«ONDE FOLK PÅ INTERNETT VIL HA PENGENE DINE, OG SLIK GJØR DE DET» Onsdag 2017-03-29 Anders Einar Hilden NSM NorCERT Oslo SLIDE 1
AGENDA CEO-fraud / «Direktørsvindel» Sosial engineering av regnskapsansvarlige DDoS og utpressing Distribuert Denial of Service-angrep kombinert med utpressingsforsøk SLIDE 2
CEO-fraud / «Direktørsvindel» SLIDE 3
CEO-FRAUD / «DIREKTØRSVINDEL» - INTRO Svindel der angriper utgir seg for å være person med høyere stilling enn målet i en bedrift, med det formål å få offeret til å utføre en betaling Betaling av faktura, økonomipersonell er målgruppen E-post fra finansdirektør til betalingsansvarlig - Sjef er i møte/utlandet, faktura må betales, «Kan du betale en faktura i dag» - Noen ganger sensitiv eller hemmelig avtale med utenlandsk firma Oppkjøp av firma, store aksjeposter e.l. Faktura må betales «stille» (konfidensielt) og raskt Bedrifter er ekstra sårbare dersom Betalinger til utlandet er vanlig Dersom ledelse / sjefer har dårlig skriftlig/muntlig norsk - Dårlig norsk i e-poster reageres ikke på Kun en person er nok for å godkjenne en betaling SLIDE 4
CEO-FRAUD / «DIREKTØRSVINDEL» - MODUS OPERANDI Flere grupperinger (modus operandi) Tidlig sommer 2016 så vi mye typo-squatting av domener bedrift.com ble til bedirft.com (byttet om på r og i) Krever at man kjøper ett domene, og har/setter opp infrastrukturen som trengs for å sende/motta e-post for domenet Mindre typo-squatting utover høsten Enklere å gå for sosial engineering enn typo-squatting Benytter seg av at e-postklienter alt for ofte skjuler faktisk e-postadresse og kun viser navn Fra: «Ola Normann <ola@bedrift.no>» <ola@mail.ru> Stor variasjon i norskkunnskaper Lange e-poster på veldig godt norsk Andre benytter ren Google Translate - «Trenger deg til å metalltråd en betaling» -«Need you to wire a payment» - «Be om for xx august 2016» - «Request for xx august 2016» Kan hende de har norskkunnskaper, men anbefaler også å lese DinSides artikkel om Nordmenn oversetter svindlernes tekster SLIDE 5
CEO-FRAUD / «DIREKTØRSVINDEL» - TAP Vanskelig å få oversikt over hvor mye som er stjålet Aftenposten rapporterte om en norsk bedrift som tapte en NOK 500 millioner i januar 2016. Ca. 100 70-kvadratmeters leiligheter i Oslo Anbefaler å lese VG-artikkelen om «Operasjon Jackpot» fra 20. mars 2017 Største tallet NorCERT har fått beskjed om er NOK 0,5 million Større norsk bedrift i juni 2016 FBI rapporterer om tap «Svinder som ligner CEO-fraud» Ca NOK 18 milliarder i perioden oktober 2013 februar 2016 4,5 operahus, eller 2 Mongstad-skandaler SLIDE 6
CEO-FRAUD / «DIREKTØRSVINDEL» - EKSEMPEL 1 SLIDE 7
CEO-FRAUD / «DIREKTØRSVINDEL» - EKSEMPEL 2 Vi er for tiden engasjert i et oppkjøp av et selskap i forbindelse med vår eksterne vekst, og det er Hr <Etternavn> fra <advokatfirma> som håndterer dette på mine vegne. På det nåværende stadiet må dette oppkjøpet forbli strengt konfidensielt, noe som innebærer at du ikke avslører det til en tredjepart i selskapet Du kommer til å være min eneste kontakt i denne forbindelse, med sikte på å sluttføre denne transaksjonen som er så viktig for vår virksomhet. Vennligst ta kontakt med Hr <Etternavn> fra vårt advokatfirma (<navn.etternavn>@<typosquatted internasjonalt advokatfirma>) så snart som mulig for å få bankinformasjon for betaling. Som du kan se, er denne eposten sendt til deg fra bedriftens epostsystem. Men fra nå må all kommunikasjon mellom oss utelukkende foregå via min sikre, personlige epostadresse (<direktør>@<fake «secure» email service.com>) Med vennlig hilsen, <direktør> SLIDE 8
