FBI: Cyberbrottslingar har stulit 270 miljoner från amerikanska företag

av Stefan Pettersson

(Publicerad 2009-10-27)

FBI har nu i dagarna gjort något så unikt som att gått ut med siffror på hur mycket cyberbrottslingar stulit från amerikanska företag de senaste åren. Det är inte något säkerhetsbolags uppskattningar av värdet på information, utan rena dollar som har lämnat bankkonton.

I Sverige var det för några år sedan mycket uppmärksamhet kring hur cyberbrottslingar stal pengar från Nordea-kunder. Tillvägagångssättet var phishing-mail där man stal engångskoder, och sedan använde dessa för att logga in på offrens konton och föra över pengar till andra konton. Den exakta summan av förluster offentliggjordes aldrig, men minst tvåsiffrigt antal miljoner kronor försvann.

Att Nordea drabbades på det sättet var på grund av att man var en stor bank och att Nordeas ”skraplotter” var enklare att angripa än konkurrerande storbankers koddosor.

Företag drabbas också
Men nu har alltså FBI offentliggjort siffror som visar hur mycket amerikanska små och medelstora företag har förlorat genom liknande överföringar. Det har försökts stjälas $85M (cirka 575 miljoner kronor), och tjuvarna har kommit undan med strax under hälften – $40M (cirka 270 miljoner kronor).

Transaktionerna har gjorts med tillräckligt små summor för att det inte ska väcka någon misstänksamhet eller utlösa bankerna automatiska larm.

Trender
… och att det här hände var naturligtvis förutsägbart. Pengar lockar, och man tar enklaste vägen. Det finns två trender som är viktiga att notera från det här:

• Cyberbrottslingar ger sig på att stjäla även från företag. Företag har ofta mer pengar än privatpersoner, så det faller naturligt att de förr eller senare blir utsatta.
• Koddosor är inte tillräckligt skydd längre. Även om många av de utsatta företagen hade konton som bara krävde användarnamn och lösenord så har även de som använt koddosor blivit utsatta.

Det sistnämnda sker troligen genom ”man in the browser”-angrepp, där en legitim session används för att göra transaktionerna.

Inom säkerhetsvärlden är det här ett känt ämne. Exempelvis bloggade Stefan om det förra månaden här på vår blogg, och även i maj, då på OWASP Sweden-bloggen.

Vad kan jag som kund göra?
Vad rekommenderar då vi från HPS att man kan göra om man vill fortsätta använda banker online och samtidigt minska risken. Här är några konkreta råd:

• Datorn som används för ekonomiska transaktioner skall används enbart till det. Ingen mail, inget surfande utanför bankerna.
• Datorn ska inte vara med i företagets ”domän”. Tvärtom bör den stå så isolerad som möjligt, och med bra lösenord.

Svenska bankers utsatthet och vad banken kan göra
Här i Sverige har exempelvis Swedbank och SEB har gjort mycket av vad som är rimligt att göra. Nämligen att använda koddosor och när man signerar transaktion så matar man in totalsumman i dosan. Hos Länsförsäkringar gör man inte det, men där kontrolleras å andra sidan applikationsflödet väldigt strikt. För mer tips för vad man kan göra rekommenderar jag att läsa Continuing Business with Malware Infected Customers.

Att ta sig runt applikationsflödet är dock ingen gigantisk utmaning – ”utloggning” blir ”inloggning” för angriparen.

Att signera transaktionen med summan är bra. Men då måste kunderna veta om att det är vad som händer, och vara vaksamma att summan stämmer. Har din bank det systemet är det alltså något du behöver se till att vara vaksam på. Till skillnad från hur privatpersoner blivit ersatta för sina förluster är det relativt ovanligt att företag blir det

—
Carl-Johan ”CJ” Bostorp