustreren dat het in hun voordeel werkte. Wisten goed wat de zwakheden van mensen waren en maakten hier "goed"gebruik van. Ze wilden geen 9 tot 5 baan, en zo min mogelijk werk verzetten. Bij hun was het van generatie op generatie. Dus een manier van (over)leven. Je wordt helaas in onderwijs niet op gewezen, zodat je hier in de praktijk tegenaan loopt, vaak met flinke schade. Dit soort mensen zullen altijd blijven bestaan en hoort helaas ook bij de mensheid

[Reactie gewijzigd door gepebril op 23 juli 2024 16:22]

FairPCsPlease @gepebril • 2 februari 2020 10:58

Inderdaad is het vanuit evolutionair oogpunt wel verklaarbaar: een samenleving van samenwerkende sociale dieren (zoals mensen of andere primaten) heeft er baat bij als de leden elkaar vertrouwen, dat geeft iedereen voordeel in het verkrijgen van de basismiddelen van bestaan, want het bevordert het samenwerken aan doelen, dus genen die coöperatie en vertrouwen bevoordelen doen het goed. Maar als iedereen elkaar vertrouwt worden ook de misbruikers en bedriegers vertrouwd en kan het voordeel hebben om te bedriegen en er misbruik van te maken dat je altijd vertrouwd wordt, dus steken genen die dat bevorderen de kop op. Maar als die de overhand krijgen en iedereen elkaar wantrouwt, stort coöperatie in en hebben degen die wel vertrouwen en samenwerken voordeel, want zij krijgen samen meer voor elkaar. Evolutionair blijkt uit berekeningen van de speltheorie een mix van coöperatie en wantrouwen het meest stabiel in de genenpoel.

Dat verklaart het, maar dat is voor mij een intellectueel begrijpen. Ik kan echter niet invoelen hoe het is om crimineel te kunnen handelen, mentaal gezien, er is geen verstehen bij mij en dat frustreert me.

[Reactie gewijzigd door FairPCsPlease op 23 juli 2024 16:22]

gepebril @FairPCsPlease • 6 februari 2020 18:08

Wat u crimineel vindt, dat vindt u. Ze hebben nergens moeten tekenen voor de grondwet. Trouwens er is helemaal geen keuze, of je die wilt of een andere versie. Ik begrijp dat samenwerken beter werkt. Alleen willen sommige dat helemaal niet.

asing @gitaarwerk • 31 januari 2020 09:36

Ik heb dit dus daadwerkelijk zien gebeuren. Criminelen krijgen toegang tot de stroom e-mails. Vervolgens reageren ze netjes met e-mail handtekening en alles. Op een gegeven moment kwam er een mail met het bericht dat het rekeningnummer was veranderd en of de betalingen in het vervolg daarheen konden. Toen werd er iemand wakker.

Het is natuurlijk zo "echt" als de criminelen het kunnen maken. Van een gehackt mail account, een onbeveiligde maildienst (DKIM, DMARC etc niet gebruiken) tot een domein waar ineens een g is veranderd in een q.

Criminelen werken heel geraffineerd en men heeft dit lang niet altijd door. Zodoende maken ze geld over en de criminelen lachen zich een ongeluk.

gitaarwerk @asing • 31 januari 2020 09:41

Ja, compleet met je eens. Ik ben er zelf ook ooit eens ingetrapt met Marktplaats. Na erna keek ik wel uit. Zelfs in mijn honeypot trap kon ik weinig achterhalen (allemaal werd het achter Amazon AWS VPN gedaan, en die lui van Amazon zijn niet heel behulpzaam als het aankomt op dit soort dingen).

Jeroen73 @gitaarwerk • 31 januari 2020 11:09

Als het over geld en security gaat is juist wantrouwen het belangrijkste.

