Userbase

Een test waarbij de Vlaamse overheid wilde nagaan of ambtenaren in een poging tot internetfraude trappen is deze week uit de hand gelopen. Veel ambtenaren belden met de politie en met Thalys, het bedrijf waar de phisingmail van afkomstig leek.

Bron: http://tweakers.net/nieuws/104352/phish ... -hand.html

#OnlyInBelgium

Hoe komen ze erop om eigenlijk de politie en Thalys daarover niet te informeren? Hier hebben ze toch zwaar gefaald.
Behalve dat: er moet een procedure zijn voor niet-prive phishing-attempts.

Ook vind ik het nogal een belachelijke phishing mail. Je moet een erwt als brein hebben om dat niet door te hebben, dat het phishing is.
Moesten ze nu 190€ vermelden ipv 19.000€, zou het veel geloofwaardiger zijn. Zelfs phishers zijn niet zo dom.

Mja duidelijk weer een gevalletje werknemers onderschatten en zelf niet slimmer zijn. Een constante bij grote bedrijven?

Werknemers moeten in eerste instantie hun eigen helpdesk/security afdeling contacteren... niet Thalys of de politie.

De mail mocht geloofwaardiger en men had de politie en Thalys moeten inlichten (zeker als men daar geen duidelijke policy rond heeft, zoals veel bedrijven). Maar op zich is het niet slecht zulke tests te doen. Op verschillende random tijdstippen zou dat niet slecht zijn dit af en toe uit te voeren, je werknemers inlichten van de gevaren en ze helpen dit te doorprikken is de beste bescherming hiertegen.
Overigens vraag ik me wel af hoeveel er wel hun gegevens zullen ingevuld hebben.

Ook al hebben ze het misschien niet helemaal goed aangepakt, het blijkt weer dat het gebruik van digitale media voor nogal wat mensen niet vanzelfsprekend is.
Iedereen kan een tablet, pc, ... gebruiken maar zonder enige (voor)kennis en een stuk onwetendheid, is dat niet zonder risico.

Je kan dan wel discussiëren dat de aanpak niet juist is, het is volgens mij belangrijker/nuttiger om naar het resultaat te kijken en de oorzaken daarvan.

r2504 schreef:Werknemers moeten in eerste instantie hun eigen helpdesk/security afdeling contacteren... niet Thalys of de politie.

Ik ben het daar 100% mee eens.

De test was dus bedoeld om na te gaan of ambtenaren in een poging tot internetfraude trappen ???
De test heeft aan het licht gebracht dat de overheid als werkgever serieus faalt, want blijkbaar zijn er niet eens procedures voor de werknemers hoe ze op mogelijke internet fraude moeten reageren.

Ik ben het daar 100% mee eens.

De test was dus bedoeld om na te gaan of ambtenaren in een poging tot internetfraude trappen ???
De test heeft aan het licht gebracht dat de overheid als werkgever serieus faalt, want blijkbaar zijn er niet eens procedures voor de werknemers hoe ze op mogelijke internet fraude moeten reageren.

Zegt wie? Assumpties alleszins, die zullen er sowieso wel zijn, maar of iedereen ze kent is iets anders.
En wat gaat de helpdesk nu verifiëren of jouw mail phishing is of niet, IT security akkoord, L2 of L3 al dus, en die is niet zo snel in meeste gevallen en zeker niet bij de overheid waar veel geoutsourced is.

Er is geen enkel (groot) bedrijf, waar werknemers, zomaar op eigen houtje politie mogen bellen ...
Tenzij in noodgeval (en dan nog ... in geval van brand of medische urgentie is er normaal zelfs een intern noodnummer).

Werknemers die op eigen initiatief politie bellen gaan volgens mij hun boekje te buiten.
Als je binnen een bedrijf getuige bent van strafbare feiten, wordt normaal eerst de hiërarchie op de hoogte gebracht.

In mei werd er bekend gemaakt dat bij een steekproef 1/3 van de Vlaamse ambtenaren in phishing trapte(sommige departementen 1/2). Wel een enorme verbetering. Bijna niemand gaf zijn kredietkaartgegevens in.

Zou het merendeel van die ambtenaren die naar Thalys belde dan gedacht hebben dat de mail echt was(een vergissing dus)?
Het zal natuurlijk een mooi auditrapport opleveren.

Inderdaad.
Bij veel bedrijven, als ze een phishing (of zelfs spam!) mails krijgen op hun werk-mails moeten ze dat eerst en vooral naar hun eigen IT diensten sturen.

Er zijn bv. bedrijven waar er van uit gegaan wordt dat je email adres geheim is. In principe zou die helemaal niet in de buitenwereld terecht mogen komen. Daarom: als je opeens spam/phishing krijgt, moet het bedrijf de oorzaak zoeken (bv. zijn er meerdere mensen met die email -> lek?)

