SBA Research
Spoofed Invoice Fraud
Incident Response & Lessons
Learned
SBA Research
Basic Facts
• Gegründet 2006
• Forschungszentrum für Informationssicherheit und
Security Dienstleister
• Fors...
SBA Research
Handlungsfelder & Werte
• Forschung
– Lehre an FHs & Universitäten – national & international
– Sicherheitsfo...
Ausgangslage
• Im Zuge eines Audits wurden wir bei einem
Bestandskunden im Dezember 2014 bei einem
Incident mit großen fin...
Take me to the money
• Vorfälle immer sehr ähnlich zu:
https://www.ic3.gov/media/2015/150122.aspx
Vorgehensmethode generisch
VERSIONS OF THE BEC SCAM
Based on IC3 complaints and other complaint
data received since 2009, ...
Vorgehensmethode konkret
• UnternehmenA stellt Rechnung per Email an
UnternehmenB über langjährigen Sales-Agent in Asien (...
Randbedingungen & Implikationen
• Dieses Vorgehen wird öfters wiederholt – bis es zum
Erfolg führt oder auffliegt (2-3x pr...
Woher kommen die Mails?
Menschlicher Täter
• Sales MA
• Insider
• Management
• Administratoren
• Zwischenhändler
• Telco M...
Lessons Learned – Incident Response
• Status Security Management & Incident Response
• An wen wendet sich das Unternehmen?...
Konkrete Aufarbeitung
• Getroffene Erstmaßnahmen:
– Prüfung Angriffsvektoren & Kommunikation CERT
– Follow the money
– APT...
Lessons Learned für Unternehmen
• Domain Monitoring
• Security Management & Prozesse
• Technische Tools
– Logs, Logs, Logs...
Lessons Learned für die Security Community
• Mehr gut ausgebildete Ersthelfer!
• Kommunikation forcieren!
– Hersteller
– C...
SBA Prime & Accelerator
• Accelerator
– Security Startup Förderung für Europa
– Wettbewerb Q2/Q3 (Digital City Vienna, BMI...
DI Mag. Andreas Tomek
SBA Research gGmbH
Favoritenstraße 16, 1040 Wien
+43 699 115 18 148
atomek@sba-research.org
Nächste SlideShare
Wird geladen in …5
×

Spoofed Invoice Fraud IncidentResponse & Lessons Learned

757 Aufrufe

Veröffentlicht am

Spoofed Invoice Fraud IncidentResponse & Lessons Learned

Cybercrime – wie reagieren nach einem Vorfall? Die Frage ist schon längst nicht mehr ob, sondern wann Sie zum Ziel werden. Auf Basis einiger Cybercrime-Vorfälle des letzten Jahres werden im Rahmen dieses Vortrags Erfahrungswerte hinsichtlich Identifikation, Incident Response und Prävention aufbereitet.

Veröffentlicht in: Leadership & Management
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
757
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
129
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Spoofed Invoice Fraud IncidentResponse & Lessons Learned

