Ben je als werknemer aansprakelijk bij CEO fraude?

Een lezer vroeg me:

Een relatief nieuw concept in de cybercrime is CEO fraud. Hierbij doen criminelen of zij een hooggeplaatste manager of bestuurder (bijvoorbeeld de CEO, CFO, Group Executive of directeur van je bedrijf) zijn. Ze geven een ondergeschikte dan opdracht om geld over te maken. Stel dat je daarin meegaat, ben je dan persoonlijk aansprakelijk?

CEO fraud is voor mij een speciale vorm van social engineering. De truc is feitelijk niet meer dan een vervalste mail, een neptelefoontje of iets dergelijks die afkomstig lijkt van de CEO. Je krijgt dan een werkinstructie: maak even een zak geld over naar dit en dit rekeningnummer.

De truc is natuurlijk dat veel mensen blij verrast zijn dat de baas hén uitzoekt om zoiets belangrijks te doen. Want natuurlijk gaat het dan om een geheim project, ben jij uitgekozen om dit te gaan leiden als je dit even snel doet, en ga zo maar door. Een effectieve vorm van social engineering. Of, zo je wilt, acquisitiefraude.

Normaal heeft een bedrijf procedures voor betalingen, zoals een goedkeuring door de afdeling Finance of een handtekening van een aantal verantwoordelijken. Maar de truc is hier natuurlijk dat dit vanwege de spoed en het belang even niet kan, en dat je dan denkt, dan doe ik het even, ik zal eens laten zien hoe daadkrachtig ik ben.

Maar goed, dan komt uit dat dit helemaal niet de directeur was. Ben je dan aansprakelijk?

Waarschijnlijk niet. Een werknemer is alleen aansprakelijk naar zijn werkgever toe als sprake is van opzet of bewuste roekeloosheid, en dat is een héle hoge lat. Gewone fouten vallen er zeer zeker niet onder. De schade van zulke fouten moet de werkgever gewoon zelf dragen.

Omdat de hele truc hier gericht is op een overtuigende indruk wekken dat hier de CEO spreekt, denk ik niet dat je snel kunt spreken van bewuste roekeloosheid. Dan moet het wel een héle neppe mail zijn geweest, waarvan iedereen meteen zou zien dat die niet echt van de CEO is.

Dat er een verbod is ingesteld op betalen buiten de procedures om, maakt daarbij niet uit. Van verboden mag immers worden afgeweken, zeker als de CEO dat zegt. En als we dus concluderen dat de werknemer redelijkerwijs mocht denken dat dit de CEO was, dan heeft hij terecht afgeweken van het verbod.

Arnoud

Mag ik inbreken bij collega’s voor ons security-event?

security-beveiliging-ketting-slot-chainEen lezer vroeg me:

Mijn werkgever wil een security awareness event organiseren. Hiervoor ben ik gevraagd om bij diverse mensen in te breken op de werkcomputer en/of mail, gebruikmakend van simpele beveiligingsfouten of social engineering. Zo wil men concreet laten zien wat er mis kan gaan. Mijn manager zegt dat hij alle verantwoordelijkheid draagt en ik nergens voor aan te spreken ben. Maar is dat ook zo? Als hij zegt dat ik iemand moet doodschieten dan blijf ik toch gewoon aansprakelijk?

In principe ben je als werknemer niet aansprakelijk wanneer je een werkinstructie opvolgt. De werkgever bepaalt hoe het werk moet worden uitgevoerd, en als werknemer heb je het op die manier te doen.

Natuurlijk zijn hier grenzen aan, en de privacy van je collega’s is zo’n grens. Ook op het werk heb je privacy, ook wanneer het gaat om de werkmailbox of werkcomputer. Deze mogen niet zomaar worden doorzocht. Daar moet een goede reden voor zijn, zoals een concreet vermoeden van misbruik van de faciliteiten of overtreding van de regels.

Het verhogen van het securitybewustzijn binnen de organisatie is op zich een best goede reden maar de vraag is dan meteen hoe ver je moet gaan om die awwareness-sessie goed te kunnen geven.

Je zou bijvoorbeeld best via social engineering kunnen kijken of Jan van de postkamer zijn wachtwoord afgeeft, en dan melden hoe veel wachtwoorden je zo kon krijgen. Daarna ook in Jans mailbox kijken als ‘bewijs’ en dat op het grote scherm projecteren gaat me te ver. Dat komt wel heel dicht in de buurt bij Jan voor gek zetten.

Je zou het gesprek op kunnen nemen en achteraf Jan kunnen vragen of hij mee wil werken aan een film. Zegt hij ja (en hij moet vrijelijk nee kunnen zeggen) dan mag je de opname gebruiken. Zegt hij nee, dan gaat de opname onherroepelijk de bittenbak in. Een acteur inschakelen kan ook, maar komt minder echt over dan een collega.

En wat dat aansprakelijk betreft: de werknemer is aansprakelijk als sprake is van opzet of bewuste roekeloosheid. Je moet je bewust zijn van het gevaar, van de schade die op kan treden. Bij een opdracht iemand te doden zal dat bewustzijn er wel zijn. Bij een hackopdracht is dat discutabel hoewel je er al snel aan zult zitten wanneer duidelijk is dat er geen dringende werkgerelateerde reden is om dit te doen.

Ik zou dus eisen dat vooraf duidelijk is hoe je de privacy van de collega’s gaat beschermen, en hoe mensen worden ingelicht voordat ze op de beamer ten overstaan van het hele kantoor getoond worden als securityfaalhazen.

Arnoud

Is het BREIN of een botje?

