Etikettarkiv: IT-brott

Nätbedrägerier och ersättning från banken

Linus Larsson har skrivit en mycket bra artikel om nätbedrägerier och vilka krav banker ställer på dig som konsument för att ersätta uppkommen förlust. I de fall som refereras har ARN dömt till bankens förmån och konsumenten fått stå för förlusten. I korthet:

  • Betrakta säkerhetsdosor som värdehandling på samma sätt som ett kort. Du behöver därför se till att förvara dosan på ett säkert sätt. Förvara inte PIN-kod till dosan tillsammans med dosan. Och om dosan försvinner ska du direkt anmäla det till banken så att dosan kan spärras.
  • Kontouppgifter, PIN-koder etc bör inte förvaras öppet på din mobil. Och se till att ha ett lås på mobilen.
  • Var ytterst försiktigt med att ge någon kontouppgifter och koder. Att ge det till någon på Facebook är ingen bra idé.
  • Din bank kommer (ska) aldrig, aldrig, aldrig skicka mail till dig och be dig klicka på en länk för att komma till en sida där du ska mata in kontouppgifter och koder.

Det här är inga nyheter egentligen. Det intressanta och viktiga med artikeln är att bankerna och ARN anser att dessa problem är så vanliga och har varnats för så länge att du som konsument nu anses måste känna till dem och inte begå dessa misstag.

Känn din fiende

När jag är ute och pratar försöker jag förklara vikten av att försöka bedöma vem som utgör hotet mot ditt system, produkt eller tjänst – att känna sin fiende. Det kan finnas flera olika fiender. Det kan även vara så att din fiende inte är direkt ute efter dig, utan du är en del av fiendens målgrupp.

Poängen med att försöka bedöma vem som är fiende handlar om att olika typer av fiender har olika typer av resurser till sitt förfogande. Olika fiender är dessutom ute efter olika saker och har olika sätt att komma över dina tillgångar. Men när du ska skydda dina tillgångar gäller det att välja skydd som möter hotbilden från olika fiender. Att välja fel skydd är att kasta pengar i sjön och ger inte det skydd du behöver.

En som pratar mycket bra om detta är Mikko Hypponen. Hans presentation från #Days tidigare i år är väl värd att titta på.

Notera dom olika hotbilderna och deras olika incitament för att ta över eller påverka ett system.

Hur man skyddar sig mot olika hot varierar. Ett företag som aktivt arbetar med att ta reda på vem fienden är, är Mandiant. NPR skriver om hur Mandiant aktivt letar efter de som försöker komma in i Mandiants kunders system och sedan försöka få tag på dessa personer.

Peter Forsman på .SE skriver i dag i en krönika om ett annat hot, piratkopierarna – företag som gör kloner av andras produkter och därmed äter upp marginalerna. Bra krönika som beskriver problemet och vad du ska tänka på för att lättare undvika problem om du handlar på nätet.

Slutligen. För den som vill förstå hur en typ av fiende agerar, den som är ute efter att stjäla kreditkort, inloggning på bank för att sälja, finns en helt fantastisk tråd på Reddit. Tråden är en intervju med It-skurken throwaway236236, som berättar hur han skapar och underhåller sitt botnet med maskiner samt hur han tjänar pengar på att sälja andra personers information.

Och om du efter detta tror att det stora hotet är en tonåring som skriver virus för att busa är det dags att tänka om. Ordentligt.

Verified by VISA och kapprustning inom IT-säkerhet

Ett blogginlägg hos Optinet satte fingret på den kapprustning och utveckling av offensiva kontra defensiva metoder inom IT-säkerhet. (Ja, jag är medveten om att det inte bara gäller IT-säkerhet, utan generellt. Folk anpassar sig till förutsättningarna och försöker hitta nya metoder och vägar att nå sina mål.)

Som ett sätt att öka säkerheten vid kortbetalningar på Internet har VISA och sedan andra kreditkortsbolag infört ett system kallat 3-D Secure. Systemet bygger på att kopla tre domäner till varandra (därav namnet 3-D) – Domänen för mottagaren av betalningen, domänen för utbetalande institut och domänen för den som tillhandahåller transaktionen. De olika kortföretagen har sedan lanserat systemet under olika namn, ex Verified by VISA eller MasterCard SecureCode.

För dig som användare  märks systemet genom att du hamnar på en sida som ser ut ungefär så här (om du använder VISA):

Verified by VISA
Verified by VISA

Som användare får du mata in ett lösenord för att transaktionen skall accepteras. Lösenordet har du tidigare varit tvungen att registerera hos din kortutgivare – din bank eller liknande.

