Sikkerhet nr. 3 / 2016

More documents

Recommendations

Info

nsr Direktørsvindel på frammarsj Ferie er høysesong for «CEO-svindel»: Svindlere utgir seg for å være direktør og ber ansatte overføre penger. tekst: NSM NorCERT Norges nasjonale cybersenter i Nasjonal sikkerhetsmyndighet (NSM Nor CERT) ser en økende mengde «CEOsvindel» mot organisasjoner i Norge. Svindelen starter med at virksomhetens finansmedarbeidere mottar en falsk epost fra en i toppledelsen der de blir bedt om å gjennomføre en transaksjon som haster. Trusselaktøren utgir seg ofte for å være administrer ende direktør, finanssjef eller liknende. Denne formen for svindel er i senere tid blitt observert i langt større grad mot organisasjoner i Norge enn tidligere. Epostene som sendes er på relativt grei norsk, selv om de ikke alltid er helt grammatisk korrekte. Ulike varianter CEO-svindel er blitt observert i flere engelskspråklige land over leng re tid. FBI rapporterte tidligere i år at det på verdensbasis blir tapt 10 milliarder kroner gjennom denne typen svindel. CEO-svindel blir ofte omtalt som «CEO scam», «Whaling» eller «Business Email Compromise (BEC)». Det finnes ulike varianter av disse: • En forfalsket melding fra administrerende direktør til finans direktør: «Jeg trenger å få gjennomf ørt en utenlandstransaksjon raskt». • En forfalsket melding fra finansdirektør til finansmedarbeider: «Jeg trenger å få gjennomført en utenlandstransaksjon raskt». • En forfalsket melding fra finansdirektør til finansmedarbeider der vedkommende tilsynelatende videresender en melding fra administrerende direktør. Teksten kan ofte være: «Hei, se epost under fra administrerende direktør. Dette er viktig. Kan du få gjennomført transaksjonen han/hun beskriver, snarest og uten opphold». Man ser i mange tilfeller at adressene er forfalsket slik at den er lik adressen til administrerende direktør eller finansdirektør. For de som benytter Lync eller Skype, vil man også få opp statusikon for brukeren, samt bilde fra tilhørende Active Directory dersom man har satt dette opp. Tiltak som kan hjelpe Informer organisasjonen om denne svindel-metoden, særlig topp ledelse og finansmedarbeidere. De ansatte bør spesielt være oppmerksomme på: • Plutselige utenlandsbetalinger som haster • Rar og uvanlig setningsoppbygging og språk • Om adressen stemmer når man trykker «svar til» Sørg for at svindelforsøk rappor teres internt. De ansatte bør ha en klar prose dyre på hvor informasjon skal sendes slik at det når relevant sikkerhetspersonell. Sørg for å ha rutiner der slike utbetalinger må bekreftes på andre måter enn ved epost. Dette kan gjøres ved at betalingen bekreftes muntlig. Svindel forsøket vil da mislykkes. Tekniske tiltak Det er ulike tekniske tiltak som kan blokkere epostene, deriblant mekanismene Sender Policy Framework (SPF), Domain Keys Identified Mail (DKIM) og Domain-based Message Authentication, Reporting and Conformance (DMARC) (se egen faktaboks). Merk at alle disse mekanismene må implementeres både ved mottak og utsendelse av epost. Trender NSM NorCERT forventer at svindlere vil endre domenene som benyttes etter hvert som de ulike organisasjonene får på plass beskyttelse. De kan for 54 Sikkerhet nr. 3 • 2016
