Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Spoofed Invoice Fraud IncidentResponse & Lessons Learned

834 Aufrufe

Veröffentlicht am

Spoofed Invoice Fraud IncidentResponse & Lessons Learned

Cybercrime – wie reagieren nach einem Vorfall? Die Frage ist schon längst nicht mehr ob, sondern wann Sie zum Ziel werden. Auf Basis einiger Cybercrime-Vorfälle des letzten Jahres werden im Rahmen dieses Vortrags Erfahrungswerte hinsichtlich Identifikation, Incident Response und Prävention aufbereitet.

Veröffentlicht in: Leadership & Management
  • Als Erste(r) kommentieren

Spoofed Invoice Fraud IncidentResponse & Lessons Learned

  1. 1. SBA Research Spoofed Invoice Fraud Incident Response & Lessons Learned
  2. 2. SBA Research Basic Facts • Gegründet 2006 • Forschungszentrum für Informationssicherheit und Security Dienstleister • Forschungs-, Audit-, Beratungs-, Implementierungs- & Betriebs-Know How unter einem Dach • Über 100 Köpfe – ca. 70 FTEs im Dienstverhältnis • Wissenschaftliche Partner: TU Wien, TU Graz, Universität Wien, WU Wien, FH St. Pölten, AIT
  3. 3. SBA Research Handlungsfelder & Werte • Forschung – Lehre an FHs & Universitäten – national & international – Sicherheitsforschung & Prototypen • Kompetenz – Expertenpool für Informationssicherheit – Beratung, Schulungen, Managed Services, Produktumsetzungen aus der Forschung & Praxis • Verantwortung – Gemeinnützigkeit & Studien – Bereitstellung von Wissen – Plattform für Security (Veranstaltungen, ISC2, IEEE, etc.)
  4. 4. Ausgangslage • Im Zuge eines Audits wurden wir bei einem Bestandskunden im Dezember 2014 bei einem Incident mit großen finanziellen Auswirkungen zugezogen • Wir setzten erste Maßnahmen und koordinierten forensische Untersuchungen • Im Zuge der Ermittlungen wurden mind. 4 weitere Fälle im Jahr 2014 bekannt. Nicht alle waren erfolgreich. Bei einem weiteren wurden wir zugezogen.
  5. 5. Take me to the money • Vorfälle immer sehr ähnlich zu: https://www.ic3.gov/media/2015/150122.aspx
  6. 6. Vorgehensmethode generisch VERSIONS OF THE BEC SCAM Based on IC3 complaints and other complaint data received since 2009, there are three main versions of this scam: Version 1 A business, which often has a long standing relationship with a supplier, is asked to wire funds for invoice payment to an alternate, fraudulent account. The request may be made via telephone, facsimile or e-mail. If an e-mail is received, the subject will spoof the e-mail request so it appears very similar to a legitimate account and would take very close scrutiny to determine it was fraudulent. Likewise, if a facsimile or telephone call is received, it will closely mimic a legitimate request. This particular version has also been referred to as “The Bogus Invoice Scheme,” “The Supplier Swindle,” and “Invoice Modification Scheme.”
  7. 7. Vorgehensmethode konkret • UnternehmenA stellt Rechnung per Email an UnternehmenB über langjährigen Sales-Agent in Asien (in anderem Vorfall auch direkt) • Einige Stunden später folgt ein zweites Mail von einer neu registrierten (WebHoster Trial mit gefakten Daten) und ähnlich klingenden Domain • Der gesamte Inhalt ist gleich inkl. Adressaten und CC (alle nun auf gefakter Domain) & Anhängen • Es gibt nur einen neuen Passus der eine Änderung des Kontos verlangt (Grund: Finanz sperrt Konto wegen Audit) • Auf Rückfragen durch den UnternehmenB wird vom Scammer geantwortet, teils mit gefakten Dokumenten • UnternehmenB überweißt auf das falsche Konto
  8. 8. Randbedingungen & Implikationen • Dieses Vorgehen wird öfters wiederholt – bis es zum Erfolg führt oder auffliegt (2-3x pro Zielunternehmen) • Erst beim 2ten Mal glaubt das Unternehmen an interne Probleme • Fast alle Unternehmen waren produzierende Industrieunternehmen mit globalen Märkten/Filialen • Auf Angreiferseite dürften mehrere Gruppen tätig sein – Domainanlage tw nicht mit Mails abgestimmt • Kernfrage: Woher kommen die Originalmails? Woher die Anhänge und teilweise Unterschriften?
  9. 9. Woher kommen die Mails? Menschlicher Täter • Sales MA • Insider • Management • Administratoren • Zwischenhändler • Telco MA • Mail Provider MA • Selbe Personengruppen bei Kunde Technische Optionen • Client PCs (User, Admin, Management) – Malware? • Lokaler Mail-Server • LAN & Corp. WAN • Mail Provider • Internet • Kundeninfrastuktur
  10. 10. Lessons Learned – Incident Response • Status Security Management & Incident Response • An wen wendet sich das Unternehmen? – Polizei – Anzeige / Cybercop / Another one… – Wer sonst CERT? Sicherheitsberater? Wirtschaftsprüfer? • Koordination dieser Parteien? • Wer hat überhaupt Zeit und technische Mittel? • Rechtliche Komponente • Abschalten der Fraud Domains • Versicherungsschutz und Schadensübernahme
  11. 11. Konkrete Aufarbeitung • Getroffene Erstmaßnahmen: – Prüfung Angriffsvektoren & Kommunikation CERT – Follow the money – APT Sensoren & Ergebnisse – Einschaltung Big4 für Forensik & Auditbericht • Untersuchung Client Sales • Untersuchung FW & Exchange Logs • Untersuchung Admin Clients • Untersuchung Top MMgt. Client • Vuln Scanning Reports • Remote Access Logs inkl. Webmail • AD Logs • Passwort Security – Rechtsabteilung für Anzeigen & Domain Grabbing – Kommunikation Management & Kunden/Partner
  12. 12. Lessons Learned für Unternehmen • Domain Monitoring • Security Management & Prozesse • Technische Tools – Logs, Logs, Logs! – Moderne AV & APT Tools – FW Auswertungen – Mail Server Auswertungen – AD Access Logs • Incident Response & Kommunikationsstrategie • Ansprechpartner & Dienstleister definieren • Dienstleister in die Pflicht nehmen – zB Mailprovider • Senior Management Awareness schaffen • Versicherung?
  13. 13. Lessons Learned für die Security Community • Mehr gut ausgebildete Ersthelfer! • Kommunikation forcieren! – Hersteller – CERTs – Nat. & Internat. Behörden – Security Professionals – Dienstleister • Vorfälle können klein anfangen & sich rasch ausdehnen • Auch der gehobene Mittelstand ist oft noch nicht bereit, KMUs meistens gar nicht.
  14. 14. SBA Prime & Accelerator • Accelerator – Security Startup Förderung für Europa – Wettbewerb Q2/Q3 (Digital City Vienna, BMI, DB, KSÖ) – Interesssierte CISO für Jury, Mentoring & Review gesucht • SBA Prime – Security Meta Studie – Networking & Ausbildung – Quartalsweise Veranstaltungen – SW-Forschungsprototypen (Nessus-Cube, SBOX usw.)
  15. 15. DI Mag. Andreas Tomek SBA Research gGmbH Favoritenstraße 16, 1040 Wien +43 699 115 18 148 atomek@sba-research.org

×