  1. 1. SBA Research Spoofed Invoice Fraud Incident Response & Lessons Learned
  2. 2. SBA Research Basic Facts • Gegründet 2006 • Forschungszentrum für Informationssicherheit und Security Dienstleister • Forschungs-, Audit-, Beratungs-, Implementierungs- & Betriebs-Know How unter einem Dach • Über 100 Köpfe – ca. 70 FTEs im Dienstverhältnis • Wissenschaftliche Partner: TU Wien, TU Graz, Universität Wien, WU Wien, FH St. Pölten, AIT
  3. 3. SBA Research Handlungsfelder & Werte • Forschung – Lehre an FHs & Universitäten – national & international – Sicherheitsforschung & Prototypen • Kompetenz – Expertenpool für Informationssicherheit – Beratung, Schulungen, Managed Services, Produktumsetzungen aus der Forschung & Praxis • Verantwortung – Gemeinnützigkeit & Studien – Bereitstellung von Wissen – Plattform für Security (Veranstaltungen, ISC2, IEEE, etc.)
  4. 4. Ausgangslage • Im Zuge eines Audits wurden wir bei einem Bestandskunden im Dezember 2014 bei einem Incident mit großen finanziellen Auswirkungen zugezogen • Wir setzten erste Maßnahmen und koordinierten forensische Untersuchungen • Im Zuge der Ermittlungen wurden mind. 4 weitere Fälle im Jahr 2014 bekannt. Nicht alle waren erfolgreich. Bei einem weiteren wurden wir zugezogen.
  5. 5. Take me to the money • Vorfälle immer sehr ähnlich zu: https://www.ic3.gov/media/2015/150122.aspx
  6. 6. Vorgehensmethode generisch VERSIONS OF THE BEC SCAM Based on IC3 complaints and other complaint data received since 2009, there are three main versions of this scam: Version 1 A business, which often has a long standing relationship with a supplier, is asked to wire funds for invoice payment to an alternate, fraudulent account. The request may be made via telephone, facsimile or e-mail. If an e-mail is received, the subject will spoof the e-mail request so it appears very similar to a legitimate account and would take very close scrutiny to determine it was fraudulent. Likewise, if a facsimile or telephone call is received, it will closely mimic a legitimate request. This particular version has also been referred to as “The Bogus Invoice Scheme,” “The Supplier Swindle,” and “Invoice Modification Scheme.”
  7. 7. Vorgehensmethode konkret • UnternehmenA stellt Rechnung per Email an UnternehmenB über langjährigen Sales-Agent in Asien (in anderem Vorfall auch direkt) • Einige Stunden später folgt ein zweites Mail von einer neu registrierten (WebHoster Trial mit gefakten Daten) und ähnlich klingenden Domain • Der gesamte Inhalt ist gleich inkl. Adressaten und CC (alle nun auf gefakter Domain) & Anhängen • Es gibt nur einen neuen Passus der eine Änderung des Kontos verlangt (Grund: Finanz sperrt Konto wegen Audit) • Auf Rückfragen durch den UnternehmenB wird vom Scammer geantwortet, teils mit gefakten Dokumenten • UnternehmenB überweißt auf das falsche Konto
  8. 8. Randbedingungen & Implikationen • Dieses Vorgehen wird öfters wiederholt – bis es zum Erfolg führt oder auffliegt (2-3x pro Zielunternehmen) • Erst beim 2ten Mal glaubt das Unternehmen an interne Probleme • Fast alle Unternehmen waren produzierende Industrieunternehmen mit globalen Märkten/Filialen • Auf Angreiferseite dürften mehrere Gruppen tätig sein – Domainanlage tw nicht mit Mails abgestimmt • Kernfrage: Woher kommen die Originalmails? Woher die Anhänge und teilweise Unterschriften?
  9. 9. Woher kommen die Mails? Menschlicher Täter • Sales MA • Insider • Management • Administratoren • Zwischenhändler • Telco MA • Mail Provider MA • Selbe Personengruppen bei Kunde Technische Optionen • Client PCs (User, Admin, Management) – Malware? • Lokaler Mail-Server • LAN & Corp. WAN • Mail Provider • Internet • Kundeninfrastuktur
  10. 10. Lessons Learned – Incident Response • Status Security Management & Incident Response • An wen wendet sich das Unternehmen? – Polizei – Anzeige / Cybercop / Another one… – Wer sonst CERT? Sicherheitsberater? Wirtschaftsprüfer? • Koordination dieser Parteien? • Wer hat überhaupt Zeit und technische Mittel? • Rechtliche Komponente • Abschalten der Fraud Domains • Versicherungsschutz und Schadensübernahme
  11. 11. Konkrete Aufarbeitung • Getroffene Erstmaßnahmen: – Prüfung Angriffsvektoren & Kommunikation CERT – Follow the money – APT Sensoren & Ergebnisse – Einschaltung Big4 für Forensik & Auditbericht • Untersuchung Client Sales • Untersuchung FW & Exchange Logs • Untersuchung Admin Clients • Untersuchung Top MMgt. Client • Vuln Scanning Reports • Remote Access Logs inkl. Webmail • AD Logs • Passwort Security – Rechtsabteilung für Anzeigen & Domain Grabbing – Kommunikation Management & Kunden/Partner
  12. 12. Lessons Learned für Unternehmen • Domain Monitoring • Security Management & Prozesse • Technische Tools – Logs, Logs, Logs! – Moderne AV & APT Tools – FW Auswertungen – Mail Server Auswertungen – AD Access Logs • Incident Response & Kommunikationsstrategie • Ansprechpartner & Dienstleister definieren • Dienstleister in die Pflicht nehmen – zB Mailprovider • Senior Management Awareness schaffen • Versicherung?
  13. 13. Lessons Learned für die Security Community • Mehr gut ausgebildete Ersthelfer! • Kommunikation forcieren! – Hersteller – CERTs – Nat. & Internat. Behörden – Security Professionals – Dienstleister • Vorfälle können klein anfangen & sich rasch ausdehnen • Auch der gehobene Mittelstand ist oft noch nicht bereit, KMUs meistens gar nicht.
  14. 14. SBA Prime & Accelerator • Accelerator – Security Startup Förderung für Europa – Wettbewerb Q2/Q3 (Digital City Vienna, BMI, DB, KSÖ) – Interesssierte CISO für Jury, Mentoring & Review gesucht • SBA Prime – Security Meta Studie – Networking & Ausbildung – Quartalsweise Veranstaltungen – SW-Forschungsprototypen (Nessus-Cube, SBOX usw.)
  15. 15. DI Mag. Andreas Tomek SBA Research gGmbH Favoritenstraße 16, 1040 Wien +43 699 115 18 148 atomek@sba-research.org

×