奶酪推动者国际的重组导致一些员工不高兴与它们的新角色和新的管理。和不满的员工,尤其是那些谁知道系统好,有机会,可以成为企业的重大问题。
Verizon的风险小组被称为是因为跨国公司早就听说心怀不满的员工之间的传言,并发现了一些负面的评论在网上。虽然没有数据泄露的证据,奶酪搬家公司高层管理人员关注的东西来了。
这仅仅是一个情况,发现威瑞森最近发布了年度黑客报告该机构负责调查召集风险团队追捕罪犯的一些案件。威瑞森报告的“乘车版”提供了该公司的第一人称视角,该公司打电话给重量级人物,以查明网络为什么会变慢,是谁损坏了网站,或者泄露是从哪里来的。对于所有的账户,这些公司的名字都被更改了,以保护其品牌不受公众的嘲笑。
该风险团队每年都会对全球数百家商业企业和政府机构进行网络安全调查。在过去的三年里,他们为客户进行了超过1400次约会。以下是他们的一些报告:
不移动的
奶酪移动国际公司(CMI)已经引起了不止一个黑客组织的注意,他们在自己的社交媒体账户上发布了有关该公司组织变革的信息。根据威瑞森的报告,社交媒体上出现了各种贬损的标签,社交网站上出现了对高管的威胁。
由于内部人员或最近被解雇的员工利用他们对该组织的先进知识发动攻击或向潜在攻击者泄露信息,CMI的危险状况进一步恶化。
Verizon最初在整理和审查开源情报方面为CMI提供了帮助和指导;这包括搜索社会网络和在线论坛,以及专门的调查活动darknet。他们建立了一个安全的匿名账户,使得威瑞森的工作人员能够在黑市和其他地方搜索到黑客分子关于CMI的讨论。这些活动发现了许多威胁和负面言论。威瑞森报道称,尽管大多数讨论都不被认为是真正的威胁,但可疑方正在积极寻找高管的家庭住址和个人信息。
与高管有关的个人信息被泄露事件被及早发现,因此可以向执法部门报告。这只是在接下来的三个星期里经历的多次威胁和袭击中的第一次。分布式拒绝服务(DDoS)攻击曾试图攻击该公司的许多网站(其中大部分都被CMI部署的DDoS保护能力所挫败)。
pen测试团队对关键资产进行了紧急评估,并识别了面向web的服务器上的漏洞,如果黑客分子注意到这些漏洞,可能会带来灾难性的后果。在这两种情况下,识别了一个SQL注入漏洞和一个具有已知漏洞的未打补丁的应用程序。后来发现这两台服务器都被侦察活动盯上了。
大约两个星期防御在各条战线上的攻击后,攻击终于成功。一个CMI的网站似乎已被污损:该网站是无法访问的,并已被替换的消息,声称责任和指责CMI邀请这个报应。在发布的消息称,CMI的服务器遭到黑客攻击,除非进行某些操作的客户数据会被泄露。Verizon公司确定污损不是一个危及系统的结果,而是该网站的网址被重定向到托管消息的另一台服务器。
后来确定受影响域的域名注册商在a中被锁定社会工程学攻击,在此期间,威胁参与者成功地冒充了CMI人员。他们得以进入域名注册商服务的帐户,并修改了相关的DNS记录,导致访问CMI网站的访问者被重定向到另一个网站。
受影响的网站不是CMI的主要网站,只有一小部分客户使用该网站。DNS问题很快得到解决,受影响的域被迁移到CMI的主域注册商那里,那里的安全实践更优越。
下到线
下面是他们的客户的CIO其他Verizon情况:
“我问在这个时代,它怎么连可能的威胁者发起欺诈电汇?”
Verizon的风险小组调查响应联络回答说,“这一切发生的时间。威胁者利用社会工程学手段来糊弄人到处理欺诈电汇“。
“我想,肯定的是,这一切发生的时间,但是这不可能发生在我们身上。毕竟,作为CIO,我提供书面批准,我们的组织内的所有电汇交易。我有信心,我们要避免出现欺诈有足够的制衡到位”的CIO在报告中说。
一天,财务总监手里拿着一个马尼拉文件夹来到CIO的门口。她接着说,作为每月审计的一部分,财务部漏掉了一份三周前电汇的国际税务表。这张丢失的表格促使她向最初提交电汇申请的会计提出申请。
当她向他要表格时,他想不起调动的细节了。既然我已经批准了调动,她想问问我能不能帮他‘打开记忆’,”首席信息官说。
作为公司电汇流程的一部分,会计团队必须首先通过电子邮件向CIO发送包含公司名称、提供的服务、银行账户信息和发票金额的发票。CIO检查发票并通过电子邮件回复“批准”或“拒绝”。如果批准了,会计然后转发电子邮件,发票和税务表格(如果适用)到电汇部门。然后,该部门审查信息的准确性,并处理电汇。
在这种情况下,除了伴随的税务表格(在完成电汇时不需要立即提供)之外,所有这些事情都发生了——除了CIO也不记得为这个电汇提供了批准。财务总监向CIO出示了一封电子邮件,在此之前三天,他批准了另一笔电汇到同一银行账户的交易。
首席信息官表示:“我们说的不是零钱:这是一大笔钱,就像买一辆有两种不同颜色的劳斯莱斯幻影一样。”
风险团队检查了电子邮件标题信息,确认了电汇请求确实来自该会计师的公司内部电子邮件地址。然而,他们注意到所谓的首席信息官的电子邮件地址少了一个字符。威瑞森解释说,这是来自外部电子邮件服务。风险团队确认,就在电汇邮件发送前几天,有人注册了一个与客户非常相似的域名。
“我们现在知道威胁的演员是如何能够提供批准电子邮件,但我仍想知道如何电子邮件源于会计师的企业电子邮件帐户”的CIO说。
风险小组收集了会计师的电子邮件归档,从会计的笔记本电脑内存转储,而笔记本电脑硬盘驱动器的法医形象。风险队要求电子邮件Web访问日志。Verizon的报道,众多的外部IP地址已经成功登录到会计师的电子邮件使用电子邮件Web访问。这些登录时启动关于前电汇请求一个星期。
通过分析该会计师登录网络电子邮件时笔记本电脑上的活动,风险团队能够确定该会计师收到了一封网络钓鱼邮件,发件人声称已经支付了逾期的发票。该电子邮件指示会计师点击一个链接,并提供他们的电子邮件域凭据,以验证和审查付款收据。
显然,会计师提供他的电子邮件帐户凭据,然后忘了跟进的事实,他没有收到付款收据。威胁演员使用的会计凭据登录到自己的电子邮件帐户,并通过电子邮件,搜索研究公司的电汇审批程序。威胁演员甚至用以前发送发票和税务表格创建被用于欺诈电汇的假版本。威胁演员制作已发送到电汇部门批准电子邮件链,根据Verizon的调查结果。
该公司被告知,包含在电子邮件中的链接被称为是恶意的。“我真的开始怀疑,为什么我们的工具并没有阻止访问URL”着称。
原来,内部URL过滤工具确实从网络内的其它系统阻止访问URL。因为会计师已连接到他的个人Wi-Fi网络,它没有在这种情况下阻止它。他从家里一天收到的钓鱼电子邮件的工作。IT安全团队表示,该公司的工具不能够因为会计师没有使用公司网络拦截的网址。
“直到今天,我们仍在与执法部门合作,弄清楚我们的钱到底怎么了,”首席信息官说。
这个故事,“用户拿起奶酪解决数据泄露”最初是由方案 。