Als je een factuur krijgt van 19000 euro en je weet van niet beter, dan begrijp ik best dat ze niet contact opnemen met de I(C)T dienst, maar direct met Thalys zelf. Vergelijk het zo : zou Jan Modaal contact opnemen met Thalys of met zijn internetprovider/computerleverancier als hij een dergelijke factuur zou zien in zijn digitale mailbox (pakweg met 2 nulletjes minder)?

Diegene die naar Thalys gebeld hebben is nog begrijpelijk.
Diegene die naar de politie gebeld hebben is een ander verhaal.

Tjah, ook de politie vind ik begrijpelijk. Immers als je van Thalys hoort dat ze daar uit de lucht vallen (en dus geen geruststelling van het was maar een test) en dat de factuur niet correct is, dan lijkt een melding bij de politie mij ook niet zo vreemd.

Als ze het al nalaten om Thalys te verwittigen, hebben de hoofden van de diverse afdelingen dan wel weet van deze mailing? Ik durf het te betwijfelen...

Bij mij verdwijnt phishing mail gewoon in de vuilbak, zonder gerucht of wat dan ook.
Als dat blijft gebeuren, de IT dienst verwittigen.


In alle geval blijft het je volste recht om de nodige instanties, bv de politie (ik neem aan dat die een phishing meldpunt hebben), te verwittigen indien je dat nodig zou achten. Of het bedrijf dat zogezegd de mail gestuurd heeft. Bedrijfsregels of niet, je recht om zelf actie te ondernemen kan in geen geval afgenomen worden.




[ Post made via mobile device ]

Degene die naar de politie stapten volgden eigenlijk letterlijk de tip van de politie...

http://www.lokalepolitie.be/5415/preven ... shing.html

Indien je geen schade hebt geleden, maar je wil de poging tot oplichting toch melden aan de politie, dan kan dit via de website van E-cops (www.ecops.be). Dit is enkel een melding en is dus niet gelijk aan een aangifte of klacht.

De vraag is nog maar of de politie of thalys het zouden apprecieren als je hen verwittigt.

De politie zou wel ns iets kunnen hebben van "doe geen tests, dat geeft ons teveel werk", en thalys (of eender welk ander bedrijf) zou iets kunnen hebben van "wij willen niet geassocieerd worden met phishing praktijken" (al dan niet met rechtzaak dreigingen voor het misbruiken van hun naam).


[ Post made via mobile device ]

krisken schreef:Als je een factuur krijgt van 19000 euro en je weet van niet beter, dan begrijp ik best dat ze niet contact opnemen met de I(C)T dienst, maar direct met Thalys zelf. ...

Vergeet niet dat die mail niet op hun privé mailadres terechtkwam maar het werk.
Het is dan toch uw werkgever die een factuur - van in dit geval €19000 - krijgt aangeboden.

En als je werkt op de financiële dienst, dan moet die factuur niet gecontroleerd worden?

Ja, door te kijken of er een bestelbon of dergelijke is die er tegenover staat.

Als ik uw partner een rekening presenteer of simpelweg zeg dat je mij nog geld schuldig bent, mag je hopen dat jij eerst de vraag krijgt of dit klopt alvorens iets anders te doen.
Indien jij een factuur krijgt voor een ongebruikelijke dienst/product (dus buiten de regelmatige facturen voor energie, water, ...) ga je toch ook eerst na of je dat effectief hebt gevraagd/besteld/ontvangen.

Klopt, en als het dan niet klopt neem je contact op met de leverancier om dit na te vragen. Wat deze ambtenaren dus deden, en wegens vermoeden van fraude ook een melding maakten bij de politie.

Ernie schreef:Ja, door te kijken of er een bestelbon of dergelijke is die er tegenover staat.

Als ik uw partner een rekening presenteer of simpelweg zeg dat je mij nog geld schuldig bent, mag je hopen dat jij eerst de vraag krijgt of dit klopt alvorens iets anders te doen.
Indien jij een factuur krijgt voor een ongebruikelijke dienst/product (dus buiten de regelmatige facturen voor energie, water, ...) ga je toch ook eerst na of je dat effectief hebt gevraagd/besteld/ontvangen.

Dat is het juist : een ongebruikelijke dienst of product. Wie zegt dat een rekening van 19.000 euro voor Thalys niet gebruikelijk is voor hun?
Als jij morgen een overschrijving (incl factuur) in je bus ziet van je internetprovider. Ga jij dan merken of het rekeningnummer veranderd is?

krisken schreef:Als jij morgen een overschrijving (incl factuur) in je bus ziet van je internetprovider. Ga jij dan merken of het rekeningnummer veranderd is?

Ja, want ik betaal steeds via de "begunstigden" die reeds in m'n internet banking applicatie staan... al kan het natuurlijk altijd dat een bedrijf z'n rekening nummer aanpast (geen idee of ik het dubbel zou controleren dus).

Als ik rekeningen betaal vanuit begunstigden kijk ik altijd even of de laatste 2 cijfers nog overeenkomen, ik controleer niet het hele nummer. Het is natuurlijk mogelijk dat ze een andere rekeningnr hebben met juist dezelfde 2 laatste cijfers (= de hash) maar die kans is al kleiner

Technisch gezien heb je nu 2 hashes, de eerste 2 cijfers van het IBAN nummer (na de landcode) zijn een hash van het volledige nationale rekeningnummer.

