Netkriminalitet med harpun

Trusselsbilledet er ændret

billede af Mikael Hertig

Mikael Hertig

Jeg er begyndt at lægge film op, der fortæller om netkriminalitet og netkrig (cybercrime og cyberwar).

De to former bruger en fælles kerne af teknikker, og de vil efterhånden blive demonstreret og gennemgået.

Den første film handler om misbrug af organisationens mailsystem.  Filmen varer knapt ti minutter. Læs den forklarende tekst her.

Du kan kun se videoen på denne side:

https://www.philtrum.dk/?p=656

 

 

Kompromittering af virksomhedsmail

Krig og kriminalitet på nettet

I 2013 begyndte det amerikanske forbundspoliti FBI at efterforske en ny finansiel internettrussel, som det kaldte kompromittering af virksomhedsmail. Organiserede kriminelle havde nøje udvalgt sig store og mellemstore organisationer overalt i den vestlige verden som ofre. Tabene vokser. Siden januar 2015 til nu er antallet af bedragerier med denne metode vokset 13 gange i USA. Milliarder af dollars er gået tabt.

I grunden bygger kompromittering af virksomhedsmail (KaV) på det ældste trick i bondefangerens håndbog: bedrageriet. Teknikken er sofistikeret i hidtil uset omfang, og selv højt professionelle medarbejdere går i bedragernes fælde.

De transnationale kriminelle organisationer beskæftiger advokater, sprogkyndige, hackere og psykologer. KaV kan variere i stilen, Men i næsten hvert tilfælde rammer bondefangeren funktionærer med adgang til virksomhedens pengekasse og får dem til at overføre penge via swift til hvad de tror er betroede leverandører; men pengene overføres til konti, der er kontrolleret af de kriminelle.

”KaV er en alvorlig trussel, globalt set”, siger Martin Licciardo, der har specialiseret sig i organiseret kriminalitet i FBI’s Washington-kontor. ”De kriminelle organisationer forfiner hele tiden deres bedrageriteknikker, så de kan blive ved med at snyde uskyldige ofre”.
Teknikkerne omfatter opkoblede kneb som harpunfangst, social engineering https://en.wikipedia.org/wiki/Social_engineering_(security), identitetstyveri, e-mail-forfalskniung og brug af malware. De elektroniske plattenslagere er trænede og uddannede så deres bedragerier kan være ret svære at afsløre, indtil det er for sent.

Lad os et øjeblik se på, hvad teknikker består af.

Spearfishing (Harpunfangst)
Kriminel anvendelse af social engineering.
Identitetstyveri
Email spoofing
Brug af malware

Indbryderne er så trænede i praksis, at bedragerierne i reglen først opdages, når det er for sent.

Seneste årlige tab: 22 milliarder kroner. Stigningstakt 6 gange årligt.

FBI oplyser, at tabene siden januar 2015 nu er 13 gange så høje, så de målt i danske kroner nu ligger på omkring 22 miliarder om året.
Når en ny kriminalitetsform dukker op fra et lavt udgangspunkt, er høje stigningstakter normale. Man må regne med, at den ekstremt stejle stigningstakt vil flade ud, men selv en årlig firedobling må anses for vildt foruroligende.
Selv om udøverne af KaV – også kendt som CEO afpersonificering – bruger en vifte af taktiske redskaber for at bondefange deres ofre, er den almindelige fremgangsmåde at opnå adgang til firmaets netværk gennem harpunfangst (spear-fishing) og brugen af malware.

Uden at blive afsløret kan de bruge uger eller måneder på at studere organisationens leverandører, betalingsformidling og direktørens måde at bruge e-mail kommunikation på og måske også vedkommendes rejseplan.

Når tiden er inde, fx når den administrerende direktør er ude af kontoret, sender bondefangerne en forfalsket e-mail til den målperson, de har udset sig: En bogholder, en regnskabsmedarbejder, en controller eller økonomichefen. Medarbejderen tror han sender penge til en allerede kendt konto, ligesom han plejer. Men kontonumrene er ændret bare lidt, og overførslen af store pengebeløb på måske flere hundrede tusinde kroner lander på en konto, der er under de kriminelles kontrol.

