IT-säkerhet - MQ lurades på 47 mkr via kapad IP-adress

@Dolce Kör ni M365 med rätt licenser så finns det inbyggt verktyg för utbildning och phising osv, men ni kan även kolla på Nimblr som jag själv tycker är mkt bra och har jobbat en del med. Inte direkt svårt att sätta upp heller så man kan komma igång fort och du kan även se statistik för användarna och om dom gör utbildningarna.

Hur just TP-link är säkerhetsmässigt, finns säkerligen bättre men det skulle med säkerhet kosta mkt mera, men är säkerheten viktig så är det absolut en sak att kolla på. Tänk även på att ni kan ställa in en hel del CA-policys för mail osv som kan stärka upp allt lite mera, kör ni även med rätt licenser så kanske intune kan vara något för att ställa in policys för hur användare kan lägga till mailen i mobiler och även datorer.

Ja jag kan bara svara som tidigare redan svarat, dvs att utbildning av personalen är a och o. Det skadar inte att köra interna phishing simuleringar som en påminnelse till personalen då det inte krävs mycket för att vem som helst i ett svagt tillfälle ska bli för nyfiken och klicka på länken i mejlet angående det där paketet som väntar på att hämtas ut.

Om ni inte redan har Microsoft 365 Business Premium (eller E3 om ni kör Enterprise), så bör ni absolut göra den uppgraderingen då denna innefattar en hel del användbara verktyg såsom ökade säkerhetsfunktioner, villkorlig åtkomst, Intune/device management osv. Bara att få in alla datorer in i Azure och få koll på Windows Defender antivirus via central konsol för att ha koll på eventuell skadlig kod som försökt ta sig in i era datorer ger en viss pejl på läget.

Vad gäller nätverket så fungerar det säkerligen dugligt med er nuvarande utrustning. Om det är något man ska lägga vikt på där så är det möjligtvis att inte blanda mobila enheter och datorer i samma nätverk, och det närmaste du kommer VLAN-separering där skulle vara att aktivera gästnätsfunktion på TP-Link mesh-utrustningen om sådant finns. Men om nu företaget omsätter så stora pengar så kan jag tycka att det bör finnas IT-budget till FortiGate, Meraki eller dylikt med VLAN-kapabla switchar och accesspunkter för fullständig nät-separation och WPA2-Enterprise eller åtminstone WPA3 för datorerna, med mobila enheter och exempelvis konferensrumsutrustning i separata nätverk. Även skrivare brukar jag köra i separat nätverk då jag inte litar på att dessa inte går att utnyttja för att förflytta sig horisontalt i nätet.

Det svåra är alltid att utbilda C-bandet (CEO CFO, osv.) då de tycker att sådana utbildningar är ”under” dem. Vilket är sorgligt då de är de som blir utsatta för spear-phishing

Visst hade det varit intressant att veta vad som faktiskt hände! Men kvaliteten på den artikeln lämnar ju en del att önska. Du skulle kunna leta upp stämningsansökan och se om den ger mer detaljer. Man kan konstatera att tråden helt ignorerar den kapade IP-adressen och gissar vilt på annat.

På det som kom att bli trådens ämne: konceptet att VD eller ekonomichef skickar ett overifierat mail till ekonomiassistent och ber om en utbetalning har ju varit omodern sedan PGP/GPG uppfanns. Varför inte bara göra en insats för att införa i alla fall signerade mail internt, om inte till och med krypterade? S/MIME har ju också funnits i evigheter.

Det stora hotet är dock antagligen insiders. ”Oaktsamhet” kan vara en omskrivning för ”vi kan inte bevisa bedrägeri”. I sådana sammanhang kan det i alla fall vara bra att ha elektroniska signaturer som kan troliggöra vem som gjorde vad. Nyckelhanteringen är så klart en utmaning, man vill ju sköta den på ett sätt som gör det relativt omöjligt att komma över nycklarna för verifiering av transaktioner även om man skulle lyckas ta över central infrastruktur.

Fortfarande ett stort problem världen över. Många företag är väldigt sega på att införa saker och många får aldrig budget att göra vettiga lösningar.

De fortune 500 bolag jag jobbat på ser såna attacker mer eller mindre dagligen. Och det är bara de man lyckas fånga. Eller ja inte just internt på den nivån. Men från dotterbolag, underleverantörer osv. Även helt internt ibland. Den sortens attacker har ökat senaste åren.

Kommer hela tiden mail från korrekt sändare (dvs skickat med personens riktiga konto på rätt sätt) men man har bytt några siffror i fakturan så pengarna går till fel ställen.

Ja det är ju typiskt Svensson-media att beskriva det på ett så otekniskt vis för att väcka nyfikenhet hos läsare. Givetvis kan man inte "kapa" en IP-adress, men man kan däremot kapa en dator som sitter på en intern IP-adress på insidan av NAT och en publik IP-adress, många IP-adresser men ingen som har något med kapningen att göra

Men att "kapa" ett lösenord, eller helt enkelt utnyttja sig utav tidigare läckor i kombinationen med det faktum att många återanvänder samma lösenord för flera tjänster, det är fullt görbart och väldigt enkelt sätt att få en fot in på insidan. Det är ju trots allt orsaken till att både Google och Microsoft trycker på hårt med införande av MFA och nu med MFA, och nu senast MFA med nummermatchning för att säkerställa att användarna inte råkar MFA-autentisera någon annan vid exempelvis en MFA-uttröttningsattack där användaren tillslut godkänner autentisering som annan part har begärt för att "få tyst på luren".

En enkel sak du kan göra för att möjligtvis avslöja intrånget när det sker, är att sätta upp ett par så kallade "canary tokens", dvs fällor i form av e-postmeddelanden eller olika typer av dokument, som om någon öppnar länken eller dokumentet så får du ett e-postmeddelande om detta med information såsom klockslag och vilken IP-adress detta har skett ifrån.
https://canarytokens.org

En av mina tidigare arbetsgivare körde https://www.hoxhunt.com/ och jag tyckte faktiskt det var rätt roligt. Vet inte riktigt hur prisbilden ser ut men det är ju ett sånt där "skicka falska" email verktyg som tränar upp anställda. Sen om man tittar på hur tex Lapsus$ arbetade så är det ju inte super mycket "hacking" utan mer "social engineering" bakom.