CEO-FRAUD / «DIREKTØRSVINDEL» - HVA KAN MAN GJØRE Lær opp økonomiansvarlige til å være skeptiske Bekreft store betalinger over telefon - Ring ut til kjent nummer - Ikke ukjent at svindlere ringer inn og utgir seg for å være sjefen, eller opplyser om at man har «nytt nummer» Betalinger som haster eller skal være konfidensielle bør ironisk nok bekreftes ekstra godt Flere tekniske muligheter til å lete etter mistenkelige e-poster Søke etter domener som ligner mistenkelig mye på riktig domene Faller gjennom når man ikke bruker typo-squatting, men for eksempel skjuler at de kommer fra mail.ru/yahoo/gmail. Opplæring, opplæring, opplæring av de som er i målgruppen Eksempel: Større firma i transportsektoren har bi-ukentlige samtaler mellom økonomi- og IT-avdelingen for å snakke om nye svindel-metoder Mange tips hos Nettvett https://nettvett.no/direktor-svindel SLIDE 9
CEO-FRAUD / «DIREKTØRSVINDEL» - HVA GJØR NORCERT Varsler bedrifter i samarbeid med sektorvise responsmiljøer og NorSIS Samler inn kontonummer og betalingsinfo for muldyr og deler disse med FinansCERT / andre CERTer for blokkering / overvåkning av betalinger. Anbefaler alle som tar kontakt med oss å anmelde. Nettvett.no har anmeldelsesmal SLIDE 10
DDoS og utpressing SLIDE 11
DDOS KOMBINERT MED UTPRESSING - INTRO E-post sendes til bedrift med trussel om DDoS (Tjenestenektangrep) Dersom en sum på et antall Bitcoin betales lover angripere å avslutte angrepet / ikke angripe på et senere tidspunkt. Kombineres ofte med et kort, mindre test-ddos for å gi illustrasjonen av at angriper har kapasitet til å utføre angrepet de truer med. Skryter av at de har urealistiske store mengder båndbredde tilgjengelig for angrep Linker ofte til ukritiske artikler om seg selv Ført observert i Norge i april-juni 2015 Resulterte i en bloggpost med informasjon om angrepsformen fra NSM Kjente gruppenavn er «DD4BC», «Armada Collective», «Lizard Squad» SLIDE 12
DDOS KOMBINERT MED UTPRESSING EKSEMPEL 1 Bilde DDOS ATTACK! SLIDE 13
DDOS KOMBINERT MED UTPRESSING EKSEMPEL 2 Bilde «Ransom Request: DDoS Attack» SLIDE 14
DDOS KOMBINERT MED UTPRESSING MODUS OPERANDI Eksemplene er fra legitime angrep i Norge Tjenesten som ble truffet i eksempel 2 var nede i en lengre periode (to dager) Mågruppen er ofte ikke de største (DNB, VG, FINN), da disse har nok kapital til å ha «skikkelig» DDoS-beskyttelse. Ei heller de minste (Mor & Fars Kakebakeri), siden det for disse ikke er kritisk om nettsiden er nede noen få dager. I midten store nok til at inntektstapet ved tapt tilgjengelighet eller utgiftene ved å holde siden online er mer enn utpressingsbeløpet. SLIDE 15
DDOS KOMBINERT MED UTPRESSING FRAUDS/COPYCATS Veldig vanlig med copycats som aldri sender noen form for DDoS Observert 3-4 bølger som har truffet Norge i 2015-2016 «Five exclamation marks, the sure sign of an insane mind» -- Terry Pratchett Hvis du trenger utropstegn i det hele tatt så er jeg skeptisk til budskapet ditt Ingen «trussel»-ddos opservert av NorCERT mellom desember 2015 og «Stealth Ravens» i januar 2016 DDoS ja, men ikke kombinert med utpressing DDoS-trusler ja, men ikke kombinert med DDoS eller test-ddos. Neste slide: Armada DDoS-trussel mottatt i Norge høsten 2016 SLIDE 16
DDOS KOMBINERT MED UTPRESSING EKSEMPEL 3 Eksempel «We are a HACKER TEAM Armada Collective» SLIDE 17
DDOS KOMBINERT MED UTPRESSING FRAUDS/COPYCATS Attantion!! Skrivefeil og utropstegn «Armada Collective» Ikke hørt noe fra dem på over ett år, plutselig tilbake? Så vidt vi vet, arrestert «Vi skal demonstrere vår angrepskraft!» en gang på et uspesifisert tidspunkt i fremtiden? Så mye DDoS-kraft, og dere spør bare om 1 BTC (NOK 8000)? Bitcoinadressen Samme adresse og sum brukt i flere trussel-eposter Ikke mulig å skille ut hvilke ofre som betaler TL;DR: Fake scriptkidde-ddos-trussel «Vi kommer til å utføre et sårbarhetsscan av systemene deres» Hva? Kan vi få en kopi, så slipper vi å betale noen andre for å gjøre det? SLIDE 18
DDOS KOMBINERT MED UTPRESSING RÅD Anmeld, anmeld, anmeld Gjelder både med og uten trussel Se Kripos veiledningsskjema for datakriminalitet, eller kontakt NorCERT for tips / mal Vurder troverdigheten til trussel Ser og føles det falskt ut, så er det antagelig det. Sammenlign bitcoin-adresse?, google navnet. NorCERT kan bistå med råd og vurdering SLIDE 19