September heeft veel nieuwswaardige gebeurtenissen gezien op het gebied van internetbeveiliging. Doe met ons mee terwijl we de voortgang van cyberbeveiliging aanpakken en het risico lopen op onthullingen van de afgelopen maand.
Cybercrimineel veroordeeld tot 12 jaar gevangenisstraf voor het leiden van een 7-jarige illegale telefoonontgrendeling
Per 16 september persbericht van het ministerie van Justitie, kreeg de Pakistaanse burger Muhammad Fahd een gevangenisstraf van 12 jaar voor het orkestreren van een illegale ontgrendeling van miljoenen telefoons die in een tijdsbestek van 7 jaar geld van AT&T hebben overgeheveld. De uitgebreide cyberfraude zorgde ervoor dat AT&T meer dan $ 200 miljoen verloor.
Vanaf 2012 werden medewerkers van een AT&T-callcenter in Washington omgekocht door Fahd om hun bedrijfsgegevens te gebruiken en de "vingerafdrukken" van de telefoon te ontgrendelen, ook wel bekend als International Mobile Equipment Identity (IMEI). Uiteindelijk heeft hij de handlangers omgekocht om malware te downloaden naar de computersystemen van het bedrijf, waardoor hij telefoons op afstand kon ontgrendelen vanuit Pakistan.
De fraude maakte gebruik van de subsidie- en afbetalingsplannen die door AT&T aan klanten werden aangeboden, die tot doel hadden de prijs van dure mobiele telefoons te verlagen. Klanten konden de telefoons voor een lagere prijs kopen, maar deze waren gebonden aan de netwerken van AT&T. Met de telefoons ontgrendeld door Fahd en zijn cohorten, werd AT&T verdreven als de enige vervoerder en werd de rekeninghouder bevrijd van het voldoen aan betalingsverplichtingen.
De omgekochte AT&T-medewerkers werden door Fahd opgedragen om bankrekeningen voor nepbedrijven aan te maken, stortingen op die rekeningen te ontvangen en valse factureringsdocumenten te maken. Vervolgens werkte hij samen met online retailers om zijn illegale telefoonontgrendelingsservices te verkopen.
In 2013 begon AT&T een nieuw systeem te gebruiken dat een belemmering vormde voor Fahds ontgrendelschema. Om dit tegen te gaan, nam hij zijn toevlucht tot het inhuren van een software-ingenieur die de malware ontwierp die de barrières van AT&T kon omzeilen. De achterbakse werknemers voorzagen Fahd van informatie over het nieuwe systeem en installeerden de malware op de computers van hun bedrijf die toegangsinformatie van de andere werknemers bevatte.
De regeling resulteerde in het illegaal ontgrendelen van bijna 2 miljoen telefoons en het niet voltooien van betalingen aan AT&T. Het was pas in 2018 toen Fahd werd gearresteerd.
Afhaalmaaltijden van SSL.com: Mensen zijn gevoelig voor verlokkingen in het licht van enorme geldelijke beloningen. De manier om dit te bestrijden is als een bedrijf investeert in een sterke cyberbeveiligingsinfrastructuur die menselijke fouten kan verminderen en systemen heeft die kunnen voorkomen dat hun poortwachters worden omgekocht door een cybercrimineel.
Microsoft onthult Phishing as a Service (PhaaS) operatie
Het cybersecurity-team van Microsoft, het 365 Defender Threat Intelligence Team, ontdekte een nieuwe manier waarop phishing door cybercriminelen wordt uitgevoerd.
Dit model wordt BulletProofLink of Anthrax genoemd en lijkt een ontwikkeling te zijn van phishing-kits - albums met nep-webpaginasjablonen die de inlogpagina's van doelwebsites kopiëren.
Microsoft stelt dat er phishing-serviceproviders zijn die een pakketdeal aanbieden - van het maken van de phishing-sjabloon, hosting en het daadwerkelijke gedrag van phishing. Degenen die zich abonneren op deze deal hoeven niet actief te infiltreren in computersystemen. In plaats daarvan ontvangen ze gemakkelijk gestolen inloggegevens die door de PhAAS-providers naar hen zijn verzonden.
In de beveiliging van Microsoft blog, beschrijven ze hoe de BulletProofLink phishing-infrastructuur even alarmerende dreigingen heeft als de Ransomware as a Service (Raas):
“Het PhaaS-werkmodel zoals we het tot nu toe hebben beschreven, doet denken aan het ransomware-as-a-service (RaaS)-model, waarbij sprake is van dubbele afpersing. De afpersingsmethode die bij ransomware wordt gebruikt, houdt over het algemeen in dat aanvallers gegevens exfiltreren en openbaar plaatsen, naast het versleutelen ervan op gecompromitteerde apparaten, om druk uit te oefenen op organisaties om het losgeld te betalen. Hierdoor krijgen aanvallers meerdere manieren om betaling te verzekeren, terwijl de vrijgegeven gegevens vervolgens kunnen worden gebruikt voor toekomstige aanvallen door andere operators. In een RaaS-scenario is de ransomware-operator niet verplicht om de gestolen gegevens te verwijderen, zelfs als het losgeld al is betaald.
We hebben dezelfde workflow waargenomen in de economie van gestolen inloggegevens bij phishing-as-a-service. Met phishing-kits is het voor operators triviaal om een secundaire locatie op te nemen waarnaar de inloggegevens moeten worden verzonden en hopen dat de koper van de phish-kit de code niet wijzigt om deze te verwijderen. Dit geldt voor de BulletProofLink phishing-kit, en in gevallen waarin de aanvallers die de service gebruikten aan het einde van een week inloggegevens en logs ontvingen in plaats van zelf campagnes te voeren, behield de PhaaS-operator de controle over alle inloggegevens die ze doorverkochten.”