Sergelwd @Jeroen73 • 31 januari 2020 11:42

Alleen moet je dan waarschijnlijk niet bij de gemiddelde museum-lui zijn.. Integendeel.

gitaarwerk @Jeroen73 • 31 januari 2020 12:50

Ben ik niet helemaal mee eens. Naja, deels. Vanuit wantrouwen bouw je een systeem zodat je weet dat je elkaar van vertrouwen. Zonder dat kan je namelijk geen veilige transacties doen. Dat is maar net zo lang je weet dat het vertrouwen bestaat.

Dat kan zijn van een email, vertrouwen van iemand's stem te horen (ben jij het wel echt?) of een TLS certificaat.

Blokker_1999

Politiek en recht

@PvT.Arj • 31 januari 2020 09:34

Je wil niet weten hoe normaal dat zoiets is. Enkele jaren terug zagen we bij ons een mail passeren die eigenlijk gewoon hetzelfde probeerde te doen tussen 2 andere partijen. Wij waren betrokken, maar niet in de financiële afhandelling. De criminelen moesten op 1 of andere manier de mails hebben kunnen lezen en toen het op betaling aankwam, kwam er een mail van een email adres dat een lichtjes foutief gespeld domein gebruikte om zogenaamd het rekeningnummer te wijzigen, ook naar een rekening in HK als ik het mij goed herinneren. Gelukkig merkte hier wel voldoende partijen onraad.

Wanneer je regelmatig met grote bedragen omgaat, dan is een overschrijving van een miljoen even normaal als een overschrijving van een tientje.

croc @Blokker_1999 • 31 januari 2020 11:18

Wij hebben het op het werk ook meegemaakt. Externe consultant die al jaren zijn maandfactuur via de mail verstuurd naar de boekhouding. Plots merken ze op dat de bankrekening op de PDF-factuur in bijlage gewijzigd is. Gelukkig geeft de banksoftware dat aan. Bij nader onderzoek bleek er ingelogd te zijn via O365 (geen 2FA, ondertussen wel). Hoe ze aan de inloggegevens zijn geraakt is nog steeds een raadsel. In O365 was er een rule ingesteld om specifiek die mails te filteren en te verplaatsen naar een nietszeggende submap (Junkmail) en werden ze als Gelezen gemarkeerd. Daarna werd er ingelogd, werd de PDF aan de factuur gewijzigd en werd de mail terug verzonden vanuit het gespoofde adres. Die kwam in de Spam folder terecht (SPF's niet correct) en werd handmatig verplaatst naar de Inbox. Zo eenvoudig en toch best vernuftig.

croc @Blokker_1999 • 31 januari 2020 12:46

Het gewijzigde rekeningnummer was trouwens gewoon uit het binnenland, er werd dan ook een officiële klacht ingediend.

xelnaha @PvT.Arj • 31 januari 2020 10:45

daarom maak ik meestal ook €1 over, verifieer dat dit is aangekomen door een belletje te plegen, alvorens de rest over te maken. Nooit maar dan ook nooit stuur ik meteen het hele volledige bedrag in een keer zonder zeker te weten dat het is aangekomen.

Olympus user @PvT.Arj • 31 januari 2020 09:40

Ik moet mijn bankrekening doorgeven ivm de verkoop van mijn huis en aankoop ander huis, ik loop wel even binnen bij de advocaat met mijn papieren. (Ik woon niet in Nederland)

MrMonkE @PvT.Arj • 31 januari 2020 13:09

Ach. handtekeningetje hier, paar miljoen daar.
Kraait geen haan naar.

MrMonkE @PvT.Arj • 31 januari 2020 20:27

Als je deel uit maakt van de fraudeurs doe je dat zonder na te denken.
Just saying.

edit: Ow dit staat onder elkaar.. hmm jammer. Kan er niets meer aan doen.
Doe maar alsof het automatisch gemerged is naar 1 post omdat de software het zag.

