Os cibercriminosos agora alvo de folha de pagamento, faturamento, e sistemas de aposentadoria: AFP

Os cibercriminosos segmentação Austrália estão mudando seu foco para alvos de segunda linha, como os sistemas de folha de pagamento, sistemas de facturação, e corretores de aposentadoria, de acordo com a agente federal Scott Mellis, líder da equipe de operações do cibercrime com a Polícia Federal Australiana (AFP) em Melbourne.

“Eu culpo os bancos para tudo isso. Eles fizeram um trabalho muito bom de proteger suas plataformas de banca de retalho, Deus os abençoe”, disse Mellis a Conferência Australiana de Cyber ​​Security Centre (ACSC), em Canberra na quarta-feira.

Com os bancos se tornando alvos mais difíceis, os atacantes têm, naturalmente, mudou-se para baixo na cadeia alimentar.

“Precisamos transformar nosso foco para onde o dinheiro é mantido, e onde há falta de segurança ou a segurança fraca e má concepção”, disse Mellis.

Outra tendência é que as quantias de dinheiro sacados por meio de mulas de dinheiro tem sido “muito maior” no ano passado, disse Mellis. Alguns foram mais de R $ 500.000. A maior quantidade foi R $ 900.000 transferidos para uma mula na Austrália Ocidental “em um hit”.

Isso foi inédito de dois ou três anos atrás … Cash-out mudou-se para níveis extremamente prejudiciais. Nós não vimos uma única transferência de milhões de dólares, mas eu acho que estamos realmente à beira dela. Quem é responsável pela perda é uma pergunta justa também.

No final menor, os fundos eram frequentemente transferidos através de mulas de dinheiro secundárias para proteger ainda mais os criminosos. Muitas dessas mulas secundários foram as pessoas mais velhas, pensionistas, e ficar em casa-mães.

“Algumas dessas pessoas que não seriam normalmente lidam com realmente pensava que tinha um sério trabalho de serviços financeiros”, disse Mellis.

Há algumas pessoas lá fora que não pensam como nós. Obviamente.

A AFP tem visto “múltiplas vítimas” atingidas com ataques do sistema de folha de pagamento, que seguem uma metodologia padrão.

O custo de ataques ransomware: $ 1 bilhão este ano; Chrome para iniciar conexões HTTP rotulagem como não segura; O Projeto Hyperledger está crescendo a todo o vapor; Agora você pode comprar um stick USB que destrói tudo em seu caminho

Segurança; prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t EUA; segurança; WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas; segurança; Casa Branca nomeia primeiro CIO Federal de Segurança; Segurança; Pentágono criticado por cibernético resposta -emergency pelo cão de guarda do governo

O registro de criminosos no uso de credenciais roubadas, verifique a data da próxima execução de pagamento, e log out. Eles login novamente pouco antes do prazo de pagamento, dados bancários mudança empregados ‘para aqueles de várias mulas de dinheiro então não há nenhum ponto único de falha, e os salários de execução prossegue.

“Rebelião dos funcionários é provavelmente o primeiro sinal a organização terá que houve um problema.” disse Mellis.

A AFP tem notado algumas sutilezas na metodologia. Os atacantes não alterar as contas de funcionários do departamento de RH, porque eles são mais propensos a notar o problema. Muitas vezes, eles vão fazer uma pequena alteração e esperar para ver se alguém percebe antes de fazer as mudanças em grande escala. E eles só acessar os sistemas durante o horário comercial, assim como funcionários faria.

“Estamos vendo longos períodos de reconhecimento, que [uma vez que] foram, provavelmente, mais relacionada com o trabalho de atores baseados no estado. O quebra-and-grab não está lá, tanto quanto costumava ser”, disse Mellis.

Os agressores também roubaram informações fiscais dos empregados, com a intenção de usá-lo para enviar falsas declarações de imposto de renda e desviar as restituições fiscais para através de suas mulas de dinheiro.

“Houve muito poucos casos de sucesso desta”, disse Mellis, porque os sistemas de Repartição de Finanças da Austrália detectou a fraude, mas as tentativas foram feitas.

Ataques semelhantes estão sendo feitas contra os sistemas de contabilidade, que são muitas vezes ligados a sistemas de RH da folha de pagamento, ou pelo menos usar um login compartilhado. O dinheiro destina-se a pagar facturas dos fornecedores é desviado para as mulas.

“Isso foi bastante desenfreada no final do ano passado”, disse Mellis.

Ao contrário dos ataques de folha de pagamento, os ataques de facturação levar semanas para detectar, porque os fornecedores são geralmente pagos mais lentamente do que os empregados.

A AFP agora chama esses ataques “driftnetting”, porque eles estão set-e-esqueça.

“Os bandidos mudar alguma coisa, esperar por um processo natural para ser executado na plataforma, e então sacar”, disse Mellis.

A AFP também descobriu ataques contra corretores de caixa de pensões que gerencia Super em nome dos empregadores. “Percebemos somas suspeitas de dinheiro que está sendo transferido de instituições financeiras australianas em contas de mula, e uma dessas instituições aplicaram uma plataforma de gestão de fundos de pensões”, disse Mellis.

