«ONDE FOLK PÅ INTERNETT VIL HA PENGENE DINE, OG SLIK GJØR DE DET»

Like dokumenter
CYBER-TRUSSELEN. Finans Norge seminar om operasjonell risiko 5. September Morten Tandle, daglig leder FinansCERT Norge AS/Nordic Financial CERT

HelseCERT Situasjonsbilde 2018

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

INEOS mener at de viktigste aktivaene er de ansatte. Ved å gjøre kommunikasjonskanalene åpne, legges det til rette for et positivt arbeidsmiljø.

NASJONAL SIKKERHETSMYNDIGHET: DO'S AND DON'TS. Gardermoen, 27. september Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet

Digital svindel. Hva er det og hvordan kan vi beskytte oss mot det?

NASJONAL SIKKERHETSMYNDIGHET

15. mai Månedsrapport. april Statusrapport Slettmeg.no april Side 1 av 9

Det digitale trusselbildet Sårbarheter og tiltak

Informasjonssikkerhet

TRUSLER, TRENDER OG FAKTISKE HENDELSER

Agenda. Nordisk finansnæring kan møte cybertrusselen sammen. Morten Tandle, daglig leder Nordic Financial CERT

DIREKTØRSVINDEL HVORDAN FUNGERER DET? FARESIGNALER HVA KAN DU GJØRE? #CyberScams

Trusler, trender og tiltak 2009

Internasjonale bedragerier

VEST POLITIDISTRIKT Kriminalitetsbekjempelse i det digitale rom - Vest pd.

«State of the union»

Saksbehandler: Rigmor J. Leknes Tlf: Arkiv: 033 Arkivsaksnr.: 11/

Spamfree. Security Services Tjenestebeskrivelse. Eier: Sissel Joramo Agent: Atle Rønning Tekniker: Designer:

Samarbeid INPUT PROSESS OUTPUT...å være samlet om felles oppgaver og/eller å nå et mål sammen

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

Månedsrapport januar 2014

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Identitetstyveri. NIRF Nettverk IT-revisjon / Nettverk Misligheter Nettverksmøte v/ seniorrådgiver Tommy Antero Kinnunen

Om søk, sikkerhet og nettvett. All tekst hentet fra HIB, "Digitale ferdigheter"

Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss?

Om EthicsPoint. Om EthicsPoint Rapportering - Generelt Rapportering - Sikkerhet og fortrolighet Tips og beste praksis

Hvitvaskingskonferansen Utfordringer for hvitvaskingsregimet Verner viktige verdier

NASJONAL SIKKERHETSMYNDIGHET

INTERNREVISJONENS REISE MOT 2020

TripAdvisor for restauranter: En introduksjon

Nasjonal sikkerhetsmyndighet

HÅNDTERING AV NETTANGREP I FINANS

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM

Nettbutikkenes trusler i det digitale rom. Thor M Bjerke, sikkerhetsrådgiver Virke.

Månedsrapport Juni, juli, august 2014

Security Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen

Introduksjon til Informasjonsteknologi

«Dataverdens Trygg Trafikk»

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Dinamo 12/2009 Foto: Espen Gees Trykkeri: Hauknes Grafisk Opplag: Art.nr. N Oppdag dine Telenor-fordeler

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM

Nettbanksikkerhet. Erfaringer fra SpareBank 1

Datasikkerhet. Usynlig, ubegripelig og uhåndterlig? Treffpunkt Jæren, Bryne. Jørgen Dyrhaug 14. Mars 2018

Personvernerklæring for Foreningen Grunnloven 112

HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET

MENNESKET «HACKERENS BESTE VENN» Høgskolen i Oslo og Akershus 29. oktober Fagdirektør Roar Thon Nasjonal sikkerhetsmyndighet

«SKJØNNER VANNBRANSJEN FORTSATT IKKE AT DEN IKKE FORSTÅR SEG PÅ INFORMASJONSSIKKERHET?» Jon Røstum, sjefstrateg Powel

TIPS OG RÅD TIL DEG SOM SKAL SØKE LÆREPLASS

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett

VILKÅR FOR BRUK AV PREODAY APP OG E-HANDELSLØSNING

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Datasikkerhet og cyberspace Arendal Rotaryklubb

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

Hei, Hører fra deg. Med vennlig hilsen. Morten Håland. Konserndirektør Eiendom Otium AS