[Reactie gewijzigd door MrMonkE op 23 juli 2024 16:22]

tapkcir @SpAsMic • 31 januari 2020 09:22

Dat was ook mijn eerste gedachte.. Ik betwijfel of ook maar 1 van de betrokkenen zo gehandeld had als het hun eigen centen waren geweest.

nobraininvolved @tapkcir • 31 januari 2020 09:33

ik denk het wel eerlijk gezegd...
als je aan het onderhandelen bent met eender welke partij, je stelt een prijs vast en als laatste mail je elkaar's bankgegevens door zodat de transactie kan plaatsvinden. Daar is niet zoveel vreemds aan. Gebeurt dagelijks miljoenen keren over de hele wereld.
De criminelen hebben op precies het juiste moment toegeslagen blijkbaar. Ze zullen adv het mailverkeer wat ze al hebben kunnen lezen ook wel de teksten in hun mail hebben aangepast aan het gebruikte taalgebruik.

Wij (en bedrijven etc) zullen er echt aan moeten wennen om voor dit soort transacties een soort 2 way authentication te gebruiken. Ook al is dat natuurlijk ook niet waterdicht...

croc @nobraininvolved • 31 januari 2020 11:23

Als het mailverkeer onderschept kon worden is het best mogelijk dat ze de originele mail met de betalingsgegevens gewijzigd hebben, waardoor het taalgebruik en de inhoud 1:1 aan de verwachtingen voldeed.

Scriptkid @SpAsMic • 31 januari 2020 10:23

idd zoiezo een kust handelaar in de UK met een hongkong bankrekening dat verrifieer je toch een paar keer / moet toch wat ?? op roepen

White Feather

@Scriptkid • 31 januari 2020 11:27

Sowieso is bij ieder buitenlands nummer voorzichtigheid geboden.

We kennen voor de Nederlandse nummers natuurlijk de check van naam vs rekeningnummer.

Voor buitenlandse rekeningen is dat er niet. 1 enkele tikfout kan het bedrag al naar de verkeerde rekening sturen en dan ben je het vaak gewoon helemaal kwijt.

Alex3 @White Feather • 2 februari 2020 14:15

Één tikfout is niet voldoende. Met twee tikfouten is de kans op een geldig rekeningnummer heel klein, met 3 of meer tikfouten is die kans 1 op 97, en de kans op een bestaand nummer nog kleiner.

White Feather

@Alex3 • 2 februari 2020 14:57

Bron?

Het is niet alsof de rest van de wereld ons eigen systeem heeft waarbij je de elf-proef kunt doen.

Hierkomik 31 januari 2020 11:16

Interessant is dat in deze hele discussie de bank nog niet genoemd is. Hangen die ook niet aan de lijn als ze merken dat er een bedrag met een significant aantal nullen overgemaakt wordt naar een ander land/vreemde rekening?
Ik was altijd in de veronderstelling (I know, the mother of all..) dat er daar ook nog wel wat checks gedaan worden. Maar helemaal niets daar van?

Groningerkoek @Hierkomik • 31 januari 2020 11:32

Alleen bij opvallend en afwijkend gedrag, een rijksmuseum welke een groot bedrag overmaakt is op zich niet vreemd of raar.

Hierkomik @Groningerkoek • 31 januari 2020 12:29

Daar dacht ik ook aan, maar misschien wel naar een HK rekening? Dat zal minder vaak voorkomen..

Groningerkoek @Hierkomik • 31 januari 2020 16:29

Van een museum zou ik juist geregeld betalingen naar de vreemdste uithoeken van de wereld verwachten, ook wegens exposities, tentoonstellingen, bruikleen, transportbedrijven etc. etc..

MrRobot

31 januari 2020 11:23

"Uit onderzoeken is gekomen dat er in onze e-mailsystemen geen enkele kwetsbaarheid zat, dat ze up-to-date en in orde waren", zegt museumdirecteur Arnoud Odding.

https://internet.nl/mail/rijksmuseumtwenthe.nl/315198/
~all op SPF
Geen DMARC
Geen DNSSEC
TLSv1.0/1.1

Paul @MrRobot • 31 januari 2020 16:22

Dat is voor mail die ze sturen; ze hebben nu de mail met het verkeerde rekeningnummer ontvangen.

