Stadig flere «CEO-svindler»  i Norge

Publisert: 02.11.2015 | Sist endret: 03.11.2015

NSM NorCERT ser en økende mengde «CEO-svindler» mot organisasjoner i Norge. Hvordan utføres denne typen svindel, og hva kan du gjøre for at ansatte i din virksomhet ikke skal bli lurt?

Svindelen starter med at virksomhetens finansmedarbeidere mottar en falsk epost fra en i toppledelsen der de blir bedt om å gjennomføre en transaksjon som haster. Trusselaktøren utgir seg ofte for å være administrerende direktør, finanssjef eller liknende.

Denne typen svindel benyttes hyppigere mot organisasjoner i Norge enn tidligere. Epostene som sendes er på relativt grei norsk, selv om det ikke alltid er helt grammatisk korrekt.

Observert i flere engelskspråklige land

«CEO-svindel» er blitt observert i flere engelskspråklige land over lengre tid. FBI rapporterte tidligere i år at det på verdensbasis blir tapt 10 milliarder
kroner gjennom denne typen svindel. [6]

«CEO-svindel» blir ofte omtalt som "CEO scam", "Whaling"
eller "Business Email Compromise (BEC)". Det finnes ulike varianter av disse:

  1. En forfalsket melding fra administrerende direktør til finansdirektør: "Jeg trenger å få gjennomført en utenlandstransaksjon raskt"
  2. En forfalsket melding fra finansdirektør til finansmedarbeider: "Jeg trenger å få gjennomført en utenlandstransaksjon raskt"
  3. En forfalsket melding fra finansdirektør til finansmedarbeider der vedkommende tilsynelatende videresender en melding fra administrerende direktør. Teksten kan ofte være: "Hei, se epost under fra administrerende direktør. Dette er viktig. Kan du få gjennomført transaksjonen han/hun beskriver, snarest og uten opphold."

Man ser i mange tilfeller at adressene er forfalsket slik at den er lik adressen til administrerende direktør eller finansdirektør. For de som benytter Lync eller Skype, vil man også få opp statusikon for brukeren, samt bilde fra tilhørende Active Directory dersom man har satt dette opp.

Tiltak som kan hjelpe organisasjonen 

Opplæring

Informer organisasjonen om denne svindelen, særlig toppledelse og finansmedarbeidere. De ansatte bør spesielt være oppmerksomme på:

  • Plutselige utenlandsbetalinger som haster
  • Rar og uvanlig setningsoppbygging og språk
  • Om adressen stemmer når man trykker svar-til

Intern rapportering

Sørg for at svindelforsøk rapporteres internt. De ansatte bør ha en klar prosedyre på hvor informasjon skal sendes slik at det når relevant sikkerhetspersonell.

Gode interne rutiner

Sørg for å ha rutiner der slike utbetalinger må bekreftes på andre måter enn ved e-post. Dette kan gjøres ved at betalingen bekreftes muntlig. Svindelforsøket vil da mislykkes.

Tekniske tiltak

Det er ulike tekniske tiltak som kan blokkere epostene, deriblant mekanismene Sender Policy Framework (SPF), Domain Keys Identified Mail (DKIM) og Domain-based Message Authentication, Reporting and Conformance (DMARC). Merk at alle disse mekanismene må implementeres både ved mottak og
utsendelse av e-post.

En kort forklaring på hver av mekanismene nevnt over:

  • Sender Policy Framework (SPF) [7][8] SPF viser hvilke IP-adresser som er godkjent for å sende epost på vegne av domenet, det vil si utgående epostservere.
  • Domain Keys Identified Mail (DKIM) [9][10][11][12] DKM er kryptografisk signering av epost som sendes ut - både av innhold og enkelte header-elementer.
  • Domain-based Message Authentication, Reporting and Conformance (DMARC) [13][14] DMARC benytter SPF og DKIM, og gir mulighet til å sette policy basert på disse. Dette kan være å blokkere/sette i karantene/slippe gjennom, gitt at SPF og DKIM feiler, samt å gi tilbakemelding til eier av domenet hvilke IP-adresser som har sendt epost på vegne av domenet. DMARC kan dermed brukes som et verktøy for å justere eksempelvis SPF. DMARC kan også settes opp til å be om full kopi av eposter hvor SPF og DKIM feiler.

Trender

NSM NorCERT forventer at svindlere vil endre domenene som benyttes etter hvert som de ulike organisasjonene får på plass beskyttelse. De kan for eksempel begynne å bruke domener som likner på de reelle domenene.

  • Domener som slutter på .com, .net og liknende i stedet for .no
  • Stavefeil i adressen, som nettsside.com og liknende

Rapportering og anmeldelser

NSM NorCERT anbefaler at organisasjoner som mottar slike svindelforsøk anmelder forholdet til politi. Internasjonalt er det gjort flere arrestasjoner knyttet til slike svindler, og det virker til å være stadig flere grupper som driver med denne typen svindel.

NSM NorCERT er også svært interessert i informasjon om den enkelte organisasjon har observert "CEO-svindel". Vi er spesielt interessert i tekniske detaljer, som e-post med fulle headere. Dersom virksomheten har besvart svindlerne ønsker vi informasjon om hvor svindlerne ønsker pengene oversendt. Kontakt oss på norcert@cert.no ved eventuelle spørsmål eller om du ønsker å dele informasjon.

Dette varselet er basert på et varsel skrevet av HelseCSIRT. NSM NorCERT takker for samarbeidet.

Referanser (eksterne lenker):

  1. http://krebsonsecurity.com/tag/ceo-fraud/
  2. https://www.wynyardgroup.com/en/news-events-blog/phishing-the-ceo-%E2%80%93-business-email-fraud-aims-higher/
  3. http://www.eweek.com/security/advanced-phishing-scam-targets-ceos-cfos-for-phony-cash-transfers.html
  4. https://www.fbi.gov/news/stories/2015/august/business-e-mail-compromise/business-e-mail-compromise
  5. http://phishme.com/wire-fraud-phisher-attempts-to-phish-phishme-instead-gets-phished-by-phishme/
  6. http://www.ic3.gov/media/2015/150827-1.aspx
  7. http://www.openspf.org/Introduction
  8. http://www.openspf.org/SPF_Record_Syntax
  9. http://www.go4expert.com/articles/introduction-dkim-t28471/
  10. https://www.mailjet.com/support/what-s-the-meaning-of-dkim,16.htm
  11. http://www.gettingemaildelivered.com/dkim-explained-how-to-set-up-and-use-domainkeys-identified-mail-effectively
  12. http://www.dkim.org/
  13. https://dmarc.org/overview/
  14. https://dmarcian.com/dmarc-features/

 

comments powered by Disqus