Kartlegging av digital sikkerhetskultur Våre erfaringer

Når du registrerer deg for å få tilgang til Tjenestene som arrangør Kontakter oss med forespørsler

Erfaringer fra etableringen av institusjonsvise sikkerhetsteam

ecrime - Skremsel eller fakta? Tore Larsen Orderløkken Leder Norsk senter for informasjonssikring

Informasjon om Norids kommunikasjonskampanje i forbindelse med lansering av private domenenavn under priv.no

Kim Ellertsen, direktør NSR. En ny identitet blir stjålet hvert 4.sekund

Slik stoppes de fleste dataangrepene

Legg opp din nye Website raskt og enkelt!

ID-tyveriprosjektet. Det må bli vanskeligere å bli kunde i Norge! Hva er gjort og bør gjøres for å redusere risiko og omfang?

I siste del av rapporteringen kan den enkelte be om individuell samtale og gi opplysninger som den enkelte anser som konfidensielle.

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM

Vilkår ID-tyverisikring og Netthjelp ved misbruk

NorCERT IKT-risikobildet

DIN DIGITALE ADFERD VIKTIG FOR DEG OG DIN ARBEIDSGIVER

UH-sektorens utfordringer

NSM NorCERT og IKT risikobildet

En fortelling om Id-tyveri og ofrene. Kan du stole på dine nærmeste?

Hvordan Skrive Telefonnummer

Anbefalinger om åpenhet rundt IKT-hendelser

Om EthicsPoint. Om EthicsPoint Rapportering Generelt Rapporteringssikkerhet og konfidensialitet Tips og beste praksis

Hvordan kan den enkelte virksomhet bidra til å skape tillit? Olav Petter Aarrestad, IT-direktør 12/06/2019

Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt.

Kryptovaluta. - "internettpenger" egnet for hvitvasking - finansiell etterforskning i en virtuell verden

Matematisk julekalender for trinn, 2009

Datasikkerhetserklæring Kelly Services AS

Kan du holde på en hemmelighet?

1. Kjønn. Kartlegging av informasjonssikkerhetskultur - Gran Kommune :25. Først vil vi vite litt om hvem du er. 100% 90% 80% 74,9% 70%

Arbeidskort. Del 1 Til arbeidsgiver

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

UiO IN2120 høst 2019 Incident Response and Forensics - Forslag til svar på caseoppgave. Frode Lilledahl

PFU-SAK NR. 132/14. Advokat Rune Østgård p.v.a. Snåsa vannverk og styreleder Henry Østgård ADRESSE:

Det gjør ikke noe om jeg blir hacket for jeg har ingenting å skjule

Månedsrapport februar 2014

PERSONVERN FOR ENHVER PRIS?

Forberedelse til ditt unike onlinekurs

Tren deg til: Jobbintervju

DET DIGITALE TRUSSELBILDET INNAN VA FYSISK SIKRING, DIGITALSIKRING OG MENNESKELEG PÅVERKNAD. Jon Røstum, sjefstrateg Powel

DET DIGITALE TRUSSEL- OG RISIKOBILDET

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

I siste del av rapporteringen kan den enkelte be om individuell samtale og gi opplysninger som den enkelte anser som konfidensielle.

Transkript:

«ONDE FOLK PÅ INTERNETT VIL HA PENGENE DINE, OG SLIK GJØR DE DET» Onsdag 2017-03-29 Anders Einar Hilden NSM NorCERT Oslo SLIDE 1

AGENDA CEO-fraud / «Direktørsvindel» Sosial engineering av regnskapsansvarlige DDoS og utpressing Distribuert Denial of Service-angrep kombinert med utpressingsforsøk SLIDE 2

CEO-fraud / «Direktørsvindel» SLIDE 3

CEO-FRAUD / «DIREKTØRSVINDEL» - INTRO Svindel der angriper utgir seg for å være person med høyere stilling enn målet i en bedrift, med det formål å få offeret til å utføre en betaling Betaling av faktura, økonomipersonell er målgruppen E-post fra finansdirektør til betalingsansvarlig - Sjef er i møte/utlandet, faktura må betales, «Kan du betale en faktura i dag» - Noen ganger sensitiv eller hemmelig avtale med utenlandsk firma Oppkjøp av firma, store aksjeposter e.l. Faktura må betales «stille» (konfidensielt) og raskt Bedrifter er ekstra sårbare dersom Betalinger til utlandet er vanlig Dersom ledelse / sjefer har dårlig skriftlig/muntlig norsk - Dårlig norsk i e-poster reageres ikke på Kun en person er nok for å godkjenne en betaling SLIDE 4