Hoe de criminelen mee hebben kunnen lezen weet ik niet (daar zou DNSSEC en TLS een rol kunnen spelen), maar aan de SPF en DMARC van de ontvanger heb je helemaal niets als je de afzender wil beoordelen

Aurora @MrRobot • 31 januari 2020 19:10

Hoe weet je dat het domein rijksmuseumtwenthe.nl is gebruikt om te verzenden? En in welke header deze voorkomt?

Het domein rijksmuseumtwenthe.nl lijkt mij een typisch From header domein (DMARC), maar niet voor het envelope sender (SPF). Van DKIM zou je het ook niet kunnen weten, dat kan ook elk (sub)domein zijn (d=). Kortom, je hebt een originele header sample nodig om de email best practices na te lopen.

Het SPF op zichzelfstaand is 'flawed'. Als mail delivery prioriteit is, dan hanteer je het best een softfail policy ~all. Anders zal bij een simpele legitieme foward een SPF fail gegenereerd worden.

[Reactie gewijzigd door Aurora op 23 juli 2024 16:22]

kuurtjes 31 januari 2020 09:17

Ter verduidelijking; de juiste SPF records waren waarschijnlijk niet gezet.

En omdat het museum de mail met rekeningnummer van de kunsthandelaar ontving, zal het waarschijnlijk om diens server gaan. Ook kan je hier uit afleiden dat de aanvallers alleen op de inboxen van het museum zaten.

Het museum betoogde tegen het hooggerechtshof van Londen dat op de kunsthandelaar een verplichting rustte om de beveiliging van zijn e-mailsystemen op orde te houden.

Mochten de aanvallers op de mailservers van het museum zelf zitten denk ik trouwens dat je SPF checks gewoon kunt uitschakelen. En dan zouden ze deze claim niet hebben kunnen doen.

[Reactie gewijzigd door kuurtjes op 23 juli 2024 16:22]

Brousant @kuurtjes • 31 januari 2020 09:38

En omdat het museum de mail met rekeningnummer van de kunstenaar ontving,

Het lijkt me sterk dat die e-mail van de kunstenaar kwam of dat het zijn rekeningnummer was...

https://nl.wikipedia.org/wiki/John_Constable

kuurtjes @Brousant • 31 januari 2020 11:25

Heb het duidelijker gemaakt. Ik ben niet zo mee met kunst

Brousant @kuurtjes • 31 januari 2020 11:29

Ik snapte ook wel dat je eigenlijk de kunsthandelaar bedoelde, maar zoals het er stond was het best grappig

n9iels

@kuurtjes • 31 januari 2020 11:02

Ik vraag mij of het correct instellen van de SPF records direct had geholpen. In mijn ervaring ben je 100% over gegeven aan de configuratie van je mail client in hoe strikt deze is. Ik ken voorbeelden waarin er een gespoofde email is gestuurd en de mail-client van de ontvanger die niet aan gaf, of de mail in Spam plaatste.

MrRobot

@n9iels • 31 januari 2020 11:17

Inderdaad, gmail doet bijvoorbeeld niks met SPF:
“An SPF fail (soft or hard) alone is not enough to trigger the G Suite spam filters to mark a message as spam. For G Suite to mark messages as spam they must fail both SPF and DKIM”.

Niet zeggende dat er gmail is gebruikt uiteraard.

[Reactie gewijzigd door MrRobot op 23 juli 2024 16:22]

hackerhater @MrRobot • 31 januari 2020 11:45

Dat is behoorlijk dom dan van gmail.
Soft fail kan ik me voorstellen, maar een hard fail?
Waar een domein hard in stelt welke adressen namens hem mail mogen sturen.

GertMenkel @n9iels • 31 januari 2020 11:14

SCP-validatie wordt niet door je mail client gedaan maar door je eigen mailserver. Als een gespoofde email van een domain met een SPF record (dat niet allow all is) doorkomt, is dat een configuratiefout bij je mailserver.

