Een man heeft bekend schuldig te zijn aan het kapen van 5500 accounts van een salarisverwerkingsbedrijf waarmee hij uiteindelijk een bedrag van 800.000 dollar wist te stelen. Het niet nader genoemde bedrijf levert hr- en salarisverwerkingsdiensten aan bedrijven in heel de Verenigde Staten. Bedrijven maken voor hun medewerkers een account aan bij de salarisverwerker, zodat die online hun salarisgegevens kunnen inzien en aanpassen.

Van juli 2017 tot en met 2018 wist de man door middel van credential stuffing dergelijke medewerkersaccounts te kapen. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. Op deze manier kreeg de man toegang tot zo'n 5500 accounts.

Nadat hij toegang tot het account had wijzigde hij de rekeninggegevens naar een prepaid debitkaart waarover hij beschikte. Op deze manier werd het salaris niet naar de betreffende werknemer overgemaakt, maar naar de debitkaart van de verdachte. 

Alles bij de bron; Security