Mesék a való életből 1.

Induló sorozatunkban mindennapi munkavégzésünk során, testközelből látott sikeres, vagy sikertelen támadásokat mutatunk be.

Jelen első részben egy régóta használatos, de a pandémia hatására ismét mutatókat döntögető csalási formát citálunk, a hamis számlát használó támadást.

Többféle formája létezik: van, amelynél telefonon keresztül bonyolítanak hamis utaltatást az áldozattal, máskor autentikusnak tűnő, de hamis számlát küldenek az áldozatnak akár autentikus e-mail címről (mikoris feltörték a rendszert és képesek az illetékes munkavállaló nevében valós levelet küldeni), akár a valódihoz nagyon hasonlító, de fals címről.

August 26th, 2020

Aktuális példánk a következő:

Egy ügyfelünk megkeresett minket, hogy egyik nemzetközi partnerük elutalta a szolgáltatásuk ellentételezését és érdeklődnének, hogy mikorra várhatják a számlát?

Rövid ellenőrzés után kiderült, hogy nem érkezett be hozzájuk az összeg, kérték a partnert, hogy ellenőrizze az utalást. Ekkor kiderült, hogy a számlaszám nem stimmel.

Idáig tipikus forgatókönyv szerint mentek a dolgok, azonban jelen esetben a csavar, hogy a partner nem volt hajlandó utalni, amíg a ügyfelünk meg nem győződik arról, hogy nem az ő rendszereiket törték fel. Ugyanis – ahogy szinte mindig – az ördög itt is részletekben lakozik.

Adott volt egy tranzakciós e-mail folyam, melynek egy pontján becsatlakozott ügyfelünk egyik alkalmazottjának e-mail címéhez hasonló címmel rendelkező csaló. A nyelvezet, a formalitás, megtévesztően hasonló volt. Azonban amiből egyértelműen eldönthető lett volna, hogy csalóval volt dolguk az éppen az e-mail cím volt. Ügyfelünk adott séma alapján (legyen ez most yx@valami.org) osztja ki a címeket. A csaló címe pedig yx.valami@xmail.org képen nézett ki. Alapvetően az bizonyítási idő szűke miatt nagyon kevés adatot tudott rendelkezésünkre bocsátani az ügyfél, melyből -többek között- hiányzott a csaló eredeti levele is (header vizsgálathoz nem árt).

Végül arra a konklúzióra jutottunk, hogy ügyfelünket a téves utalás miatt felelősség nem terheli, mivel a partnerük a) nem ellenőrizte a bankszámlaszámot,b) nem vizsgálta meg kellőképpen, hogy milyen e-mail címről jött a számla. Ugyanakkor a rendelkezésre bocsátott információk alapján sem megerősíteni, sem megcáfolni nem tudtuk, hogy nem törték-e fel a rendszereiket (bár járulékos információként tudomásunkra hozták, hogy védelmi megoldásaik nem jeleztek és nem is naplóztak a szokásostól eltérő aktivitást, forgalmat, kommunikációs irányt, illetőleg ha rendszeren belül van a támadó, miért kockáztatná, hogy egy public open reg-es oldalról küld levelet – növelve a lebukás esélyét – mikor ott ül a levelezőszerverben).

Hogyan lehetett volna megelőzni az incidenst?

  • Megbizonyosodni, hogy a munkavállalók információbiztonság-tudatossági szintje megfelelő-e?

Erre szoktuk javasolni általános phishing szimulációs szolgáltatásunkat (vagy a komplett Social Engineering vizsgálati csomagot), mely során többek között azt is teszteljük, hogy a “leggyengébb láncszem” (munkavállaló), mekkora fenyegetést jelent egy phishing támadás során.

  • A tudatosság szintjének ismerete tükrében információbiztonsági oktatásokat tartani, vagy tartatni, mely során az ilyen és ehhez hasonló támadásokra is fel tudnak készülni a munkavállalók.
Top