CEO-FRAUD / «DIREKTØRSVINDEL» - MODUS OPERANDI Flere grupperinger (modus operandi) Tidlig sommer 2016 så vi mye typo-squatting av domener bedrift.com ble til bedirft.com (byttet om på r og i) Krever at man kjøper ett domene, og har/setter opp infrastrukturen som trengs for å sende/motta e-post for domenet Mindre typo-squatting utover høsten Enklere å gå for sosial engineering enn typo-squatting Benytter seg av at e-postklienter alt for ofte skjuler faktisk e-postadresse og kun viser navn Fra: «Ola Normann <ola@bedrift.no>» <ola@mail.ru> Stor variasjon i norskkunnskaper Lange e-poster på veldig godt norsk Andre benytter ren Google Translate - «Trenger deg til å metalltråd en betaling» -«Need you to wire a payment» - «Be om for xx august 2016» - «Request for xx august 2016» Kan hende de har norskkunnskaper, men anbefaler også å lese DinSides artikkel om Nordmenn oversetter svindlernes tekster SLIDE 5

CEO-FRAUD / «DIREKTØRSVINDEL» - TAP Vanskelig å få oversikt over hvor mye som er stjålet Aftenposten rapporterte om en norsk bedrift som tapte en NOK 500 millioner i januar 2016. Ca. 100 70-kvadratmeters leiligheter i Oslo Anbefaler å lese VG-artikkelen om «Operasjon Jackpot» fra 20. mars 2017 Største tallet NorCERT har fått beskjed om er NOK 0,5 million Større norsk bedrift i juni 2016 FBI rapporterer om tap «Svinder som ligner CEO-fraud» Ca NOK 18 milliarder i perioden oktober 2013 februar 2016 4,5 operahus, eller 2 Mongstad-skandaler SLIDE 6

CEO-FRAUD / «DIREKTØRSVINDEL» - EKSEMPEL 1 SLIDE 7

CEO-FRAUD / «DIREKTØRSVINDEL» - EKSEMPEL 2 Vi er for tiden engasjert i et oppkjøp av et selskap i forbindelse med vår eksterne vekst, og det er Hr <Etternavn> fra <advokatfirma> som håndterer dette på mine vegne. På det nåværende stadiet må dette oppkjøpet forbli strengt konfidensielt, noe som innebærer at du ikke avslører det til en tredjepart i selskapet Du kommer til å være min eneste kontakt i denne forbindelse, med sikte på å sluttføre denne transaksjonen som er så viktig for vår virksomhet. Vennligst ta kontakt med Hr <Etternavn> fra vårt advokatfirma (<navn.etternavn>@<typosquatted internasjonalt advokatfirma>) så snart som mulig for å få bankinformasjon for betaling. Som du kan se, er denne eposten sendt til deg fra bedriftens epostsystem. Men fra nå må all kommunikasjon mellom oss utelukkende foregå via min sikre, personlige epostadresse (<direktør>@<fake «secure» email service.com>) Med vennlig hilsen, <direktør> SLIDE 8

CEO-FRAUD / «DIREKTØRSVINDEL» - HVA KAN MAN GJØRE Lær opp økonomiansvarlige til å være skeptiske Bekreft store betalinger over telefon - Ring ut til kjent nummer - Ikke ukjent at svindlere ringer inn og utgir seg for å være sjefen, eller opplyser om at man har «nytt nummer» Betalinger som haster eller skal være konfidensielle bør ironisk nok bekreftes ekstra godt Flere tekniske muligheter til å lete etter mistenkelige e-poster Søke etter domener som ligner mistenkelig mye på riktig domene Faller gjennom når man ikke bruker typo-squatting, men for eksempel skjuler at de kommer fra mail.ru/yahoo/gmail. Opplæring, opplæring, opplæring av de som er i målgruppen Eksempel: Større firma i transportsektoren har bi-ukentlige samtaler mellom økonomi- og IT-avdelingen for å snakke om nye svindel-metoder Mange tips hos Nettvett https://nettvett.no/direktor-svindel SLIDE 9