Naast SPF zou je natuurlijk ook DKIM moeten instellen met DMARC maar helaas lopen veel bedrijven hier hopeloos in achter. Met een goede DMARC had de gespoofde afzender een bericht ontvangen dat iemand hun mailadres probeerde te spoofen en in kunnen grijpen.

n9iels

@GertMenkel • 31 januari 2020 12:23

Ah excuus. Je hebt gelijk, dat doet je mailserver uiteraard

Bose321 31 januari 2020 09:11

Ben benieuwd hoe ze dat verkeer dan wisten te monitoren. Je zou zeggen dat zulk belangrijk e-mailverkeer toch wel encryptie heeft of ondertekend zijn van echtheid?

Ik kan me in beide partijen wel vinden, je maakt niet zomaar klakkeloos bijna 3 miljoen ergens naar over toch? Dan check en dubbelcheck je toch wel even of je het naar de juiste rekening stuurt?

Maar anderzijds als ze onderhandelaars wisten van de hack, hoe kan je dan toch gewoon door gaan met de verkoop?

Ik bedenk me nu dan ook, hoe zit het met toekomstige transacties? Want als het eenmaal is gelukt, dan kunnen ze dit trucje bij elke transactie gebruiken toch?

Moes-T @Bose321 • 31 januari 2020 09:14

zoek het niet te ver. Met monitoren bedoelen ze allicht "hadden de login gegevens van 1 van de partijen". En niet "wisten het dataverkeer te tracken, te decrypten en injecteren"

sympa @Moes-T • 31 januari 2020 09:35

Een forward gezet op een mailbox (via XSS) kan genoeg zijn...

Willemvv23 @Moes-T • 31 januari 2020 09:55

Ik ben benieuwd om beide partijen met 2 staps verificatie werkten.

Dit soort overboekingen kan je beter via een notaris laten lopen.

P_Tingen @Bose321 • 31 januari 2020 09:34

Ja, dat dubbelcheck je dus door nogmaals een mail te sturen naar je onderhandelingspartner met de precieze gegevens om het zeker te weten. De criminelen opereren op een niveau dat je je er niet van bewust bent dat ze er zijn. Als jij al een hele tijd aan het mailen bent met de potentiele klant, ga je er niet van uit dat de conversatie halverwege wordt overgenomen door iemand anders.

Nu beweren dat dat dom is en dat ze dat wel hadden moeten doen is een typisch gevalletje Captain Hindsight. Ik durf te beweren dat het merendeel van de tweakers hier hetzelfde had kunnen overkomen.

Voorbeeld; ik heb een tijdje geleden een laptop overgenomen van iemand op V&A voor €600. Deze persoon had en heb ik nog nooit gezien of gesproken, maar ik vertrouw hem op basis van een paar honderd goede beoordelingen; de kracht van Tweakers. Als iemand nu halverwege mijn chat met hem de conversatie had overgenomen, zou ik zonder blikken en blozen dat geld overgemaakt hebben naar een verkeerde rekening.

croc @P_Tingen • 31 januari 2020 11:25

Door opnieuw mail te gebruiken om te verifiëren ga je helaas de mist in, ook daar kan makkelijk op ingespeeld worden. Verificatie van het rekeningnummer doe je telefonisch, toch voor zo een bedragen.

Ik denk dat het echt ongelooflijk vaak gebeurt, maar dan met net iets kleinere bedragen.

P_Tingen @croc • 31 januari 2020 11:30

Dat klopt, maar mijn punt is juist dat je je juist helemaa niet bewust bent van het feit dat je communicatiekanaal gekaapt kan zijn. En als je je daar niet van bewust bent, ga je het niet checken.

Mijn vrouw: waarom check je niet of er genoeg water onder de aardappels zit?
Ik: ik dacht dat het vuur onder de pan uit was, dus waarom zou ik dat het water checken?