[ Post made via mobile device ]

krisken schreef: Dat is het juist : een ongebruikelijke dienst of product. Wie zegt dat een rekening van 19.000 euro voor Thalys niet gebruikelijk is voor hun?

hahaha krisken, beetje series blijven hé
Voor 19.000 euro kan je bijna 100 keer heen en terug naar Amsteram, Keulen of Parijs in de duurste klas (zonder rekening te houden met corporate tarieven)

• - particulieren krijgen geen rekening van Thallys, ze betalen bij boeken van het ticket
  - bedrijven krijgen misschien wel een rekening voor de tickets die het personeel koopt, maar dan gaat zo'n rekening naar de boekhouding, en komt niet bij een individuele werknemer terecht ...

Een rekening van Thally voor 19.000 eur is echt wel een "ongebruikelijke dienst of product" ....

bij ons is de procedure bij binnenkomende facturen toch wel strikt
Alles ingescand en op netwerk:

- er moet een bestelnummer verbonden worden met de factuur
- A controleert of bestelling werd geleverd (controle hoeveelheden of kwaliteit) conform bestelling
- A of B bevestigt dat factuur correct is
- C (afdelingshoofd) bevestigt nog eens dat factuur mag betaald worden en moet in theorie nog eens controleren of bestelbon, leveringsbon en factuur correct zijn. In praktijk zal afdelingschef uiteraard niet mee alles 100% controleren maar betrouwen op medewerkers
- D in boekhouding controleert nog eens of alles correct geboekt is op rekeningnummer, kostenplaats, .... enzovoort. Of alle documenten ter staving zijn gekoppeld.
- E in boekhouding bevestigt voor betaling

een phishing factuur heeft bij ons geen schijn van kans.

wat bij ons wél mogelijk kan zijn, dat zijn dubbele betalingen bij leveranciers die héél veel facturen maken, omdat het controlemechanisme hiervoor niet helemaal op punt staat.
Dan kan je wel controleren of er een bestelling is > ja
geleverd > ja
dus dubbel factuur mag betaald worden...

Maar er zal niet betaald worden op een verkeerd rekeningnummer.

krisken schreef:Degene die naar de politie stapten volgden eigenlijk letterlijk de tip van de politie...

http://www.lokalepolitie.be/5415/preven ... shing.html

Indien je geen schade hebt geleden, maar je wil de poging tot oplichting toch melden aan de politie, dan kan dit via de website van E-cops (http://www.ecops.be). Dit is enkel een melding en is dus niet gelijk aan een aangifte of klacht.

Ecops is vorige week opgediekt omdat ze zich teveel met pietluttigheden moesten bezig houden.
Waren ze dan toch op de hoogte?

r2504 schreef:Ja, want ik betaal steeds via de "begunstigden" die reeds in m'n internet banking applicatie staan... al kan het natuurlijk altijd dat een bedrijf z'n rekening nummer aanpast (geen idee of ik het dubbel zou controleren dus).

Idem hier, en de paar keer dat een bedrijf zijn rekening nummer wijzigde stond dit zeer expliciet op de rekening aangegeven. Al is dat laatste natuurlijk ook wel een manier waarop een MITM zijn aanval zou kunnen uitvoeren. Je zou al telefonisch of zo met het bedrijf moeten checken of ze inderdaad hun rekeningnummer gewijzigd hebben.

philippe_d schreef:

krisken schreef: Dat is het juist : een ongebruikelijke dienst of product. Wie zegt dat een rekening van 19.000 euro voor Thalys niet gebruikelijk is voor hun?

hahaha krisken, beetje series blijven hé
Voor 19.000 euro kan je bijna 100 keer heen en terug naar Amsteram, Keulen of Parijs in de duurste klas (zonder rekening te houden met corporate tarieven)

• - particulieren krijgen geen rekening van Thallys, ze betalen bij boeken van het ticket
  - bedrijven krijgen misschien wel een rekening voor de tickets die het personeel koopt, maar dan gaat zo'n rekening naar de boekhouding, en komt niet bij een individuele werknemer terecht ...

Een rekening van Thally voor 19.000 eur is echt wel een "ongebruikelijke dienst of product" ....

Absoluut. En wie zegt dat de dienst boekhouding die phishingmail niet heeft gekregen?

Dan nog...
Stel dat jij iemand de taak geeft om uw betalingen te doen, zou je het dan goed vinden dat die persoon €19.000 overschrijft naar een ander rekeningnummer dan voorheen.
De begunstigden zitten sowieso met hun gegevens (naam, adres en vooral rekeningnummer) reeds in dergelijke systemen.
Als dat nummer afwijkt van hetgeen gekend is, ga je dat toch niet zondermeer uitvoeren - mag ik hopen.
Dan is daar ofwel vooraf over gecommuniceerd of dan verifieer je dat.