Gavekorthack afsløret – du betaler, de spiller

author
10 minutes, 9 seconds Read

Tak til Bill Kearney fra Sophos Rapid Response for hans arbejde med denne artikel.

Hvis du har læst den seneste Sophos 2021 Threat Report, vil du vide, at vi med vilje inkluderede et afsnit om al den malware derude, som ikke er ransomware.

Sikkert, ransomware optager forståeligt nok overskrifterne i medierne i disse dage, men cyberkriminalitet går langt ud over ransomware-angreb.

Sådan som vi har bemærket før, sker mange ransomware-hændelser faktisk på grund af anden malware, der først infiltrerede dit netværk og senere bragte ransomware ind i dit netværk.

Faktisk set involverer mange netværksindbrud slet ikke malware, fordi cyberkriminelle har masser af andre måder at bløde penge ud af dine brugere, din virksomhed eller begge dele på.

Her er et eksempel, som Sophos’ Rapid Response-team stødte på for nylig – et opportunistisk netværksindbrud, der var langt mindre sofistikeret end et typisk ransomware- eller datatyveriangreb, men ikke desto mindre farligt og foruroligende.

Det var endnu værre for virksomhedens ansatte, for disse skurke var ikke specifikt ude efter virksomheden som helhed, men syntes at angribe netværket, simpelthen fordi det var en bekvem måde at hacke sig ind på mange personer på samme tid.

Helt enkelt sagt var svindlerne ude efter så mange konti, som de kunne få adgang til, for at købe så mange gavekort, som de kunne, så hurtigt som muligt.

Som du sikkert ved, bliver gavekort, som du køber online, typisk leveret pr. e-mail til en modtager efter eget valg i form af en hemmelig kode og et registreringslink.

Så at modtage en gavekortkode svarer lidt til at få fat i nummeret, udløbsdatoen og sikkerhedskoden fra et forudbetalt kreditkort – løst sagt kan den, der har koden, bruge den.

Selv om gavekort kun er beregnet til at blive brugt af den tiltænkte modtager – de kan ikke overdrages – er der ikke meget, der forhindrer modtageren i at lade en anden person bruge dem, hvis vedkommende ønsker det, og det betyder, at de kan sælges på cyberkriminalitetens undergrundsnet.

Og selv om et gavekort til 200 dollars, der sælges ulovligt på nettet for f.eks. halvdelen af dets pålydende værdi, ikke lyder af meget …

… kan svindlere med adgang til en hel virksomheds brugere – i denne historie støttede virksomhedens VPN omkring 200 personer – forsøge at erhverve ikke bare et, men potentielt hundredvis af forudbetalte gavekort på kort tid.

De kriminelle i denne sag var ligeglade med, om de ofre, der blev efterladt uden penge, var de enkelte medarbejdere, virksomheden selv eller begge dele.

Rumlet og afvist

Den gode nyhed her er, at svindlerne kun nåede så langt som til at bruge 800 dollars af andre folks penge, før Rapid Response-teamet kunne smide dem ud af netværket, og så vidt vi ved, blev de svigagtige køb opdaget og tilbageført i tide, så ingen endte med at stå uden penge i lommen.

Som du vil se, var hovedårsagen til, at svindlerne blev rystet og afvist tidligt, fordi en sysadmin i den berørte virksomhed handlede, så snart de opdagede, at der var noget galt.

Hvis du så sidste uges Naked Security Live-video med titlen “Beat the Threat”, vil du vide, at vi i vores tips i slutningen af videoen sagde:

Alle tip, du kan få, der tyder på, at en svindler kan være i dit netværk, er et tip, der er værd at kigge på. fordi du kigger på noget, som du ikke helt kan retfærdiggøre, men som du har set før, og det var i orden sidste gang – gå ikke ud fra, at det er i orden denne gang. Det svarer lidt til at høre din røgalarm gå i gang i køkkenet og tænke: “Ved du hvad, sidste gang var det damp fra kedlen, der udløste den ved en fejltagelse, så jeg går bare ud fra, at det er det, der sker. Denne gang kan det være noget på kogepladen, der allerede er sat i brand.

