奶酪推动者国际的重组导致一些员工不高兴与它们的新角色和新的管理。和不满的员工,尤其是那些谁知道系统好,有机会,可以成为企业的重大问题。
Verizon的风险小组被称为是因为跨国公司早就听说心怀不满的员工之间的传言,并发现了一些负面的评论在网上。虽然没有数据泄露的证据,奶酪搬家公司高层管理人员关注的东西来了。
这仅仅是一个情况,发现Verizon公司最近发布的年度报告,违反,其中探讨了一些在风险小组被称为在追捕罪犯的案件。在“顺风车,沿版” Verizon的报告提供了该公司的第一人称视角,在重量级的呼叫,找出原因,网络速度有所减缓,谁污损网站或者泄漏的来源。与所有的账户,这两家公司的名称已更改为保护品牌,从公众的嘲笑。
风险团队执行网络安全调查数以百计的商业企业和政府机构,每年在全球各地。在过去三年里,他们进行了为他们的客户超过1400订婚。以下是他们的一些报告:
不动的
奶酪推动者国际(CMI)画了不止一组黑客行动主义者是谁已张贴在他们的社交媒体账户的消息引用了公司的组织变革的关注。在社交媒体上的各种贬义井号标签被弹出,并针对管理人员的威胁正在发布到社交网站,根据Verizon的报告。
CMI的不稳定局面是由一位内部人士的使用他们的组织的高级知识犯下攻击或泄露信息,可能的攻击者的风险或最近离职员工加剧。
Verizon最初在整理和审查开源情报方面为CMI提供了帮助和指导;这包括搜索社会网络和在线论坛以及专门的调查活动darknet。他们建立了一个安全的匿名帐户,这使Verizon的船员通过市场和其他地点进行搜索的暗网,看看有什么黑客行动主义者进行了有关讨论CMI。这些活动发现了许多威胁和消极的陈述。,Verizon的报道,虽然大多数的讨论并不被视为真正的威胁,家庭地址和高管的个人信息正在积极可疑各方追捧。
与高管有关的个人信息被泄露的事件被及早发现,并可向执法部门举报。这仅仅是在接下来的三周里所经历的多次威胁和攻击中的第一次。分布式拒绝服务(DDoS)攻击曾试图攻击该公司的许多网站(其中大多数被CMI设置的DDoS保护功能阻止)。
pen测试团队对关键资产进行了紧急评估,并识别了面向web服务器的漏洞,如果这些漏洞被黑客活动分子发现,可能会造成灾难性后果。在两个案例中,识别出了一个SQL注入漏洞和一个带有已知漏洞的未修补的应用程序。后来发现,这两个服务器都被侦察活动盯上了。
大约两个星期防御在各条战线上的攻击后,攻击终于成功。一个CMI的网站似乎已被污损:该网站是无法访问的,并已被替换的消息,声称责任和指责CMI邀请这个报应。在发布的消息称,CMI的服务器遭到黑客攻击,除非进行某些操作的客户数据会被泄露。Verizon公司确定污损不是一个危及系统的结果,而是该网站的网址被重定向到托管消息的另一台服务器。
后来确定,对受影响的域的域名注册商已经在成为目标社会工程学攻击,在此期间,威胁演员成功地人格化CMI的工作人员。他们能够访问该帐户上的域名注册商的服务,并修改相关的DNS记录,导致游客到CMI网站重定向到另一个网站。
受影响的网站是不是CMI的主要网站,只是通过其客户的一小部分使用。该DNS问题被迅速解决,受影响的域迁移到CMI的主要域名注册商,其安全性的做法是优越。
下到线
下面是他们的客户的CIO其他Verizon情况:
“我问在这个时代,它怎么连可能的威胁者发起欺诈电汇?”
Verizon的风险小组调查响应联络回答说,“这一切发生的时间。威胁者利用社会工程学手段来糊弄人到处理欺诈电汇“。
“我想,肯定的是,这一切发生的时间,但是这不可能发生在我们身上。毕竟,作为CIO,我提供书面批准,我们的组织内的所有电汇交易。我有信心,我们要避免出现欺诈有足够的制衡到位”的CIO在报告中说。
一天,财务总监拿着一个马尼拉纸文件夹来到CIO的门口。她接着说,作为每月审计的一部分,财务部丢失了一份三周前电汇的国际税务表格。这份丢失的表格促使她向最初提交电汇申请的会计提出要求。
当她向他要表格时,他不记得转账的细节了。既然我已经批准了他的调动,她想她会问我是否可以提供一些帮助来‘唤醒他的记忆’,”CIO说。
作为公司电汇流程的一部分,会计团队必须首先向CIO发送包含公司名称、提供的服务、银行账户信息和发票金额的发票。CIO检查发票并通过电子邮件回复“批准”或“拒绝”。如果得到批准,会计就会将电子邮件、发票和税单(如果适用)转给电汇部门。然后,本部门审查信息的准确性,并处理电汇。
在这种情况下,与随行税表外(这不是立即需要在完成电汇),所有这些事情发生了 - 除了CIO,也想不起提供批准该电汇。财务总监显示,CIO,他批准了另一项的一个问题之前,短短三天电汇到同一个银行帐户的电子邮件。
这位首席信息官表示:“我们这里说的不是零钱:这是一大笔钱,就像买一辆有几种不同颜色的劳斯莱斯幻影(Rolls-Royce Phantom)一样。”
风险小组检查了邮件头信息,确认电汇请求确实来自会计的公司内部电子邮件地址。然而,他们注意到传说中CIO的电子邮件地址有一个字符是错的。威瑞森解释说,这是来自外部电子邮件服务。风险小组证实,在发送电汇邮件的前几天,有人注册了一个与他们客户的域名非常相似的域名。
“我们现在知道威胁的演员是如何能够提供批准电子邮件,但我仍想知道如何电子邮件源于会计师的企业电子邮件帐户”的CIO说。
风险小组收集了会计师的电子邮件归档,从会计的笔记本电脑内存转储,而笔记本电脑硬盘驱动器的法医形象。风险队要求电子邮件Web访问日志。Verizon的报道,众多的外部IP地址已经成功登录到会计师的电子邮件使用电子邮件Web访问。这些登录时启动关于前电汇请求一个星期。
通过在网络电子邮件登录的时间分析对会计师的笔记本电脑活动,风险团队能够确定会计师已经从有人声称已支付一晚发票收到钓鱼邮件。电子邮件责成会计师点击一个链接,并提供自己的电子邮件域凭据进行身份验证和审查付款收据。
显然,会计师提供他的电子邮件帐户凭据,然后忘了跟进的事实,他没有收到付款收据。威胁演员使用的会计凭据登录到自己的电子邮件帐户,并通过电子邮件,搜索研究公司的电汇审批程序。威胁演员甚至用以前发送发票和税务表格创建被用于欺诈电汇的假版本。威胁演员制作已发送到电汇部门批准电子邮件链,根据Verizon的调查结果。
该公司被告知,包含在电子邮件中的链接被称为是恶意的。“我真的开始怀疑,为什么我们的工具并没有阻止访问URL”着称。
原来,内部URL过滤工具确实从网络内的其它系统阻止访问URL。因为会计师已连接到他的个人Wi-Fi网络,它没有在这种情况下阻止它。他从家里一天收到的钓鱼电子邮件的工作。IT安全团队表示,该公司的工具不能够因为会计师没有使用公司网络拦截的网址。
“为了这一天,我们仍然与执法合作,以找出发生了什么我们的钱”的CIO说。
这篇文章,“用户拿着奶酪去解决数据泄露”最初是由CSO 。