Bose321 @P_Tingen • 31 januari 2020 09:36

Ik snap waar je op doelt, maar bij een instantie kan je toch het telefoonnummer opzoeken en bellen of het nummer wat je hebt ontvangen klopt? Natuurlijk ga je er van uit dat het klopt als je een tijdje mailt met iemand, maar we hebben het hier niet over een paar honderd euro.

Blokker_1999

Politiek en recht

@Bose321 • 31 januari 2020 09:35

Maar als je dan kijkt hoe bijvoorbeeld Outlook de ondertekening of versleuteling weergeeft dan kan ik mij perfect inbeelden dat mensen daar niet naar kijken.

locke960 @Bose321 • 31 januari 2020 10:28

Ben benieuwd hoe ze dat verkeer dan wisten te monitoren. Je zou zeggen dat zulk belangrijk e-mailverkeer toch wel encryptie heeft of ondertekend zijn van echtheid?

Niet te ver zoeken. De meest voor de hand liggende mogelijkheid is een rotte appel aan een van beide kanten.

Pingewin @Bose321 • 31 januari 2020 10:30

En dat check je met de mail waar het goede nummer in staat.

Ik werk in finance, en een nummer bij een bank in HK voor een bedrijf uit London zou ik niet zo vertrouwen. Maar dat is makkelijk achteraf.

Meestal werkt dit dat een administratieve medewerker het rekening nummer in het financiele systeem bij die leverancier zet. Iemand anders boek de factuur in, een derde persoon maakt een lijst met betalingen voor die week, en een kopie van de facturen (stapeltje van 50 heb je zo). Dan gaat een manager daar doorheen, tekent af en dan gaat de betalingsinstructie naar de bank.

En dit soort fraude met bewust gemanipuleerde bankrekening nummers is heel zeldzaam. De focus is meer op facturen die zijn gestuurd voor goederen of diensten die nooit besteld of geleverd zijn.

divvid 31 januari 2020 10:34

dit soort dingen doe je toch via een notaris of escrow service...zijn er genoeg van.

OxWax @divvid • 31 januari 2020 11:10

Of je belt gewoon even om gegevens te verifiëren?
Je kan zeggen wat je wil maar ik ken een paar gelukkige oplichters ....

gooos @divvid • 31 januari 2020 11:11

Precies mijn gedachte - je wilt uiteindelijk toch enige garantie mbt betaling vs levering, al is het maar voor een bewijs van aankoop in het geval je het al in bruikleen had hangen ter promotie van fondswerving...

Northstar 31 januari 2020 10:54

Dit kan voorkomen worden door een oplossing zoals Proofi te gebruiken bij digitale communicatie: https://www.proofi.com/

De oplossing stelt in staat om emails te verifiëren of deze daadwerkelijk ook komen van de verwachtte afzender en of deze persoon gerechtigd is door het bedrijf/de organisatie om die betreffende actie te ondernemen.

Het is één van de projecten binnen het hele blockchain gebeuren die ik met veel interesse volg en afwacht.

HoppyF @Northstar • 31 januari 2020 11:09

Dit soort oplossingen had natuurlijk al jaren in het e-mail protocol verwerkt moeten zijn.
Het is onbegrijpelijk dat iedereen op een zeer oud en onveilig e-mail systeem moet vertrouwen.
Er zijn vrijwel geen ontwikkelingen geweest om e-mail veilig te maken.
Een betere oplossing is dus zeer welkom zeker als dit betekent dat e-mail niet meer helemaal gratis kan zijn.
Daarbij ben je waarschijnlijk ook meteen verlost van spam wat ook al een verademing zal zijn.

Verwijderd @HoppyF • 31 januari 2020 11:33

E-mail kent zowel transport als content encryptie: SMTPS (of TLS over SMTP) voor transport en PGP voor de content van de E-mail. Bij PGP zit automatisch ook digitale ondertekening.

Je moet het natuurlijk wel gebruiken.

De IT dienst van dat museum had dit in orde moeten maken. De kunstenaar waar het over gaat ook.

Dan had dit niet gebeurd.