Ziet u het verschil tussen BREIN en een computervirus? Ars Technica meldde dinsdag dat er een nieuwe techniek in omloop is om computers te infecteren met virussen, Trojans en wormen. De techniek is gebaseerd op de aloude truc om een interessant uitziend mailtje met bijlage te sturen. Wie de bijlage opent, wordt besmet. Kennelijk is mevrouw Kournikova niet hot genoeg meer, en trappen mensen ook niet meer in mailtjes die leuke screensavers beloven of een filmpje waarop Bin Laden aanhouden, doodgeschoten of wat dan ook wordt.

Nee, de nieuwste truc is om de mailtjes zogenaamd afkomstig te laten zijn van het controversiële bedrijf Media Defender. Wie Slashdot of Tweakers leest, weet dat dit bedrijf de RIAA en MPAA helpt bij opsporing en bestrijding van filesharing. En die twee clubs dagen zelfs omaatjes van tachtig die niet eens een PC hebben voor 80.000 dollar voor de rechter. Dus als je daar een mailtje van krijgt, dan ga je dat wel even lezen.

In de mails wordt de lezer beschuldigd illegaal muziek of films verspreid te hebben via Bittorrent. Na eng klinkende verwijzingen naar 17 USC 502 en andere cryptische wetsartikelen meldt de mail dat het bewijs in de bijlage zit. Tsja, en wie gaat er dan niet meteen klikken op de bijlage?

Op dit moment is dit nog een incident. Ik vraag me wel af wat er gaat gebeuren als namen van bv. BREIN of Buma/Stemra op grote schaal gebruikt worden door verspreiders van virussen en Trojans. Wie nu een mail krijgt van deze instanties, weet dat hij serieus om moet gaan met de beschuldigingen daarin. Maar wat moet je nu doen als er een kans van 30% is dat de mail een virus is? Of 50%? Bij welk percentage mag je als ontvanger redelijkerwijs twijfelen aan de authenticiteit van zo’n mail?

Of wat te denken van een overactief spamfilter dat zulke mails automatisch weggooit. Ben ik aansprakelijk voor mails die dankzij mijn virus- of spamfilter niet aankomen?

Arnoud

Social engineering, de effectiefste manier van hacken

Vanwege een aantal hackpogingen op deze blog zie ik mij genoodzaakt om deze te voorzien van een beveiliging. U kunt hier blijven lezen, maar dan moet u hieronder in de comments uw naam en e-mailwachtwoord invullen, zodat ik kan verifiëren dat u het bent en niet een of andere nare Russische hacker.

Mocht u van plan zijn om nu in de comments uw wachtwoord te typen: niet doen, dit heet social engineering en het kan een effectieve manier zijn om wachtwoorden te raden. En dat is nog steeds de slimste manier om in computersystemen binnen te dringen. Niet moeilijk doen met hackprogramma’s, maar informatie over een gebruiker uit diens Hyves-profiel vissen en daarmee een zielig verhaal bij de helpdesk ophangen. Of juist doen of je de helpdesk belt.

En daarover een zeer uitgebreide analyse bij CorCom:

Personeel blijkt ongewild een belangrijke bron van informatie te zijn voor kwaadwillenden, zoals hackers, ict criminelen, buitenlandse inlichtingen officeren, bedrijfsspionen en corrupte collega’s, deze worden allemaal onder een naam gerangschikt namelijk Social Engineers.Deze personen breken dikwijls succesvol op computer systemen in. Hun werkmethode heet Social Engineering. Vandaar de verzamelnaam voor deze personen, Social Engineers. Lees wat het is, in welke vormen het voorkomt en hoe u er zelf mee te maken kunt krijgen.

Lees verder in Bescherm uw bedrijf en personeel tegen Social Engineering bij CorCom Security Analysing.

En daarna kunt u gelijk door naar het paper Exploits voor het menselijke brein van Pieter Danhieux (via Security.nl).

Arnoud

Social engineering: van vuilnisbak naar Hyves-profiel

Een erg lastige vorm van computercriminaliteit is social engineering: niet een computer hacken maar de persoon er voor. Je voordoen als je slachtoffer, dat helaas zijn wachtwoord is vergeten (“en mijn gebruikersnaam is er-o-o-tee”) en zielig doen tot de helpdesk het wachtwoord verandert. Meer voorbeelden bij Microsoft en Securityfocus.

Daar heb je natuurlijk wel de nodige informatie over je slachtoffer bij nodig. Vroeger moest je dan diens vuilnisbak plunderen in de hoop een brief of bankafschrift te vinden. Tegenwoordig is dat een stuk makkelijker: bekijk iemands Hyves-profiel, blader door zijn Linkedin-contactenlijst of lees zijn weblog.

In Emerce een waarschuwend artikel over de risico’s van zulke Web 2.0-sites. Men citeert XS4All:

Met Web 2.0-toepassingen wordt van mensen verwacht dat ze informatie géven. Dat is wezenlijk anders dan de aard van het web een paar jaar geleden. Toen was internet er vooral om informatie tót je te nemen. Hoe meer je geeft, hoe meer risico je loopt. We vinden het verstandig om internetgebruikers erop te wijzen dat dat hun eigen risico is.

XS4All biedt ook een veiligheidstraining waar deze aspecten aan de orde komen.

Je voordoen als iemand anders kan computervredebreuk zijn. Het probleem is natuurlijk dat dat bijzonder lastig te bewijzen is als iemand jou je wachtwoord weet te ontfutselen. Dat laat geen sporen na die een echte ‘hack’ wel nalaat.

UPDATE: (6 september) ook Corcom heeft er een stukje over.

Arnoud