私のCFOは、特定のIPアドレスからのすべてのトラフィック(インバウンドおよびアウトバウンド)をファイアウォールでブロックする必要があることを通知する金融機関のディレクターからメールを受け取りました。金融機関のディレクターは、IT部門からこのメールを送信するようアドバイスを受けました。アドレスのリスト(約40)は、パスワードで保護された添付PDFに含まれていました。パスワードはテキストメッセージでCFOに送信されました。
これは当初、CFOに感染したPDFを開かせる悪意のある試み、またはフィッシング/捕鯨の試みだと思っていましたが、合法であるようです。私たちはFIのIT部門に話しかけましたが、彼らはそれが本物であると言いましたが、彼らはこれ以上の情報を提供することはできません(しません)。私の会社とFIの関係の性質上、拒否することは実際には選択肢ではありません。私が見ることができるものから、ほとんどのIPアドレスはテクノロジー企業に属しているように見えます。
このアプローチは疑わしいと思いますか?ここでソーシャルエンジニアリングが行われていますか?脅威の性質は何でしょうか?
別のチャネルでFIに話しかけた場合、実際にFIに話しかけ、彼らはこれについて知っている場合、定義上、フィッシングではありませんです。
奇妙なことに私を驚かすのは、「しかし、彼らはこれ以上の情報を提供することはできません(提供しない)」、「拒否することは本当に選択肢ではありません」です。 これら2つの事実は共存できませんあなたがFIとは別のエンティティである場合。
プッシュバックは簡単です。ファイアウォールポリシーでは、ルールを確認/削除するために正当な理由とend-dateが必要です。ファイアウォールルールを追加するだけではなく、組織外の誰かから指示されたからです。 FIは、それらのIPをブロックすることが運用に影響を与える可能性があるかどうかはわかりません。
影響が何であるかを知らずにファイアウォールルールを追加することはありません、肯定的または否定的に。ファイアウォールをより細かく制御したい場合は、ファイアウォールを提供して管理することができます。
一方、彼らがあなたとリスクを所有している場合、彼らはこの変更のリスクを引き受けるので、ルールを追加します。
このリクエストを送信するディレクターに関しては、それほど奇妙ではありません。誰かが何かをする必要があるときは、最も影響力のある人にリクエストを出してもらいます。ディレクターはファイアウォールが何であるかを知らないかもしれませんが、要求はその人の名前で行われています。でも、どうしてそんなに強い影響力が必要なのかも知りたいです。彼らはあなたに自分自身を説明する必要がない間それをするように圧力をかけたがっているようです。彼らにあなたの方針とあなたがあなたの会社を最もよく守る方法を指示させないでください。
私はこれをソーシャルエンジニアリングの試みではなく、情報開示に関して非常に慎重なピアFIに傾けます。彼らはこれらのIPに関連するある種のインシデントを起こした可能性があり、さらに何かを開示したい段階ではありません。
次のように見てください。これから明らかに脅威のアクターは何を得る必要がありますか?
あなたは、IPの多くがテクノロジー企業に関連していると述べました。
組織自体は合法である可能性がありますが、それらを利用することはできますが、このFIからのさらなる情報がなければ、私は行動を起こしません。証明の負担はこのリストの送信者にあります。
これは事実上、低品質の脅威インテリジェンスです。指標が行動する価値があるという証拠はありません。
余談ですが、当面の間、これらのIPの監視を設定する方法はありますか?あなたの側での調査によって、これらがブロックに値するとされている理由を特定するために必要な情報が得られる可能性があります(一部のOSINTの掘り出しも、実りあるかもしれません)。
私のCFOは、特定のIPアドレスからのすべてのトラフィック(インバウンドおよびアウトバウンド)をファイアウォールでブロックする必要があることを通知する金融機関のディレクターからメールを受け取りました。金融機関のディレクターは、IT部門からこのメールを送信するようアドバイスを受けました。アドレスのリスト(約40)は、パスワードで保護された添付PDFに含まれていました。パスワードはテキストメッセージでCFOに送信されました。
これについて私が奇妙に思う唯一の部分は、C [〜#〜] f [〜#〜] Oがこれにまったく関与していることです。 CTO(または部下)は、機関や国家情報機関(FBI、CERTなど)間のサイバーインテリジェンスと情報共有を日常的に扱っています。
これは当初、CFOに感染したPDFを開かせる悪意のある試み、またはフィッシング/捕鯨の試みだと思っていましたが、合法であるようです。私たちはFIのIT部門に話しかけましたが、彼らはそれが本物であると言いましたが、彼らはこれ以上の情報を提供することはできません(しません)。私の会社とFIの関係の性質上、拒否することは実際には選択肢ではありません。私が見ることができるものから、ほとんどのIPアドレスはテクノロジー企業に属しているように見えます。
あなたの勤勉さは拍手に値します。それはもっともらしいベクトルです。
これらの「テクノロジー企業」とは何かを指定するのではなく、AWS、DigitalOcean、Linode、Vultr、Choopa、Hetzner、OVH、Veliaなどのようなものである場合は、次に、これらのハイテク企業(および急流のシードボックスを含む他の多くの小規模な企業)がボットネット、マルウェア、金融詐欺に日常的に関与していることを知っておく必要があります。共有ホスティングまたはVPSサービスを提供するものはすべて、攻撃を仕掛けるための可能なプラットフォームです。直接の経験から、HSA、W2、納税申告詐欺、およびKrebsのレポートのような他の詐欺ジャーナリストの多くは、このような安価なVPSサービスから起動されていることがわかります。
このアプローチは疑わしいと思いますか?ここでソーシャルエンジニアリングが行われていますか?
