Bron

Leestijd 4 min

Het slachtoffer worden van cybercriminaliteit ontslaat bedrijven niet van hun normale financiële verplichtingen, zo heeft een rechtbank in ACT geoordeeld in een uitspraak die dient als een "waarschuwend verhaal" voor bedrijfsleiders over de mate waarin de financiële gevolgen van cybercriminaliteit veel verder kunnen reiken dan de aanvankelijke compromittering. De onlangs gepubliceerde uitspraak van het ACT Civil & Administrative Tribunal had betrekking op een incident in maart 2021, waarbij de directeur van Canberra Hydraulic Engineering Services (CHES), Nathan Jess, een apparaat van $5.499 bestelde bij het bedrijf RapidClean DRB, dat de apparatuur zou ophalen na betaling van de factuur. De volgende ochtend ontving CHES per e-mail een MYOB-factuur, samen met een nota waarin stond dat de bankgegevens van het bedrijf waren gewijzigd. CHES betaalde de factuur - maar toen RapidClean de betaling na enkele dagen nog niet had ontvangen, bracht onderzoek de schakelaar van de rekeninggegevens aan het licht en bevestigde dat de gemailde factuur niet de factuur was die door het MYOB-systeem van RapidClean was verzonden. Jess stelde een onderzoek in bij de bank - dat uiteindelijk zes maanden zou duren en vruchteloos zou blijken omdat de bank weigerde details te verstrekken over de werkelijke rekeningontvanger - en schakelde de Australische federale politie en het Australische cyberbeveiligingscentrum (ACSC) in, die geen van beide "bijzonder behulpzaam" waren, aldus de uitspraak. Een onderzoek door MYOB leidde tot de conclusie dat de e-mailaccount van CHES "waarschijnlijk was gekraakt", waarbij de gemailde factuur werd onderschept en vervolgens gewijzigd voordat deze de volgende ochtend werd bezorgd. De zaak draaide om de vraag of Canberra Hydraulics haar schuld had voldaan door de factuur te betalen, dan wel of RapidCleanDB, die de juiste factuur had verzonden en later niet verantwoordelijk was voor de inhoud ervan, het bedrag van de aankoop van de apparatuur nog verschuldigd was. Omdat zij het "slachtoffer van fraude door derden" was, aldus de beschikking, kan CHES de kosten wellicht verhalen op haar bedrijfsverzekeringspolis. De zaak is slechts een druppel op een gloeiende plaat in de stroom van business email compromise (BEC) die jaarlijks wordt geregistreerd, waarbij een nieuwe analyse door Abnormal Security opmerkt dat het aantal BEC-aanvallen per 1.000 mailboxen in de tweede helft van 2021 met 84% is gestegen - waardoor het percentage wereldwijde BEC-aanvallen in verhouding tot alle beveiligingsaanvallen met 22,6% is gestegen. "Omdat de bedreigingen weinig indicatoren van compromittering bevatten, omzeilen ze beveiligde e-mailgateways en andere traditionele systemen en belanden ze in de inbox van werknemers, waar ze aanzienlijke schade kunnen aanrichten", aldus het rapport.

2 maanden geleden - csoonline.com

Korte versie

De Australische autoriteiten zijn gewaarschuwd dat cybercriminaliteit een bedreiging vormt voor bedrijven en consumenten.

Uitgebreide versie

De onlangs gepubliceerde uitspraak van het ACT Civil & Administrative Tribunal had betrekking op een incident in maart 2021, waarbij de directeur van Canberra Hydraulic Engineering Services (CHES), Nathan Jess, een apparaat van $5.499 bestelde bij het bedrijf RapidClean DRB, dat de apparatuur zou ophalen na betaling van de factuur. CHES betaalde de factuur - maar toen RapidClean de betaling na enkele dagen nog niet had ontvangen, bracht onderzoek de schakelaar van de rekeninggegevens aan het licht en bevestigde dat de gemailde factuur niet de factuur was die door het MYOB-systeem van RapidClean was verzonden. De zaak draaide om de vraag of Canberra Hydraulics haar schuld had voldaan door de factuur te betalen, dan wel of RapidCleanDB, die de juiste factuur had verzonden en later niet verantwoordelijk was voor de inhoud ervan, het bedrag van de aankoop van de apparatuur nog verschuldigd was.

Vergelijkbare publicaties