Til trods af at vi er stolte over, at Sophos’ Rapid Response-team var i stand til at reagere hurtigt og håndtere angrebet, var det afgørende, at offeret i første omgang hurtigt udløste en ordentlig reaktion.

Sådan skete det

Disse skurke havde ikke tid til at rydde op efter sig – eller måske havde de alligevel ikke tænkt sig det – men så vidt vi kan se, udviklede angrebet sig enkelt og hurtigt.

Vi kan ikke være sikre på præcis, hvordan skurkene kom ind til at starte med, men det, vi ved, er:

  • Ofrets VPN-server var ikke blevet patchet i flere måneder. Dette alene kan have været nok til at lade svindlerne bryde ind – der fandtes en exploit til den gamle version, som i teorien kunne have gjort det muligt for svindlerne at snige sig ind på netværket.
  • VPN-serveren var ikke blevet sat op til at kræve 2FA. Det betyder, at et vellykket password phishet fra en enkelt bruger kunne have været nok til at give dem deres brohoved. (På trods af den uopdaterede sårbarhed mistænker vi, at det var sådan, angriberne brød ind denne gang.)
  • Da de først var “inde” i VPN-systemet, kunne skurkene bruge RDP internt til at springe fra computer til computer. Det betød, at de kunne åbne webbrowsere på brugernes computere og se, hvilke onlinekonti de ikke havde logget ud af, herunder deres personlige e-mail-konti (f.eks. Gmail og Outlook.com). Sørg for, at du sikrer RDP lige så solidt indefra dit netværk som udefra.
  • Snyderne brugte individuelle e-mail-konti til at foretage en lang række password-nulstillinger. På computere, hvor svindlerne kunne få adgang til e-mail-konti på grund af cachede legitimationsoplysninger, men ikke kunne komme ind på andre interessante konti, fordi brugeren var logget ud af disse, foretog de passwordresets via e-mail-kontoen. De konti, som svindlerne gik efter, omfattede Best Buy, Facebook, Google Pay, PayPal, Venmo og Walmart.

Det ser heldigvis ud til, at kun få af de brugere, der blev angrebet på denne måde, havde gemt deres kreditkortoplysninger til automatisk genbrug ved køb, hvilket sandsynligvis er grunden til, at svindlerne kun nåede at købe gavekort for et par hundrede dollars, før de blev opdaget.

Angiveligt bemærkede adskillige brugere, der skulle nulstille deres ændrede adgangskoder for at komme tilbage til deres konti, at der var gavekort, der stod i kø til køb i deres online indkøbsvogne, men at svindlerne ikke havde været i stand til at afslutte disse køb.

(Vi kan ikke sige, om svindlerne efterlod de mislykkede køb, fordi de blev fanget, før de kunne rydde op, fordi de håbede, at de ville blive overset og købt ved en fejltagelse af den legitime kontohaver senere, eller fordi de var fokuseret på hurtighed og var ligeglade med, hvad der skete bagefter.)

Men der er mere

Som med mange angreb havde dette angreb ikke kun et enkelt formål, selv om det at få fat i “penge til salg” synes at have været det primære motiv her.

Grøverne downloadede og installerede også et populært gratis filsøgningsværktøj, som skulle hjælpe dem med at lede efter interessante filer på tværs af netværket.

Dette værktøj efterlod en logfil, der afslører, at de kriminelle aktivt var på jagt efter personlige og fortrolige data vedrørende både virksomheden og dens medarbejdere.

Vi ved ikke, hvor meget de kriminelle var i stand til at skaffe sig fra de filer, de var på jagt efter, om noget som helst, men vi ved, hvad de var interesserede i, hvilket omfattede:

  • Bankafregninger vedrørende enkeltpersoner og virksomheden.
  • Købmandsaftaler om modtagelse af kreditkortbetalinger.
  • Kreditkortansøgninger.
  • Registeroplysninger for virksomhedens chauffører.

Så vidt vi kan se, synes filsøgningen at have været af sekundær interesse for disse kriminelle, som dog var målbevidste og vedholdende i deres forsøg på at foretage svigagtige køb mod så mange brugere af netværket, som de kunne.

Nuvel, sekundær interesse eller ej, så var svindlerne ikke kun ude efter gavekort.

