Phishing – Werk aan de (web)winkel

Phishing – Werk aan de (web)winkel
Arne Defurne

 

“Houd he rekening mee dat we vanaf vandaag een wijziging in onze bankrekeninggegevens hebben voor incaende betalingen. Voortaan moten all incoming betalingen have been overgemaakt naar onze filiaalrekening in Spanje. We het op prijs as u uw gegevens kunt bijwerken”

Met bovenstaande tekst werd Bol.com opgelicht voor 750.000 euro. Een schoolvoorbeeld van phishing en een broodnodige eye-opener voor veel bedrijven: dit is een probleem waar we allemaal mee kampen.   

Maar zo ‘gephished’ worden, wat is dat nu eigenlijk?

Phishing is een populaire vorm van cybercriminaliteit waarbij criminelen hun doel bekomen door manipulatie en misleiding, beter bekend als social engineering. Criminelen sturen e-mails uit die opzettelijk geschreven zijn om mensen op het verkeerde pad te zetten en zo aan te zetten tot bepaalde acties. 

Deze mails lijken vaak te komen van een legitieme bron zoals bijvoorbeeld je manager, collega’s, familieleden of vrienden. Criminele misbruiken eigenlijk aanwezige sociale dynamieken en valse e-mailadressen om slachtoffers het gevoel te geven dat ze iets goed doen. Zou je bijvoorbeeld een dringende opdracht van je manager in twijfel trekken? Het antwoord is vaak neen. 

Hoe kon dit gebeuren en wat is de impact?

Een e-mailadres van Brabantia, een in Nederland gevestigde partner van Bol.com, werd gehacked door de daders. Vanuit dat e-mailadres werd een verzoek gestuurd naar bol.com om het voortaan betalingen over te maken naar een Spaans rekeningnummer. Een Nederlands bedrijf met Spaans rekeningnummer? Strike one.

De phishing mail zelf bevatte zware taalfouten, zo was er een mengelmoes tussen het gebruik van Nederlands en Engels maar ook de zinsbouw liet alle regels achter zich. Dit had voor de medewerker(s) van Bol.com een tweede indicator moeten zijn, mits correcte bewustmaking. Strike two.

Daarnaast is het opvallend dat er geen gestandaardiseerd proces aanwezig was om gevoelige wijzigingen, zoals het veranderen van rekeningnummer, beter te controleren. Een enkele slecht geschreven e-mail was voldoende om grote bedragen geld over te maken. Geen bijkomende verificatie met de partner of ander contact om de opdracht te bevestigen. Strike three and you’re out. 

De onmiddellijke impact op Bol.com is natuurlijk niet te missen, een bedrag van 750.000 euro dat als sneeuw voor de zon verdwijnt. Maar niet enkel het financiële gedeelte heeft impact op Bol.com, ook de reputatie van de organisatie krijg rake klappen. 

Tussen Bol.com en Brabantia kwam het namelijk tot een rechtszaak, waarbij de rechter oordeelde dat Bol.com had kunnen weten dat het om een phishing mail ging. Volgens de rechter had “gezonde” argwaan moeten ontstaan nadat het in Nederland gevestigde Brabantia plots op de proppen kwam met een Spaans rekeningnummer. 

Bol.com verliest zo potentieel vertrouwen van klanten en/of leveranciers omwille van het soort phishing mail waarin men trapte en de initiële reactie op het incident. Dit maakt naar de buitenwereld duidelijk dat Bol.com nog werk aan de winkel heeft om dergelijke aanvallen in de toekomst beter te voorkomen.

CRANIUM staat voor een aanbod en aanpak op maat van jouw organisatie. Samen met jou en je organisatie werken we op een pragmatische, flexibele en voordelige manier aan een cybersecurity strategie. Maar wat betekent dat nu concreet voor een phishing aanval? 

Wij geloven in een gelaagde combinatie van menselijke bewustwording, technische beveiliging en robuuste processen om phishing aan te pakken. Zo doen we o.a. het volgende: we voeren phishing simulaties uit, informeren medewerkers zodat ze phishing beter detecteren, beveiligen gevoelige accounts met sterkere authenticatie en bouwen samen met de organisatie aan bedrijfsprocessen die minder vatbaar zijn voor een enkele menselijke fout.