Tjente en milliard dollar på enkelt hackerstunt

- Så enkelt at du ikke skulle tro det var mulig

NESTE GANG DU FÅR  ET SIMPELT SVINDELFORSØK PÅ MAIL SKAL DU TENKE PÅ DISSE GUTTA

En bandittgjeng i øst Europa skal angivelig i løpet av den siste tiden ha klart å suge ut nærmere en milliard dollar fra en rekke lokale banker gjennom bruk av «Malware» i kombinasjon med enkle phishingangrep som var rettet mot bankansatte. Med sugerør rett inn i banken kunne skurkene lene seg tilbake og nyte tilværelsen som rike cyberskurker fra en nærliggende penthouseleilighet mens de bankansatte selv lurte seg selv trill rundt.

La meg ta deg med inn i en «Cyberbasert» skurkeverden.

Suksessfulle bankranere bruker ikke Finlandshette og hagle i 2015.

Metodene skurkene i denne historien benyttet seg av er ikke særlig avanserte, men de er ikke helt på gatenivå heller. Skurkene brukte rett og slett de dårlige IT sikkerhetsrutinene i de øst europeiske bankene, samt deres bankkunder som brekkstang til å samle inn informasjon som kontonummer, sikkerhetskoder og kontosaldo for kunder.

De gjorde trolig verdens største bankran, og en norsk bank gikk også fem på.

Slik gjorde de det

Bandittbanden valgte ut ansatte i banken som fikk en e-mail utsendelse på mail. Denne var infisert med ("malment" = malicious attachment). Ved å klikke på den infiserte linken I mailen fikk skurkene full tilgang til den ansattes PC, og deretter installerte de Carbanak som I praksis loggfører tastetrykk på maskinen. Det samme programmet tok også skjermbilder av den ansattes skjerm som ble sendt til skurkene med jevne mellomrom.
Informasjonen som havnet i skurkenes hender satte var mer enn nok for å starte operasjon "Tøm konto". Bankene var satt sjakk matt.

Bankene kunne ha beskyttet seg bedre. Ganske enkelt ved å sørge for å ha gjennomført alle Windows oppdateringer, oppdatert antivirus, trojaner beskyttelse samt en basis trening for ansatte i cybercrime. Dagens ranere kommer ikke inn gjennom døra. Han eller hun raner deg fra eget hjem.

Hvordan kunne bankene la dette skje?

La oss analysere ranet
- Ved å sende ut Phishing e-mailer med et legitimt utseende fikk skurkene de ansatte på limpinnen.
- Loggføring av tastetrykk og skjermbilder åpnet døren til det digitale bankhvelvet.
- De bankansatte gjorde seg ekstra sårbare ved å bruke private nettbrett, og datamaskiner til jobbgjøremål.
- Mangelfulle oppdatering av virus og trojanerbeskyttelse gjorde det mulig
- Mangelfull trening av de ansatte og lokalt sikkerhetspersonell gjorde det enda verre.

Mens pengene ble ført ut av regionen satt bankene igjen med skjegget i den digitale postkassa.

Skurkene hadde en milliard gode grunner til å smile.

For bloggtips kontakt kjell-ola.kleiven@rignorge.no
Følg meg også gjerne på Facebook her; https://www.facebook.com/kleivenkjellola






WWW.KJELLOLAKLEIVEN.NO

Ingen kommentarer

Skriv en ny kommentar

Kjell-Ola Kleiven - Ikke alle blogger kan være rosa

Kjell-Ola Kleiven - Ikke alle blogger kan være rosa

39, Oslo

CEO & Managing Director, Risk Information Group (RIG Nordic & Baltic) Samfunnsengasjert leder og risikomann med sans for det skrevne ord.

Kategorier

Arkiv

hits