Personlige data og virksomhedsdata, der skulle være private, har trods alt også en værdi i cyberkriminalitetens undergrund – ikke kun til videresalg til andre kriminelle, men også som et middel til at hjælpe med at fremme kriminelle aktiviteter.

Hurtig reaktion betaler sig

Uheldigvis synes disse skurke at være gået i stå tidligt i deres angreb.

Formentlig frustreret over, at de ikke kunne komme ind på så mange brugeres e-mail-konti, som de ønskede, nulstillede de adgangskoderne på forskellige virksomhedsrelaterede konti for at udvide deres adgang.

Det havde den sidegevinst, at brugere, herunder en af sysadmins, blev låst ude af forskellige virksomhedssystemer…

…og sysadmin’en afhjalp ikke bare det umiddelbare problem for at løse hvad , men udløste også en reaktion for at finde ud af hvorfor.

Denne reaktion førte meget hurtigt til, at svindlerne blev smidt ud af netværket.

Som vi sagde ovenfor, er ethvert tip et godt tip!

Hvad skal man gøre?

Den hastighed og beslutsomhed, hvormed disse svindlere spekulativt loggede ind på e-mail-konto efter e-mail-konto, er en glimrende påmindelse om, hvorfor forsvar i dybden er vigtigt.

Alle disse tips ville have hjulpet her:

  • Patch tidligt, patch ofte. Den sårbare VPN, der nævnes i denne artikel, var sandsynligvis ikke den måde, som svindlerne fik adgang på i dette tilfælde, men det var alligevel en mulig indadgående vej. Hvorfor være bagud i forhold til svindlerne, når du i stedet kunne være foran?
  • Brug 2FA, hvor du kan. En anden autentifikationsfaktor for både den eksterne VPN og de interne RDP-servere kunne i sig selv have været nok til at holde disse svindlere ude.
  • Log ud fra konti, når du ikke bruger dem. Ja, det er besværligt at logge ind på konti igen, hver gang du skal bruge dem, men kombineret med 2FA gør det det meget sværere for svindlere at udnytte dig, hvis de får adgang til din browser.
  • Genovervej, hvilke websteder du tillader at opbevare betalingskortdata online til næste gang. Virksomheder, der kun opbevarer betalingskortoplysninger til specifikke køb, f.eks. betaling af en regning, er en meget lavere risiko end onlinetjenester, hvor dit kort kan bruges til at betale for næsten alt, især varer, der “leveres” straks via e-mail.
  • Du skal ikke blokere malware alene med dit produkt til beskyttelse mod trusler. Blokér også potentielt uønskede programmer (PUA’er) og hackerværktøjer. Cyberkriminelle vender sig i stigende grad mod legitim cybersikkerheds- og netværksstyringssoftware, som du allerede har på dit system, i stedet for at bruge malware – en teknik, der kaldes “living off the land” – i håb om at ligne sysadmins selv. Fang dem, hvis du kan.
  • Hav et sted, hvor brugerne kan rapportere sikkerhedsproblemer. Hvis du uventet bliver låst ude fra din egen konto, skal du sørge for, at din reaktion ikke blot er “Jeg skal online igen”, men også “Jeg skal finde den bagvedliggende årsag”. En let huskelig e-mail-adresse eller et firmatelefonnummer til cybersikkerhedsrapporter kan hjælpe dig med at gøre hele din virksomhed til øjne og ører for it-sikkerhedsteamet.
  • Hold dine brugere opmærksomme på de seneste tendenser inden for phishing. Overvej et antiphish-træningsprodukt som Sophos Phish Threat. Vi kan endnu ikke være sikre, men det ser ud til, at en enkelt phished-adgangskode kan have været den måde, hvorpå svindlerne kom i gang med disse angreb.
  • Lad dig ikke distrahere af specifikke trusler som f.eks. ransomware. Ransomware-specifikke værktøjer er nyttige som en del af en forsvar i dybden-tilgang, men de ville ikke have stoppet dette angreb i sig selv. En holistisk tilgang, der ville have blokeret disse skurke, ville dog med stor sandsynlighed også have stoppet størstedelen af ransomware-angreb.

Similar Posts

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.