Northstar @Verwijderd • 31 januari 2020 14:59

Voor PGP heb je toch weer wat meer technische kennis nodig om het allemaal op te zetten lijkt mij toch? Het idee van Proofi is om het zo simpel mogelijk te maken om een communicatie stroom te verifiëren op een gebruiksvriendelijke manier.

Verwijderd @Northstar • 31 januari 2020 16:40

Komt er op neer om het te installeren en de public key met elkaar te delen. Bij webmail gebruik je Mailvelope.

Zynth 31 januari 2020 09:10

Dat krijg je er van als je 2.86 miljoen euro overmaakt zonder de ontvanger even te bellen...
Persoonlijk word ik van een paar duizend euro al nerveus; dan loop ik 10x het rekeningnummer na, laat het door iemand anders controleren, etc.
Ik vind het frappant dat het museum de schuld bij een ander probeert te leggen.

[Reactie gewijzigd door Zynth op 23 juli 2024 16:22]

Tortelli

@Zynth • 31 januari 2020 09:22

Overmaken van grotere bedragen went vanzelf, je moet (in mijn geval) vertrouwen hebben in je medewerkers en soms een steekproef nemen.
Meeste betalingen van echt grote bedragen (zeg >€50.000) die wij doen zijn wel richting vaste partijen (belastingdienst

) wat het een stuk minder risicovol maakt.

DocMac

@Zynth • 1 februari 2020 08:56

Ik snap inderdaad niet hoe mensen zo onoplettend kunnen zijn. Als je niets weet over internet en e-mal fraude, waarom heb je dan in godsnaam nog de bevoegdheid om zo'n deal via de mail te doen en het geld naar een niet triple gecheckte bankrekening over te maken. Of doe het dan via de derdenrekening van een notaris of zo.

Nostalgmus

31 januari 2020 10:18

Het museum en Dickinson beschuldigen elkaar er nu van dat hun e-mailsysteem binnengedrongen was door de criminelen. Volgens de advocaat van het museum wisten de onderhandelaars zelf van de e-mailspoofing, maar deden ze niets.

Wat een contradictie hier, er was kennis vernomen dat beide museum en ''dick in son'' beide kennis hadden van de 3de partij....
Mischien iemand intern die ertussen heeft gezeten of iemand met een verrekijker vanaf de overkant van de straat alles netjes gevolgt ?

In het verleden kwam ik bij veel verschillende gemeentes en gevoelige informatie kon zo bemachtigd worden door toegang te krijgen tot een flat aan de overkant waar alle schermen met informatie ernaartoe waren gericht.
Met een beetje creativiteit hoef je nog niet eens de mail te kunnen onderscheppen.

[Reactie gewijzigd door Nostalgmus op 23 juli 2024 16:22]

Michiel36 @Nostalgmus • 31 januari 2020 11:41

Daarom is uiteindelijk ook niks echt veilig te krijgen. Een straat slim iemand is nu eenmaal een stuk gewiekster (en dus creatiever) dan een heilige boon die tussen de lijntjes leeft. De eerste heeft van jongs af aan geleerd dat slimmer te zijn dan de rest loont. De laatste kan je de best beveiligde kluis geven, maar laat de sleutel gewoon op het bureau liggen.

Daarbij als het om zon groot bedrag gaat, dan ben je niet alleen naïef, dan ben je ook best wel dom. Naast wat vele al opperen door eerst eens ff te bellen, wat dacht je van gewoon standaard beleid om niet bedragen groter dan x in 1 keer te verzenden. Dan na dat eerste bedrag eerst eens te valideren of alles goed is gegaan. Super simpel te implementeren en is eigenlijk niks anders dan de 1 cent rekening validatie die de banken zelf ook toepassen.

Maar dit soort gedachten gangen zijn dus niet besteed aan mensen die miljoenen euro's geld beheren blijkbaar.

OF dit is niet het echte verhaal en 1 van die partijen loopt de ander te flessen, dat kan ook natuurlijk.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (146)

Sorteer op:

Weergave: