CD-aanval op banken was beveiligingstest
De besmette CD's die vorige week naar verschillende Amerikaanse banken werden gestuurd en waar een waarschuwing voor verscheen, blijken onderdeel van een beveiligingstest te zijn. De bank die als eerste het pakketje ontving, had hier ook om gevraagd. Het was onderdeel van een afgesproken pentest. De verantwoordelijke persoon bij de bank was echter afwezig op de dag dat de brief arriveerde. Degene die de brief ontving volgde vervolgens het standaard incident respons proces en rapporteerde de verdachte activiteit aan de National Credit Union Administration (NCUA).
MicroSolved, uitvoerder van de test, waarschuwde daarop de NCUA en verklaarde de situatie. Het was echter nooit de bedoeling van het bedrijf geweest dat het verhaal zo breed in de media kwam. "Dit was een gecontroleerde oefening waarin het proces werkte. De social engineering was onsuccesvol en kreeg de aandacht van de juiste autoriteiten. Als we echte criminelen waren geweest die fraude probeerden te plegen, dan waren we nu al door de politie opgepakt", zegt CEO Brent Huston.
Alleen de USA Navy USA Defensie gebruiken zulke logo's op hun USB stick toch?
Het lijkt mij duidelijk dat het geen echte aanval kon zijn, aangezien verschillende banken verschillende informatiesystemen gebruiken. Een generieke CD om allerlij verschillende banken te 'besmetten' lijkt mij toch vrij lastig.
"De bank die als eerste het pakketje ontving, had hier ook om gevraagd. "
Als ik het verhaal goed volg, dan zou een bank dus pentests hebben laten uitvoeren bij zichzelf -en- bij concurrenten ? Of was de opdrachtgever van de pentest een overkoepelende organisatie van de banken ?
Ik vermoed dat het verhaal zoals weergegeven niet 100% correct is, want een bank laat een pentest natuurlijk alleen uitvoeren tegen de eigen organisatie, en pentesters zullen organisaties van concurrenten van de opdrachtgever nimmer accepteren als onderdeel van de uit te voeren tests.
Indien dat wel het geval zou zijn, dan zouden die concurrenten inmiddels aangifte hebben gedaan bij de autoriteiten ?
Als ik het goed begrijp was er maar één CD en één aangevallen bank; de bank die de pentest aangevraagd heeft.
De pers, en misschien de NCUA, heeft daar een grootschalige aanval van gemaakt. Wie kent de regel nog? Een keer is een incident, twee keer is toeval, drie keer is een patroon. Alarm slaan is in de mode.
een bank ontvangt gevaarlijke CD's
deze bank waarschuwt de NCUA
de NCUA waarschuwt andere banken (http://www.ncua.gov/news/press_releases/2009/MR09-0825a.htm) omdat deze poging bij meerdere banken plaats gevonden KAN hebben of nog kan volgen
de pers (en tenslotte security.nl) neemt deze waarschuwing blind over als bewijs dat er meerdere banken zijn aangevallen.
geen enkele reden om je bronnen te controleren, toch?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