CEO-FRAUD / «DIREKTØRSVINDEL» - HVA GJØR NORCERT Varsler bedrifter i samarbeid med sektorvise responsmiljøer og NorSIS Samler inn kontonummer og betalingsinfo for muldyr og deler disse med FinansCERT / andre CERTer for blokkering / overvåkning av betalinger. Anbefaler alle som tar kontakt med oss å anmelde. Nettvett.no har anmeldelsesmal SLIDE 10

DDoS og utpressing SLIDE 11

DDOS KOMBINERT MED UTPRESSING - INTRO E-post sendes til bedrift med trussel om DDoS (Tjenestenektangrep) Dersom en sum på et antall Bitcoin betales lover angripere å avslutte angrepet / ikke angripe på et senere tidspunkt. Kombineres ofte med et kort, mindre test-ddos for å gi illustrasjonen av at angriper har kapasitet til å utføre angrepet de truer med. Skryter av at de har urealistiske store mengder båndbredde tilgjengelig for angrep Linker ofte til ukritiske artikler om seg selv Ført observert i Norge i april-juni 2015 Resulterte i en bloggpost med informasjon om angrepsformen fra NSM Kjente gruppenavn er «DD4BC», «Armada Collective», «Lizard Squad» SLIDE 12

DDOS KOMBINERT MED UTPRESSING EKSEMPEL 1 Bilde DDOS ATTACK! SLIDE 13

DDOS KOMBINERT MED UTPRESSING EKSEMPEL 2 Bilde «Ransom Request: DDoS Attack» SLIDE 14

DDOS KOMBINERT MED UTPRESSING MODUS OPERANDI Eksemplene er fra legitime angrep i Norge Tjenesten som ble truffet i eksempel 2 var nede i en lengre periode (to dager) Mågruppen er ofte ikke de største (DNB, VG, FINN), da disse har nok kapital til å ha «skikkelig» DDoS-beskyttelse. Ei heller de minste (Mor & Fars Kakebakeri), siden det for disse ikke er kritisk om nettsiden er nede noen få dager. I midten store nok til at inntektstapet ved tapt tilgjengelighet eller utgiftene ved å holde siden online er mer enn utpressingsbeløpet. SLIDE 15

DDOS KOMBINERT MED UTPRESSING FRAUDS/COPYCATS Veldig vanlig med copycats som aldri sender noen form for DDoS Observert 3-4 bølger som har truffet Norge i 2015-2016 «Five exclamation marks, the sure sign of an insane mind» -- Terry Pratchett Hvis du trenger utropstegn i det hele tatt så er jeg skeptisk til budskapet ditt Ingen «trussel»-ddos opservert av NorCERT mellom desember 2015 og «Stealth Ravens» i januar 2016 DDoS ja, men ikke kombinert med utpressing DDoS-trusler ja, men ikke kombinert med DDoS eller test-ddos. Neste slide: Armada DDoS-trussel mottatt i Norge høsten 2016 SLIDE 16

DDOS KOMBINERT MED UTPRESSING EKSEMPEL 3 Eksempel «We are a HACKER TEAM Armada Collective» SLIDE 17

DDOS KOMBINERT MED UTPRESSING FRAUDS/COPYCATS Attantion!! Skrivefeil og utropstegn «Armada Collective» Ikke hørt noe fra dem på over ett år, plutselig tilbake? Så vidt vi vet, arrestert «Vi skal demonstrere vår angrepskraft!» en gang på et uspesifisert tidspunkt i fremtiden? Så mye DDoS-kraft, og dere spør bare om 1 BTC (NOK 8000)? Bitcoinadressen Samme adresse og sum brukt i flere trussel-eposter Ikke mulig å skille ut hvilke ofre som betaler TL;DR: Fake scriptkidde-ddos-trussel «Vi kommer til å utføre et sårbarhetsscan av systemene deres» Hva? Kan vi få en kopi, så slipper vi å betale noen andre for å gjøre det? SLIDE 18

DDOS KOMBINERT MED UTPRESSING RÅD Anmeld, anmeld, anmeld Gjelder både med og uten trussel Se Kripos veiledningsskjema for datakriminalitet, eller kontakt NorCERT for tips / mal Vurder troverdigheten til trussel Ser og føles det falskt ut, så er det antagelig det. Sammenlign bitcoin-adresse?, google navnet. NorCERT kan bistå med råd og vurdering SLIDE 19

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding