Visie op cybercrime Rob Heijjer MSc, CISSP
Crisismanagement & Fraudebestrijding Security Lab Februari 2011
Rabobank Nederland
Thuis
Virtuele kanalen ... Er zijn vele wegen Telefoon
Voice & IVR (DTMF)
TV
WWW e-Mail
Computer
VOIP (Voice & IVR) WWW
Game console
e-Mail
Tablet
WWW & APP
Klant Smartphone
Instant Messaging
Voice (DTMF)
Internet
Bank
e-Mail
SMS
Instant Messaging
Voice
(DTMF)
VOIP (Voice & IVR)
Mobiel
SMS Voice (DTMF) Near Field Communication
2
Criminele activiteiten Oplichting Diefstal Militair Terrorisme
Chantage Vervalsing
Fysiek
Virtueel
Criminaliteit
Cybercrime
Pornografie Gokken
Spionage Beroving
Financieel
Stalken Laster 3
Aanval stappen • Middelen
– Doelstelling cybercrime crimelen:
• Motief • Gelegenheid
– Het verkrijgen van geld – Witwassen van geld – Minimaliseren risico arrestatie
Selectie slachtoffer
Aanval
– (Cyber)crime technieken – Trojans
– Phishing – Social engineering
Verkrijgen geld
– Money mule – Beschikking over bankrekening – Cash overmaken via moneyservices
– Pion in de aanval. 4
Cybercrime techniek: Trojans
5
Cybercrime techniek: Phishing
6
Money mules
7
(Cyber)crime techniek –Social engineering – Techniek voor het manipuleren van personen in het verrichten van handelingen of het verstrekken van vertrouwelijke informatie
8
Ervaringen – De voordeur van de bank zit op slot. Aanvalsvector is de klant door het toepassen van social engineering en cybercrimetechnieken
– Hackers vele malen sneller met software ontwikkeling – Aanpassingen in minuten tot hooguit enkele uren
– Geld overmaken gaat zeer snel: in enkele minuten vanaf signeren (tekenen) transactie (zowel binnenland als ook Europa/Wereld) – Klanten dienen voorgelicht te worden – Monitoren is effectief en buiten de invloedsfeer van de fraudeur. Maar dient zeer snel te gebeuren op grote hoeveelheden data.
Effectieve strategie: ZORG DAT HET GELD DE BANK NIET VERLAAT 9
Security LAB Het Security LAB team houdt zich bezig met o.a.: • Cybercrime beeld (intelligence)
Directoraat Toezicht
• Operationele activiteiten (incidenten en onderzoeken tbv fraude) • Ontwikkelen van tooling • Kennis (bijhouden) van bancaire systemen
Toezicht en Compliance Nederland
Compliance Rabobank International and Wholesale
Crisis Management & Fraudebestrijding
• Detectie: Analyse van data verkregen via logging en monitoren. • Onderhouden van relevante (inter)nationale contacten
Secretariaat
Transactie analyse
Customer Due Diligence
Fraude
Security LAB
10
Werkterrein Security LAB Scope Security LAB • Informeren klant (Security awareness) • Berichten op Rabobank site • Communicatie & voorlichting
• Data stream analyse • Aanvullende beveiligingsmaatregelen (preventie)
• Focus op detectie • Logging & monitoren • Implementeren maatregelen
• Bijhouden risico-analyse • Analyse weblogs, gedrag herkennen, infecties, (mogelijke) aanvallen • Overleg met andere banken • Samenwerken met antivirus bedrijven en beveiligingsbedrijven
• Klant
•
PC klant
Bank website
Eigen verantwoordelijkheid klant
Zorgplicht
Backoffice
Bank • Onderzoek en analyse • Aangifte
Aanvaller
PC aanvaller
12
Anatomie van een aanval Gebruiker (Klant)
Stap 2 PHARMING
Stap 3 Katvanger
Verzamel data over het gedrag en activiteiten van de gebruiker
Recruteer katvanger(s), selecteer bank(en) voor aanval
Stap 1 INFECTIE PC’s met malware (downloaders, loggers, bancaire trojans)
Stap 7 Bereid nieuwe aanval Richt op nieuwe slachtoffers en banken
Stap 4 BANK TROJAN
Detectie
Stap 6 Verkrijg het geld Ontvang het geld en was het wit
Ontwikkel bank trojan & distributeer
Stap 5 Aanval Op specieke klant PC’s
BANK 13
Detectie & monitoring Detectie
– ... het waarnemen van een signaal of een verschijnsel te midden van andere signalen of verschijnselen – The act of detecting something; catching sight of something – “In general, detection is the extraction of particular information from a larger stream of information without specific cooperation from or synchronization with the sender”.
Monitoren
– De activiteit om “iets” in de gaten te houden – monitor - keep tabs on; keep an eye on; keep under surveillance; – Is geen doel op zichzelf, maar een hulpmiddel
– Is geen wonderolie
– Stelt eisen aan de organisatie – Is een uitdaging gezien de hoeveelheid data 14
Monitoren en data opslag – Ten behoeve van operationele ondersteuning (uitzoeken verstoringen) – 5 – 7 dagen data meestal voldoende
– Ten behoeve van compliance – Situationeel afhankelijk (of gebonden aan wettelijke regels)
– Ten behoeve van fraude detectie c.q. onderzoek – Minimaal 3 maanden, liefst 6 maanden (liefst nog langer) aan data toegankelijk
Klant device monitoring
Channel monitoring
Transactie monitoring
Bedreiging bij de klant
Proces van de klant
Data van de van de klant 15
Klantbeeld – Wat weten we van de klant en over de klant? – Hoeveel PC’s bij de klanten zijn er nu besmet? – Wat weten we over mobiel?
– Wat zijn de toekomstige ontwikkelingen? – Beter klantbeeld draagt bij aan verbeteren detectie
16
Tips bij een incident – Beoordeel de situatie regelmatig – Is het incident ook daadwerkelijk het probleem – Probeer het overzicht te behouden
– Neem regelmatig even de tijd om tot rust te komen – Evalueer voor jezelf de situatie – Bepaal de nieuwe acties
– Zorg ervoor dat management op de hoogte is én blijft – Maak afspraken (verwachtingsmanagement)
– Let op communicatie intern én extern
– Zorg voor een netwerk van deskundige collega’s – Zorg dat je een oplader in de buurt heb voor je mobiele telefoon
17
Vragen ? 18
