Oktober: Cyber Security Maand ‘Man in the Middle’
Zoals wij in ons vorige nieuwbericht al aangaven is in Nederland op 1 oktober de Cyber Security Maand van start gegaan. Als onderdeel van het MS Amlin first response team delen wij gedurende de maand oktober elke week een bijdrage over een specifiek Cyber Security onderwerp. Deze artikelen zijn geschreven door de partners van het MS Amlin response team.
Deze week een bijdrage van onszelf.
Man in the Middle
Cyberaanvallen komen in verschillende vormen voor. De ‘Man in the Middle’ is er een van. Zonder het in het gaten te hebben wordt e-mail en dataverkeer tussen twee communicerende partijen onderschept. De onderschepper, ofwel de cybercrimineel, wordt de ‘Man in the Middle’ genoemd. Deze ‘Man in the Middle’ kan bijvoorbeeld informatie in berichten veranderen of compleet nieuwe berichten uit naam van een van de twee communicerende partijen verzenden.
‘Helaas is één van onze relaties de dupe geworden van een ‘Man in the Middle’ aanval’, zegt Hans Slaman, directeur eigenaar van International Security Partners. ‘Dit leverde een schadepost op van in totaal EUR 125.000. Naast de financiële schade was er een flinke deuk ontstaan in de vertrouwensrelatie tussen onze relatie en zijn leverancier’, aldus Slaman.
Wij nemen u mee in onze casus van ‘Man in the Middle’
Een inkoopmanager van een bedrijf in Nederland, onze relatie, doet een bestelling bij zijn leverancier in Indonesië. De bestelling bestaat uit een container grondstoffen met een waarde van EUR 100.000. Na deze bestelling ontvangt de inkoopmanager van de leverancier een verzoek voor betaling. In het verzoek staan alle correcte betaalgegevens.
Een week na de bestelling meldt de leverancier aan de inkoopmanager dat de goederen klaar staan voor verscheping. De leverancier geeft aan dat de goederen worden verscheept, zodra de betaling binnen is. De leverancier vraagt wanneer de betaling in orde wordt gemaakt. De inkoopmanager bevestigt dat de betaling de eerstvolgende dinsdag wordt overgemaakt.
Direct na deze bevestiging krijgt de inkoopmanager een e-mail van de leverancier. In deze e-mail verzoekt de leverancier om het bankrekeningnummer te wijzigen in een nieuw bankrekeningnummer. Dit nieuwe bankrekeningnummer is van een bank in Duitsland. De inkoopmanager laat nietsvermoedend de wijziging van het bankrekeningnummer doorvoeren. De betaling van EUR 100.000 wordt, zoals afgesproken, op de eerstvolgende dinsdag in orde gemaakt en bevestigd aan de leverancier. De betaling zou binnen 24 uur zichtbaar zijn op de rekening van de leverancier. De dag na de betaling krijgt de inkoopmanager melding van de leverancier dat de betaling nog niet is ontvangen.
Hierop verzoekt onze relatie International Security Partners een onderzoek in te stellen. Uit dit onderzoek blijkt dat de e-mail met het wijzigingsverzoek van het bankrekeningnummer niet van de leverancier kwam. Het e-mailadres kwam namelijk niet overeen met die van de leverancier. Eén letter week af. Wel waren de opmaak van de e-mail en de autohandtekening van de leverancier exact hetzelfde. Hierdoor was niet direct te zien dat de e-mail van een andere afzender afkomstig was. Het betrof hier een ‘Man in the Middle’ aanval. De e-mail kwam niet van de leverancier, maar van een cybercrimineel. Ofwel, de ‘Man in the Middle’ en de ontvanger van de EUR 100.000.
Cybercriminelen maken gebruik van de ‘mens’ als zwakste schakel
‘Uit onze dagelijkse praktijk blijkt dat bij cybercrime de ‘mens’ de zwakste schakel is in de keten van beveiligingsmaatregelen’, zegt Slaman. De technische maatregelen tegen cybercriminaliteit waren bij onze relatie prima in orde. De ‘Man in the Middle’ heeft deze technische maatregelen omzeild door gebruik te maken van de factor ‘mens’, in dit geval de inkoopmanager. De factor ‘mens’ valt onder de organisatorische maatregelen die een bedrijf kan nemen tegen cybercrime.
Welke organisatorische maatregelen kunt u als bedrijf nemen?
Duidelijk beleid
Zorg voor duidelijke instructies bij het doen van betalingen en het wijzigen van klantgegevens. De inkoopmanager uit onze casus had de wijziging van het bankrekeningnummer telefonisch kunnen verifiëren bij de leverancier.
Awareness trainingen
Train medewerkers met regelmaat in het her- en onderkennen van cybercrime, zo wordt bewustzijn gecreëerd.
Periodieke audit
Voer periodiek een audit uit om te meten hoe het is gesteld met de informatiebeveiliging.
Mystery visit
Verhoog het bewustzijn van uw medewerkers. Laat zien hoe gemakkelijk een cybercrimineel uw bedrijf binnen kan komen en zo voor veel schade kan zorgen.
Oktober is Cyber Security Maand!
Het doel van de Cyber Security Maand is het bewustzijn van cybersecurity-bedreigingen te vergroten. Door kritisch te kijken naar de organisatorische maatregelen binnen uw onderneming draagt u actief bij aan dit doel.
Meer informatie?
Neem vandaag nog contact met ons op voor meer informatie via info@ispbv.nl. Bekijk ook onze website www.ispbv.nl.
Hans Slaman
Directeur eigenaar International Security Partners
Partner MS Amlin First Response Team