Zo kan men bij Odido gedacht hebben dat het opvolgen van de aanbevelingen niet direct nodig waren omdat er bij Salesforce met man en macht aan een softwareoplossing gewerkt werd.
The hacker contacts the Odido employee via phone, spoofing legitimate IT support numbers. The Odido employee is directed to navigate to a fraudulent Identity Provider login page (i.e. not the standard login page) under the pretext of a security verification or system update. The phishing kit captures the username and password and notifies the attacker in real-time.
En hoe komt de hacker aan 'legitimate IT support numbers'?
Dus hoe hebben de hackers zo iemand kunnen verleiden tot het afgeven daarvan? Chantage?
Je moet dan wel behoorlijk wat afweten van de interne gang van zaken, een goed misleidingsplan hebben (ziel link van puk1980) en (vermoedelijk) ook goed Nederlands spreken.
Meer dan 1,5 miljard Salesforce-records, van 760 bedrijven, zouden in de Salesforce-hack zijn gestolen. Het afgelopen jaar richtten de cybercriminelen zich op klanten van Salesforce en leidden die om de tuin via social engineering. Met kwaadaardige OAuth-applicaties – open authorization, een autorisatieframework om toepassingen te machtigen toegang te krijgen tot een resource – werden ze vervolgens gehackt. Met de gestolen data werden de organisaties vervolgens afgeperst.
Ik verwijt Salesforce dat ze zich niet veel beter hebben bewapend tegen social engineering.
In all observed cases, attackers relied on manipulating end users, not exploiting any vulnerability inherent to Salesforce.
Dat goede Nederlands spreken, zal wel niet gelden.
Als ze zwakheden zien waartegen ze menen te moeten waarschuwen, konden ze misschien beter ook e.e.a. in hun software aanpassen.
Zijn die adviezen niet softwarematig af te dwingen? B.v. die multifactor autorisatie?
Examples of phishing-resistant standards include:(*) FIDO2/WebAuthn hardware keys (e.g., YubiKey, Google Titan)(*) Platform authenticators (e.g., Windows Hello, Apple FaceID/TouchID)(*) Certificate-based authentication (e.g., Smart Cards)
Eén enkel account van één klantenservicemedewerker mag natuurlijk nooit de bevoegdheid hebben om alle data van alle Nederlanders in korte tijd uit het systeem te trekken.
Het advies is om hardwarematige (phishing-resistant) oplossingen te gebruiken.
.. ik ga ervan uit dat bij de IT afdeling niet alleen sukkels* werken zoals jij dat nu doet voorkomen.
Het Centraal Justitieel Incassobureau meldt dat er de afgelopen weken duizenden meldingen van nepverkeersboetes zijn binnengekomen. Mensen ontvingen die valse boetes via e-mail of sms. Mogelijk is er een link met de recente hack van Odido, waarbij veel klantgegevens op straat zijn beland.
Kan een verband zijn, hoeft niet.
NU.nl-economieredacteur Tim Wijkman van Aalst ontving een nepboete op zijn e-mailadres dat hij uitsluitend gebruikte voor zijn klantaccount bij Odido.