Veel spookfacturen in omloop

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • Pat on the net
  • Registratie: September 2022
  • Laatst online: 15-08-2024
Ik merk de laatste tijd dat regelmatig klanten (2 afgelopen maand) van ons spookfacturen krijgen.
Wat hierbij opvalt is dat de factuur opgemaakt is afkomst van een bekende afzender.
De factuur is identiek aan de 'standaard' factuur, qua opmaakt, echter is het IBAN nummer en bedrag aangepast. Wat verder opvalt is dat de domeinnaam waarmee men verstuurd een domeinnaam is, welke geregistreerd is in India én dat met een "i" vervangen heeft door een "l" (voorbeeld: domein.com = domeln.com)
Waar ik benieuwd naar was of iemand een idee heeft hoe men weet dat de 'tegen'partij zaken doet met onze klant ? Zou de mail onderschept kunnen zijn bij deze 'tegen'partij ?
(klanten van mij werken met M365 met 2MFA; lijkt ook dat hun account niet gehacked is, omdat zij in India een vergelijkbare domeinnaam hebben gebruikt)

Acties:
  • +1 Henk 'm!

  • Duke of Savage
  • Registratie: April 2023
  • Laatst online: 07-05 16:41
Werkt jouw systeem met 2FA?

Heb je de login logs bekeken van jouw systeem?

Heb je gegoogeld naar je bedrijfs informatie, soms kan algemene kennis (nieuws bericht oid) gecombineerd worden met personeel (linkedin bijvoorbeeld) en dan heb je al een redelijke idee wie wie zou kennen en wie met wie zaken doet.

Acties:
  • +1 Henk 'm!

  • Outerspace
  • Registratie: Februari 2002
  • Laatst online: 14:38

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Ik zou dan eens kijken naar SPF, DKIM en DMARC (en ook bij klanten) :) Waar je het over hebt lijkt het meest op phishing, vandaar dat ik je topic toch doorzet :)

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad


Acties:
  • 0 Henk 'm!

  • Pat on the net
  • Registratie: September 2022
  • Laatst online: 15-08-2024
Duke of Savage schreef op dinsdag 28 mei 2024 @ 12:33:
Werkt jouw systeem met 2FA?

Heb je de login logs bekeken van jouw systeem?

Heb je gegoogeld naar je bedrijfs informatie, soms kan algemene kennis (nieuws bericht oid) gecombineerd worden met personeel (linkedin bijvoorbeeld) en dan heb je al een redelijke idee wie wie zou kennen en wie met wie zaken doet.
Dank voor de reactie.
Mijn klanten hebben 2FA aanstaan.
Er is ook niet ingelogd, maar wel gereageerd vanuit een ander (nieuwe) domainnaam die op de naam van de klant lijkt. Deze mailserver van dit fake-domein staat in India.
Maar te kijken naar de bedrijfsinfo, welke bekend is, is wel een goede tip.

Acties:
  • +1 Henk 'm!

  • ralpje
  • Registratie: November 2003
  • Nu online

ralpje

Deugpopje

Check eens in EXO of er mailboxen zijn waar vreemde forwarders op staan naar externe adressen, of inboxrules die er niet horen te zijn. Dat zijn tell-tale signs van CFO fraude (waar dit toch behoorlijk naar ruikt).

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer


Acties:
  • 0 Henk 'm!

  • Pat on the net
  • Registratie: September 2022
  • Laatst online: 15-08-2024
Outerspace schreef op dinsdag 28 mei 2024 @ 13:12:
Ik zou dan eens kijken naar SPF, DKIM en DMARC (en ook bij klanten) :) Waar je het over hebt lijkt het meest op phishing, vandaar dat ik je topic toch doorzet :)
Dit is soort phishing, echter bij phishing wordt er geprobeerd om gegevens te pakken te krijgen.
In dit geval is het dus dat mensen een orgineel domeinnaam, net iets aanpassen en een nep-factuur krijgen, met de juiste naw-gegevens en logo van een bestaande klant...en aangepast bedrag en bankgegevens.

Acties:
  • +1 Henk 'm!

  • Duke of Savage
  • Registratie: April 2023
  • Laatst online: 07-05 16:41
Pat on the net schreef op dinsdag 28 mei 2024 @ 15:37:
[...]