Hvis bedrageriet ikke opdages tidligt nok, er pengene svære at finde, takket være den kriminelle gruppes hvidvaskningsteknik og ”muldyr”. Muldyr er i denne sammenhæng personer, der kan transportere eller overføre penge fra det kriminelle miljø, hvor hvidvaskningen skal foregå. Muldyret behøver ikke være enkeltpersoner, det kan være vidtspændende virksomheder, der varetager den højtlønnede opgave sammen med mere lovlige forretninger.

”De kriminelle gruppers evne til at kompromittere den lovlige virksomheds e-mails-konti er forbløffende,” siger Licciardo. De er eksperter i bedrageri. Vi tager truslen fra KaV meget alvorligt, tilføjer han, og vi samarbejder med internationale partnere for at identificere disse gerningsmænd og afsløre deres organisationer.”

Lurendrejerkunsten

De kriminelle grupper som har engageret sig i at kompromittere virksomhedens email-adresser er ret sofistikerede. Her er der nogle af de teknikker, de anvender

  • Spoofing e-mail-konti og hjemmesider: Identitetstyveri, som starter med domænenavnet eller en efterligning af det, så modtageren tror, afsenderen (eller hjemmesiden) er en vedkommende kan stole på. https://en.wikipedia.org/wiki/Email_spoofing
  • Harpunfangst (spearfishing): Teknik, hvor det meste af bedrageriet er rettet mod en eller meget få personer modsat teknikker som sigter mod alle. Typist er den banale brug af ransomware bred. Men ved KaV er udvælgelsen af målpersonerne en væsentlig del af indsatsen.
  • https://en.wikipedia.org/wiki/Phishing#List_of_phishing_typesBrug af en falsk afsenderhjemmeside eller e-mail-adresse. 
  • Malware: Ondartet kode, som udfører væsentlige dele af det beskidte arbejde, hjertet i selve bedrageriet. Begrebet malware omfatter også den del af hackingprocessen, der lukker fremmede ind på firmaets eget netværk til for eksempel industrispionage. Malware er en meget bred betegnelse for alle ondsindede programmer, som brugere og organisationer bør værne sig imod. Tidligere var det tilstrækkeligt med et antivirus-program, men det ændrede trusselsbillede har medført, at selv et godt av-program ikke yder ordentlig beskyttelse.https://en.wikipedia.org/wiki/Malware

Hvis du eller din organisation har mistanke om, at den er blevet angrebet af BEC, så handler det om at agere hurtigt. Jo længere tid, der går, før der handles, des nemmere er det for lurendrejerne at slette deres spor. Du skal med det samme rette henvendelse til din bank eller til politiet. Hvis du mener at kunne standse et igangværende angreb, så skal du henvende dig til det firma, der hjælper dig med den tekniske sikkerhed.

Gode råd

Kompromittering af virksomhedsmail har resulteret i, at firmaer og myndigheder har tabt milliarder af kroner. Imidlertid skal man huske, at der er levende mennesker i begge ender af ledningen. Uanset hvor smart bondefangeriet end må forekomme, så er der en simpel løsning på den: enten det fysiske møde eller kommunikation af en anden, sikker kanal. Har du hidtil brugt den elektroniske post, så ring op. Stol aldrig på e-mailen alene.

Den bedste måde at undgå at blive snydt på er at få bekræftet afsenderens identitet. I tilfældet, hvor du er den betroede medarbejder, så gå ind på chefens kontor og spørg til, om han kender til vedkommende. Ring op. Brug den anden kanal.

Flere gode råd.

  • Lav regler for opd­agelse af indbrud med ids- systemer, der markerer emails med navne, der ligner almindelige firmanavne, men ikke er det. Hvis emailen er abc-firma@gl, så skal emails med navnet abc_firma@.gl afsløres. Marker sådanne emails med en advarsel.
    IDS: Intrusion detection systems: https://en.wikipedia.org/wiki/Intrusion_detection_system
  • Sæt farvekoder på afsendere af emails alt efter, om de er a) ansatte/interne, b) kendte kunder, c) ukendte.
  • Verificer ændringer i oplysninger om betalingskonti ved at bruge to-faktor autentificering eller brug en ekstra pålogning.
  • Bekræft anmodninger om pengeoverførsler af større sumer ved at bruge telefonverifikation som del af processen. Brug allerede kendte telefonnumre i stedet for dem, der lige bliver oplyst
    Identificer alle e-mail-forespørgsler om pengeoverførsler for at udvælge dem, der ikke ser normale ud,.

Resources

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

This site uses Akismet to reduce spam. Learn how your comment data is processed.