Microsoft stelt dat The BulletProofLink-service verantwoordelijk is voor de duizelingwekkende aanval op 300,000 subdomeinen en momenteel phishing-pagina's aanbiedt voor bekende bedrijven, waaronder American Express, Dropbox, AT&T, Alibaba en AOL.
Afhalen van SSL.com: Het vergroten van de capaciteiten en kennis van bedrijfsmedewerkers op het gebied van cybersecurity zal helpen bij het bestrijden van phishing-aanvallen. Overweeg een studies uitgevoerd door Stanford University en Tessian, waaruit bleek dat 88% van de datalekken wordt veroorzaakt door werknemers die op e-mails van hackers klikken en denken dat deze afkomstig zijn van legitieme bronnen.
Russische hackers vallen een grote landbouwcoöperatie in Iowa . aan
Een Washington Post dit artikel meldt het geval van een in Iowa gevestigde landbouwcoöperatie, NEW Cooperative, die werd aangevallen door een Russische ransomwarebende die zichzelf BlackMatter noemde. De cybercriminelen eisten een betaling van $ 5.9 miljoen in ruil voor het niet vrijgeven van privé-informatie waarvan ze beweren dat ze die hebben gestolen, en voor het herstellen van de toegang van het kippenhok tot hun computersystemen die ze gebruiken voor het voeren van miljoenen runderen, kippen en varkens.
NIEUWE Coöperatie is eigendom van een lid met 60 operationele eigendommen in centraal, westelijk en noordelijk Iowa. Ze runnen graanopslagliften, verkopen meststoffen, voer en zaden. Ze bieden ook bodemkartering en veldbeheer.
In hun gesprek met de cybercriminelen vroeg NEW Cooperative waarom ze werden aangevallen ondanks de verklaring van BlackMatter dat ze zich niet zouden richten op kritieke infrastructuurvoorzieningen. BlackMatter reageerde door te zeggen dat ze de coöperatie niet in die categorie beschouwen.
NEW Cooperative waarschuwde dat de aanval zou leiden tot verstoring van de toeleveringsketen van graan, varkensvlees en kip. Ze verklaarden verder dat hun software ongeveer 40% van de graanproductie van het land beheert en dat hun voerschema's voor 11 miljoen dieren zorgen.
Er wordt sterk getheoretiseerd dat BlackMatter een gereïncarneerde versie is van de DarkSide-ransomwarebende die op de schop ging na de enorme aanval die ze afgelopen mei deden. Zoals besproken in onze vorige artikel, was de DarkSide-bende verantwoordelijk voor de aanval op de koloniale pijpleiding die de gasvoorraden in de zuidoostelijke staten verzwakte.
Onder de gegevens die door BlackMatter zouden zijn gestolen, behoorden financiële informatie (rekeningen, facturen, verklaringen), burgerservicenummers van werknemers, onderzoeks- en ontwikkelingspapieren en juridische documenten.
Afhalen van SSL.com: De recente aanval op de koloniale pijplijn zou grote industriële bedrijven moeten waarschuwen dat zelfs als ze het losgeld betalen, er geen garantie is dat de cybercriminelen hun toegang volledig zullen herstellen. Grote industriële bedrijven en coöperaties moeten cyberbeveiligingsbedrijven onmiddellijk raadplegen, zodat hun risiconiveau kan worden beoordeeld en hun online beveiliging kan worden versterkt.
Het eSigner Cloud Signing-systeem van SSL.com wordt volledig gelanceerd
Wat betreft onze eigen bedrijfsupdate, september 2021 werd de eerste maand voor de commerciële lancering van ons eSigner Cloud Signing System.
De eSigner van SSL.com vergroot de cyberbeveiligingsinfrastructuur van bedrijven door hen in staat te stellen internationaal vertrouwde digitale handtekeningen te plaatsen op belangrijke documenten die ze intern en extern online communiceren, waaronder juridische documenten, auteursrechtelijk beschermde papieren, factureringsgegevens, werknemersinformatie en andere.
Via eSigner kunnen bedrijven ook software en computerapplicaties die ze in hun werk gebruiken beveiligen. Als installatiestuurprogramma's voor deze tools via internet moeten worden verzonden, kunnen de ontvangende partijen erop vertrouwen dat ze geen malware downloaden. Dit komt doordat eSigner gebruik maakt van PKI technologie versleutelt het bestand veilig met de privésleutel van de afzender en voorkomt dat het wordt geopend tenzij de ontvangende partij de bijbehorende openbare sleutel heeft. Omdat het bestand uniek is vergrendeld, kan de ontvanger er zeker van zijn dat het bestand echt van de juiste entiteit afkomstig is.
Zoals blijkt uit de steeds wijdverbreide aanpassing van cloudtechnologie, is bewezen dat cloudgebaseerde bestandsopslag en -beveiliging goedkoper zijn en meer bescherming bieden tegen gegevensdiefstal en -verlies in vergelijking met hardwaresystemen.
eSigner is volledig compatibel met de cloud-ondertekeningsstandaard van Cloud Signature Consortium - een internationale groep organisaties die behoren tot de overheid, de academische wereld en de cyberbeveiligingsindustrie. eSigner-documenthandtekeningen zijn ook legaal en afdwingbaar onder de Verenigde Staten Elektronische handtekeningen in wereldwijde en nationale handel (ESIGN) handelen en de wetten van veel andere landen wereldwijd.