Säkerheten hos kreditkorten byggde från början på enbart kreditkortsnummer och namnet till kortinnehavaren samt viss sidoinformation som datum.  Nästa steg var att införa säkerhetskoder som inte är inpräglade i kortet och oftast ej heller finns lagrat i magnetremsan (kallas Card Security Code eller CVV). Men fortfarande är informationen som behövs för att verifiera en transaktion tillgänglig för den som kommer över informationen på det fysiska kortet. Det är bland annat detta Secure-3D ändrar på (så vida du inte har lösenordet skrivet på kortet).

Bedrägerierna mot kort har också utvecklats (och drivit fram de nya metoderna). Från början plockades kortnummer och information från prägligen genom att samla in karbonpapper och kvitton. När detta försvårades genom koderna på baksidan dök skimming upp och har blivit allt mer avancerad. I dag är korten ofta utrustade med inbyggda chip som tillsammans med PIN-kod ska höja säkerheten lokalt och skydda mot skimming. Tyvärr är protokollet som används i Chip+PIN trasigt, vilket öppnar för lokala bedrägerier med stulna kort.

Blogginlägget Verify by VISA-bedrägeri visar att skurkarna är i full gång med att försöka gå runt även Secure-3D-skyddet. I det här fallet handlar det om rent phishing via mail:

Phising mot Verified by VISA
Phising mot Verified by VISA

Texten ovan är vad som skickats ut till användare i mail. Man försöker uppebarligen får det att se ut att komma från kortföretagen och vill få dig att lämna ut lösenordet. Kallas för Phising, eller när det är riktat direkt mot en enskild måltavla Spear Phising.

För att denna attack ska lyckas krävs naturligtvis att skurkarna även har kortnummer, namn, utgångsdatum och Card Security Cocde. Men det hindrar dom inte från att försöka. Och även om dom inte själva har kortinformationen är ett lösenord i sig värt pengar på den svarta marknaden.

Bloggpostningen är värd att läs och har många bra tips. Jag vill dock upprepa det viktigaste av dom:

Din bank eller kreditkortsleverantör kommer aldrig under några som helst omständigheter att via mail fråga om ditt lösenord eller be dig att nollställa det. De kommer inte heller att fråga om ditt kortnummer. Detta är det enda man behöver komma ihåg för att inte bli lurad i denna typ av bedrägeri.

Som användare blir det allt fler moment och information som ska tillhandahållas. Men än så länge finns det (så vitt jag vet) ingen ny teknisk lösning som ger både högre säkerhet och enklare användning för denna typ av transaktioner.

Pedagogiskt om bedrägeri på nätet

Rikard Bodforss, Säkerhetsexpert inom IT-forensik och incidenthantering på Omegapoint har skrivit ett i mitt tycke pedagogiskt och bra blogginlägg om bedrägeri på nätet.

I Varning för depositionsbedrägerier via annonser på nätet berättar Rikard om ett försöka att via falska erbjudanden om att hyra en lägenhet försöker få honom att betala in pengar. Det Rikard gör är att visa hur lätt det är att med enkla verktyg som Google går att skapa sig en bild av huruvida ett erbjudande är för bra för att vara sant, eller bara väldigt bra.

Nej, allt som står på Internet är inte sant och källor måste bedömas var och en för sig. Men ofta krävs det inte mer än ett par sökningar för att bedrägliga fasaser rämnar.

Faran med lagmässigt framtvingade bakdörrar

Bruce Schneier har postat en bra essä om faran med lagmässigt framtvingade bakdörrar.

Vad det handlar om är att myndigheter av olika skäl kräver att det ska skapas tekniska sätt att komma åt kommunikation och data hos operatörer och privata aktörer. Detta brukar kallas legal intercept eller lawful intercerption, men även sveriges FRA-lag och datalagringsdirektivet kan sägas vara exempel på detta – även om de tekniska formerna skiljer. Gemensamt för dessa funktioner är att de skapar en separat väg in i systemen, en bakdörr.

Så vad är problemet med en separat ingång för myndigheter, förutom de rent politisk och moraliska aspekter man kan ha? Jo problemet är att bakdörren löper risk att missbrukas – både av myndigheterna själva (syftesglidning eller personal som går utanför sina befogenheter), men även av andra som inte alls rätt att använda bakdörren, men öppnar och kliver på ändå. Det Bruce visar i sin essä är att denna typ ab missbruk inte alls är teoretiska. Bruce skriver:

Google made headlines when it went public with the fact that Chinese hackers had penetrated some of its services, such as Gmail, in a politically motivated attempt at intelligence gathering. The news here isn’t that Chinese hackers engage in these activities or that their attempts are technically sophisticated — we knew that already — it’s that the U.S. government inadvertently aided the hackers.
In order to comply with government search warrants on user data, Google created a backdoor access system into Gmail accounts. This feature is what the Chinese hackers exploited to gain access.