Dank voor de reactie.
Mijn klanten hebben 2FA aanstaan.
Er is ook niet ingelogd, maar wel gereageerd vanuit een ander (nieuwe) domainnaam die op de naam van de klant lijkt. Deze mailserver van dit fake-domein staat in India.
Maar te kijken naar de bedrijfsinfo, welke bekend is, is wel een goede tip.
Je hebt het hier over jouw klanten. Maar hoe zit het aan jouw kant?
Een lek door een medewerker zal niet de eerste keer zijn ;)

Acties:
  • +4 Henk 'm!

  • BytePhantomX
  • Registratie: Juli 2010
  • Laatst online: 12:49
Ik lees dat de facturen komen van een typosquatting domein. Jij als leverancier kan dan mogelijk een takedown indienen bij de registrar om dat domein uit de lucht te halen. Geen idee hoe makkelijk dat is.

De klant daarentegen moet zijn processen gewoon op orde hebben en daar ben jij niet voor aansprakelijk. Die moet een proces hebben dat bij wijziging van een IBAN zij met jullie bellen of dat dit klopt. Doen ze dat niet, is dat niet jullie probleem. Wat je eventueel wel kan doen is je klanten informeren dat dit aan de gang is.

Als het typosquatting is, dan is er niets gehackt bij jou niet en bij de klant niet, en zou ik het ook niet in die hoek zoeken. Bij een hack zou het van je eigen domein komen.

Beetje achtergrond by typosquatting: What is typosquatting? - Microsoft Support

Acties:
  • 0 Henk 'm!

  • Pat on the net
  • Registratie: September 2022
  • Laatst online: 15-08-2024
BytePhantomX schreef op dinsdag 28 mei 2024 @ 16:54:
Ik lees dat de facturen komen van een typosquatting domein. Jij als leverancier kan dan mogelijk een takedown indienen bij de registrar om dat domein uit de lucht te halen. Geen idee hoe makkelijk dat is.

De klant daarentegen moet zijn processen gewoon op orde hebben en daar ben jij niet voor aansprakelijk. Die moet een proces hebben dat bij wijziging van een IBAN zij met jullie bellen of dat dit klopt. Doen ze dat niet, is dat niet jullie probleem. Wat je eventueel wel kan doen is je klanten informeren dat dit aan de gang is.

Als het typosquatting is, dan is er niets gehackt bij jou niet en bij de klant niet, en zou ik het ook niet in die hoek zoeken. Bij een hack zou het van je eigen domein komen.

Beetje achtergrond by typosquatting: What is typosquatting? - Microsoft Support
Ik denk dat er bij mijn klanten niets aan de hand is. Daar onze klanten mails krijgen van de tegenpartij met aangepaste facturen en een domeinnaam wat dus niet hetzelfde is. Overigens zijn het nu twee klanten van ons die totaal geen link met elkaar hebben. Alleen kan ik de link niet vinden hoe onze Indiase "vrienden" aan de facturen komen van hun leveranciers. Er zou dus wel email onderschept worden.
Overigens geven wij onze klanten altijd mee om bij wijziging van bankgegevens altijd contact op te nemen met de klant zelf (liefst telefonisch; of in elk geval ander medium dan waarvandaan de bankwijziging komt)

Acties:
  • +1 Henk 'm!

  • BytePhantomX
  • Registratie: Juli 2010
  • Laatst online: 12:49
Pat on the net schreef op woensdag 29 mei 2024 @ 09:10:
[...]
Overigens zijn het nu twee klanten van ons die totaal geen link met elkaar hebben. Alleen kan ik de link niet vinden hoe onze Indiase "vrienden" aan de facturen komen van hun leveranciers. Er zou dus wel email onderschept worden.
Dat kan ook een datalek zijn na bijvoorbeeld een ransomware aanval bij het bedrijf zelf of één van de vele klanten waar ze een factuur naar toe sturen.

Als email echt gehacked is, zou ik van deze personen verwachten dat ze die toegang gebruiken om neppe facturen vanuit de werkelijke mailbox te sturen. Niettemin, als je daar echt over twijfelt, kijk of er recent mailbox regels zijn aangemaakt om e-mails te forwarden of automatisch te verwijderen. Dat is meestal de modus operandi van dit soort aanvallers als ze toegang hebben tot een mailbox.

Acties:
  • 0 Henk 'm!