A AFP finalmente encontrou duas empresas de corretagem de aposentadoria com acesso a esta plataforma cujos PCs mostrou sinais de ter sido infectado com malware, e que tinha sido entrando na plataforma em horários incomuns, incluindo fins de semana.

plataformas de aposentadoria não dispunham de verificação do usuário para transações de alto risco.

“Por exemplo, se o dinheiro foi transferido para fora da conta do investidor, houve um e-mail enviado para o investidor, mas somente depois que o dinheiro tinha sido transferido, de modo que foi tudo um pouco tarde. O e-mail de destino que o e-mail vai para também foi não verificado, para que qualquer pessoa com as credenciais comprometidas poderia acessar a conta e alterar o e-mail de destino, para e-mail o criminoso, por exemplo “, disse Mellis.

Uma plataforma exigia investidores para fornecer uma empresa australiana Number (ABN), mas os criminosos simplesmente procurou online para o ABN de uma empresa que parecia que pode estar relacionado com o investidor de alguma forma.

Outra falha foi um formulário online que permitiu que os usuários login para transferir fundos ilimitados sem qualquer verificação humana, como um telefonema.

Um problema persistente é o que a AFP chama de “CEO representação” ou “representação executivo sênior”, eo FBI chama de “business-mail compromisso”, onde os funcionários de uma organização são manipulados para o envio de dinheiro para os criminosos.

A sofisticação dos ataques varia, de simplesmente criar uma conta ceoname@gmail.com genérico ou ceoname@company1.com, para comprometer a conta de e-mail real de um executivo para saber o seu estilo de vida e criar uma representação mais realista.

A AFP tem visto ataques de personificação líquida entre R $ 20.000 e R $ 900.000. Os criminosos são baseados principalmente na África Ocidental.

No início deste mês, Divisão de Phoenix do FBI disse que US $ 2,3 bilhões foram perdidos para scams e-mail comercial de compromisso ao longo dos últimos três anos.

Alguns criminosos ainda estão atacando bancos, no entanto – e eles também demonstram muita sofisticação.

Supervisão agente especial Chad Hunt e agente especial Mark Ray do FBI andou a conferência através de um 6000000 $ assalto a banco, onde os criminosos conduzida de reconhecimento na rede do alvo para mais de um mês antes de finalmente fazer a sua jogada.

Mesmo que a organização-alvo tinha criptografado os números de cartão de crédito, armazenados, registros de chat obtidas pelo FBI mostrou os criminosos que discutem sua capacidade de decifrar 550.000 números de cartões por hora.

Esses criminosos eram claramente parte de uma rede mais ampla. Eles estavam cientes das fraquezas de sua própria segurança operacional (OPSEC). Foram eles que decidiram quando eles tinham extraído dinheiro suficiente do alvo, e quando era hora de puxar a ficha sobre o seu funcionamento, limpe seus computadores, e mudar suas identidades on-line.

Os agentes do FBI disse que houve uma mudança de cibercrime sendo conduzido por redes exclusivamente cibercrime, para as redes de crime old-school “usando habilidades de hacker para promover seus esquemas de colarinho branco”.

“Eles são todos muito bem conectado”, disse Ray, que trabalha na Divisão de Cyber ​​do FBI em seu escritório de campo de Atlanta.

Todos eles se conhecem, e sabem os serviços, quer se trate de serviços de movimentação de dinheiro, ou [saber] as pessoas certas para pagar em diferentes governos. É um escalão superior que é de certa forma intocável.

Então, por que são tão muitos desses ataques bem-sucedida?

Um problema com os ataques do sistema financeiro investigados pela AFP foi que os sistemas das vítimas tinha sido construído ao longo de um longo período de tempo por muitas pessoas. Combinado com rotatividade de pessoal, isso significava que ninguém realmente sabia como os sistemas foram feitos para trabalhar.

Alguns corretores de aposentadoria foram mesmo correndo BitTorrent e softwares de jogos nos próprios PCs usados ​​para gerenciar contas de clientes, disse Mellis.

Mellis também recitou a ladainha familiar de erros técnicos básicos: a falta de patching do sistema, as senhas armazenadas em documentos não protegidos, a autenticação de fator único, senhas compartilhadas, VPNs não está sendo usado, e os funcionários não seguindo processos estabelecidos. Mas muitos ataques foram bem sucedidos por causa da falha humana.

O elemento humano é o elemento mais difícil de todos. É tão difícil, porque há um monte de gente realmente tolas lá fora.

Os agentes do FBI tinha um comentário adicional sobre os factores humanos.

“Ameaça de inteligência é um grande chavão agora, mas eu acho que há uma diferença entre a inteligência tática ameaça, os indicadores certos, e todas essas coisas que nós temos, e então realmente estratégica [de inteligência]”, disse Ray.

Todas as melhores ferramentas, IDSs [sistemas de detecção de intrusão] e SIGINT [sinais de inteligência] lá fora ainda não substitui int humana old-school.

prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t dos EUA

WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas

Casa Branca nomeia primeiro Chief Information Security Officer Federal

Pentágono criticado por resposta cyber-emergência por watchdog governo