Bruce krönika är inte ny (från januari 2010), men jag tycker den fortfarande är väldigt läsvärd och relevant.

RSA beskriver attacken

RSA har gått ut med en relativt detaljerad beskrivning av hur attacken som ledde till förlust av vital information för deras SecurID-produkt gick till. (The Register har även en bra artkel om händelsen.)

Attacken visar sig varit klart avancerad och uppenbarligen noga planerad. Genom riktad kommunikation till anställda hos RSA lyckades de som utförde attacken få in trojaner i RSAs lokala system. RSA skriver:

In our case the attacker sent two different phishing emails over a two-day period. These emails were sent to two small groups of employees. When you look at the list of users that were targeted, you don’t see any glaring insights; nothing that spells high profile or high value targets.

Attacken utnyttjade en tidigare okänd svaghet med Adobe Flash inbäddad i Excel-dokument som skickas med i epost (Varför man skulle vilja kunna stoppa in Flash i sitt Exceldokument övergår mitt förstånd).

Genom att samla in användaruppgifter och information om systemet lyckas de som utförde attacken arbeta sig upp i RSAs interna säkerhetskedja tills dess att de fick tag i accessrättigheter till hjärtat av SecuriID. Följande figur från RSA visar på ett bra sätt hur attacken gick till.

RSA-attacken i fem steg.
RSA-attacken i fem steg.

Att RSA berättar hur attacken gick till är jättebra. Men det RSA fortfarande inte berättar är VAD som försvann och på vilket sätt det hotar säkerheten för företag och användare som beror av SecurID för säkra sina system, resurser och tillgångar. Tiden går och ju längre RSA dröjer med detta desto längre kvarstår osäkerheten. Och desto längre kan de som utförde attacken dra nytta av sin fångst. Inte alls bra.

Attack på RSA

RSA (företaget, inte algoritmen) har utsatts för en riktad attack. Enligt ett öppet brev från RSA har någon lyckats ta sig in i RSAs system och komma över information kopplat till produkterna SecurID

SecurID-produkter

RSA skriver:

Recently, our security systems identified an extremely sophisticated cyber attack in progress being mounted against RSA.

Our investigation has led us to believe that the attack is in the category of an Advanced Persistent Threat (APT).

Our investigation also revealed that the attack resulted in certain information being extracted from RSA’s systems. Some of that information is specifically related to RSA’s SecurID two-factor authentication products. While at this time we are confident that the information extracted does not enable a successful direct attack on any of our RSA SecurID customers, this information could potentially be used to reduce the effectiveness of a current two-factor authentication implementation as part of a broader attack.

We are very actively communicating this situation to RSA customers and providing immediate steps for them to take to strengthen their SecurID implementations.

(Notera att jag editerat genom att klippa bort ett par stycken. Se orginalet för skillnaden.)

Att företag som levererar säkerhetsinfrastruktur själva blir måltavlor är inte förvånande, men det här visar konkret att så är fallet. Speciellt infrastruktur avsedda att säkra ekonomiska transaktioner är i dag klara måltavlor.

Sedan hoppas jag att RSA verkligen gör det dom säger att dom gör – pratar med sina kunder. Jag hittar inget på deras webbplats som förklrarar:

  • Hur attacken faktiskt gått till
  • Exakt vad man förlorat
  • På vilket sätt det man förlorat försämrar säkerheten hos kunderna (slutanvändarna – dvs du och jag)
  • Hur kunderna ska agera för att återskapa säkerheten

Det öppna brevet ger mer intrycket av ett företag som genom stora, fina ord försöker försäkra oss om att dom går att lita på. Men i det här läget är enl min mening öppenhet enda sättet att återfå förtroendet.

Inte minst för ett företag som är branschledande bör gå före och genom öppenhet hjälpa andra att skydda sig och därmed återskapa förtroendet. Inte bara för sina egna produkter, utan branschen och tekniken som sådan. Det här är större än RSA själva.

Uppdatering 2011-03-17: I en artikel hos NYT spekulerar Whit Diffie att det är huvudnyckeln som blivit stulen. Det är en ren gissning men visar på varför RSA måste vara öppna med vad som faktiskt hänt.