  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 07-05 16:43
Je stelt dat je van 2 klanten weet dat ze een vals factuur hebben ontvangen. Op zich is dat niet veel. Als je van andere klanten niets verneemt kan het dus net zo goed zijn dat de criminelen opportunistisch maar wat proberen. Een domein kopen en mails versturen is niet heel duur (zeker niet met gestolen betaalgegevens).

Hebben die klanten de facturen op een speciaal factuuradres ontvangen? Want dan heb je meer reden om aan te nemen dat de criminelen gericht te werk gaan.

En als je meer zekerheid wil hebben is het te overwegen om al je klanten te waarschuwen dat er valse facturen worden verzonden, met een verzoek de rekeningen extra te controleren en jullie te helpen met toesturen van de phishingmails.

Acties:
  • 0 Henk 'm!

  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 14:14

CrankyGamerOG

Assumption is the mother.....

kodak schreef op woensdag 29 mei 2024 @ 16:11:
Je stelt dat je van 2 klanten weet dat ze een vals factuur hebben ontvangen. Op zich is dat niet veel. Als je van andere klanten niets verneemt kan het dus net zo goed zijn dat de criminelen opportunistisch maar wat proberen. Een domein kopen en mails versturen is niet heel duur (zeker niet met gestolen betaalgegevens).

Hebben die klanten de facturen op een speciaal factuuradres ontvangen? Want dan heb je meer reden om aan te nemen dat de criminelen gericht te werk gaan.

En als je meer zekerheid wil hebben is het te overwegen om al je klanten te waarschuwen dat er valse facturen worden verzonden, met een verzoek de rekeningen extra te controleren en jullie te helpen met toesturen van de phishingmails.
Als je maar 4 klanten heb is 2 wel veel.

KPN - Vodafone Ziggo Partner


Acties:
  • +1 Henk 'm!

  • Alaksandus
  • Registratie: Maart 2002
  • Laatst online: 13:58

Alaksandus

Vae puto deus fio

Kans dat klanten van je de factuur netjes betaald hebben, denkende dat ie van je bedrijf afkomstig is.

Het kan denk ik geen kwaad om naar je klanten een mailing te sturen met het feit dat er phishing activiteiten bezig zijn uit naam van jouw bedrijf en dat je klanten dus alert moeten zijn.

Als een god in Nijmegen.


Acties:
  • +1 Henk 'm!

  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 14:06
Pat on the net schreef op woensdag 29 mei 2024 @ 09:10:
[...]


Ik denk dat er bij mijn klanten niets aan de hand is. Daar onze klanten mails krijgen van de tegenpartij met aangepaste facturen en een domeinnaam wat dus niet hetzelfde is.
Mijn ervaring is dat ze vaak:
- mailbox hacken van bv example.com
- meelezen/rules instellen om factuur af te wachten
- factuur versturen als replay met als afzender exampleA..com en hier a verder communiceren via externe domein (soms komt de eerste mail wel vanuit gehackte mailbox met aan reply to naar exampleA)

Als ze echte facturen gebruiken dan Ik zou je access logs even goed nalopen. Met mitmproxy is 2fa niet heilig. Als t puur branding wat ze faken is de kans al kleiner

[ Voor 6% gewijzigd door laurens0619 op 30-05-2024 15:41 ]

CISSP! Drop your encryption keys!


Acties:
  • +1 Henk 'm!

  • Pat on the net
  • Registratie: September 2022
  • Laatst online: 15-08-2024
laurens0619 schreef op donderdag 30 mei 2024 @ 15:41:
[...]

Mijn ervaring is dat ze vaak:
- mailbox hacken van bv example.com
- meelezen/rules instellen om factuur af te wachten
- factuur versturen als replay met als afzender exampleA..com en hier a verder communiceren via externe domein (soms komt de eerste mail wel vanuit gehackte mailbox met aan reply to naar exampleA)

Als ze echte facturen gebruiken dan Ik zou je access logs even goed nalopen. Met mitmproxy is 2fa niet heilig. Als t puur branding wat ze faken is de kans al kleiner
Log's doorgespit en zie geen rara dingen.
Evens mailbox-rules nagekeken, staat niets ingesteld mbt doorsturen o.i.d.
Begin steeds meer te denken dat de 'tegenpartij' in Turkije eregens een lek heeft, alleen voor ons niet te controleren.
Maar dank voor de reacties.
Pagina: 1