STADIG MER DIREKTØRSVINDEL: Fra noen få forsøk i fjor og i vinter økte antall CEOsvindler betraktelig i juni og juli, i følge tall fra Økokrim gjengitt i Aftenposten. Tallene viser bare de anmeldte sakene, og politiet antar at det er store mørketall. Nasjonal sikkerhetsmyndighet (NSM) ber virksomheter anmelde svindelforsøk og også rapportere dem til NSM NorCERT. Faksimile: Aftenposten 29. august 2016 PIRATER PÅ FERDE: Vår obs på epost du får, også det som tilsynelatende er fra sjefen. Illustrasjon: Wax/Shutterstock.com eksempel begynne å bruke domener som likner på de reelle domenene. De benytter ofte domener som slutter på .com, .net og liknende i sted et for .no. Det er også ofte stavefeil i adressen, som nettsside.com og liknende. Rapportering NSM NorCERT anbefaler at organisasjoner som mottar slike svindelforsøk anmelder forholdet til politiet. Internasjonalt er det gjort flere arrestasjon er knyttet til slike svindler, og det virker til å være stadig flere grupper som driver med denne typen svindel. NSM NorCERT er også svært interessert i informasjon om den enkelte organisasjon har observert CEO-svindel. Vi er spesielt interessert i tekniske detaljer, som e-post med fulle headere. Dersom virksomheten har besvart svindlerne ønsker vi informasjon om hvor svindlerne ønsker pengene oversendt. Kontakt oss på norcert@cert.no ved eventuelle spørsmål eller om du ønsker å dele informasjon. • Ordliste Sender Policy Framework (SPF) viser hvilke IP-adresser som er godkjent for å sende epost på vegne av domenet, det vil si utgående epostservere. Domain Keys Identified Mail (DKIM) er kryptografisk signering av epost som sendes ut – både av innhold og enkelte headerelementer. Domain-based Message Authentication, Reporting and Conformance (DMARC) benytter SPF og DKIM, og gir mulighet til å sette policy basert på disse. Dette kan være å blokkere/sette i karantene/slippe gjennom, gitt at SPF og DKIM feiler, samt å gi tilbakemelding til eier av domenet hvilke IP-adresser som har sendt epost på vegne av domenet. DMARC kan dermed brukes som et verktøy for å justere eksempelvis SPF. DMARC kan også settes opp til å be om full kopi av eposter hvor SPF og DKIM feiler. Sikkerhet nr. 3 • 2016 55
Page 1 and 2:
Sikkerhet Fagblad om industrivern,
Page 3 and 4: hendelsesbildet LITEN SKADE: En gni
Page 5 and 6: tema: innsatsleder Øvde på tre ul
Page 7 and 8: FIKK DIPLOM: Gerd sammen med påtro
Page 9 and 10: Frogner Rask innsats ved kjemikalie
Page 11 and 12: Testet innsats med ringøvelser En
Page 13 and 14: TRUCKPÅKJØRSEL: Et av scenarioene
Page 15 and 16: FORTLØPENDE EVALUERING: Etter hver
Page 17 and 18: god kunnskap bered skapsplanen og
Page 19 and 20: Takket ja uten å nøle Svein Ture
Page 21 and 22: - Viktig med kommunikasjon Helge Gj
Page 23 and 24: NSO mener IKKE VÆR OPERATIV: Å v
Page 25 and 26: - Ikke stikk av Nødetatenes meldin
Page 27 and 28: Riktig varsling Virksomheter har ul
Page 29 and 30: ett ta i bruk Nødnett, forteller K
Page 31 and 32: førstehjelpen Bekreftet skade? Eks
Page 33 and 34: Kursene er åpne for alle - meld de
Page 35 and 36: spørrespalten E-læring Man kan be
Page 37 and 38: gste hjelpemidler god dekning innen
Page 39 and 40: huskeliste: innsatsleder Bli i inns
Page 41 and 42: old SPENNENDE PROGRAM: Utstillerans
Page 43 and 44: konferanseprogram Tirsdag 6. desemb
Page 45 and 46: Samarbeid til gjensidig nytte Schib
Page 47 and 48: TO ROLLER: Elever fra Stømmen vide
Page 49 and 50: IVRIG MOE: Industrivernleder Frode
Page 51 and 52: CYBERANGREP Onsdag 11. mai 2016 Opp
Page 53: else Panama Papers Panama Papers er
Page 57 and 58: Vitnemålsportalen Norsk tjeneste,
Page 59 and 60: denne type saker, totalt kan dette
Page 61 and 62: øvelser Samøvelse i Leirvik Ambul
Page 63 and 64: DELTAKERE: Disse deltok på møtet:
show all

Sikkerhet nr. 3 / 2016

Create successful ePaper yourself

Delete template?

Save as template?