現在のインシデントに関する情報は、正式に(US-CERTメーリングリストへの公開を通じて、DIBNET、FS-ISACなどの機関の間で)、または、非開示可能な、ユーザーに起因しないFBIヒント。それが起こります。
FBIが発信元である場合、それらは通常、詳細またはコンテキストをほとんどまたはまったく提供しません。そのため、ツリーを揺さぶったり、それ以上の情報なしにアクションを実行することを拒否したりすると、上司にうまく受け入れられない場合があります。押し続けると、違反の前にStrutsへのパッチ適用を遅らせたEquifaxのshmuckのようになります。彼はバスの下に投げ込まれた最初の人でした。受け取った脅威インテリジェンスに基づいていくつかのIPブロックを実装するように義務づけるビジネス上の合意があるようです。早くやれよ。
繰り返しますが、CFOが受信者であるというのは、私にとって唯一の怪しい部分です。しかし、それは彼とその監督の間の既存の関係の性質によるものである可能性があります。
誰かがあなたがビジネスをしている会社のIPをブロックさせることによって混乱を引き起こそうとしていることは完全に可能ですが、それは遠く離れているようです-最悪の場合、小さな中断を達成するには多くの内部知識と努力が必要です。
脅威の性質は何でしょうか?
金融機関Xのディレクターは事件を知らされました。これらの40個のIPの1つ以上によって侵害されたか、外部ソースからの脅威に気付いた可能性があります。彼らは、企てが見た資格情報、要求されたエンドポイント、またはデータの引き出しを通じて、あなたの会社も潜在的なターゲットである可能性があるという証拠を観察したかどうかはわかりません。彼らはこの情報をあなたの会社と共有するのにふさわしいので、あなたは積極的な対策をとることができました。
あなたと私の間で、私はこのシナリオに飽き飽きしていません。これは、毎週月曜日(特に祝日の翌日)にメールボックスで見つけたものです。外国人の攻撃者は、数日間オフィスに誰もいないことがわかるまで待つのが大好きです。労働者の日が最後でした週間...)。
ブロックを実装する前に私がこれらのリストで個人的に行うことは、それらを私たちのログで実行し、同じアクターが私たちのシステムでどのような活動を行ったかを確認します。同じサブネット内のIPによるアクティビティを探します。提供されたIPは、すでにあなたをターゲットにしている可能性のあるものと同じではない可能性があります。時には、提供されたインテリジェンスの範囲内になかった妥協の証拠が明らかになります。
IT部門がIPをブロックする理由を知らないという事実と、CTOではなくFIの幹部がCFOと連絡を取っているという事実は、これがコンプライアンスの問題であることを示唆しています。
制裁措置、AML、またはテロ対策ブラックリストの実装に直面している可能性があります。おそらくPCI監査。
私は銀行で働いていましたが、コンプライアンス手順は非常に奇妙で、実装するのが難しい場合があります。対策自体の承認をコンプライアンスに求めることができます。
このアプローチは疑わしいと思いますか?
「私の会社とFIの関係の性質上、拒否することは実際には選択肢ではありません。 "
それは非常に興味深い発言です。結局のところ、その関係の詳細を明らかにするまでは、このアプローチが疑わしいかどうかは誰にも言えません。確かに、2社間の契約上の取り決めがこのシナリオをカバーしているように思えます。それが本当なら、それは疑わしいことではありません。
ここでソーシャルエンジニアリングが行われていますか?
そのように聞こえません。他社のIT部門が実際にこのリクエスト/注文を送信したことを口頭で確認した場合は、いいえ、これはソーシャルエンジニアリングの問題ではありません。
脅威の性質は何でしょうか?
多分他の会社はそれらの技術会社が浸透しているという証拠を持っています。たぶん、他の会社は、彼らのIPがそれらの会社によって盗まれるのではないかと単に心配しているだけかもしれません。誰が関与しているかを知らなければ、推測することは不可能です。