6 milliárd forintnak megfelelő eurót húztak le a Pepco magyarországi üzletágáról phising támadás keretében

Titkosítás, biztonság, privát szféra

Közel 6 milliárd forintnak megfelelő EUR-t húztak le a Pepco diszkont kisker üzletlánc magyarországi leányvállalatáról egy adathalász támadás keretében. A Pepco jelezte, hogy együttműködnek a bankokkal és hatóságokkal, de egyelőre nem tudni, hogy vissza tudják-e szerezni a pénzt vagy annak egy részét. A dolgok jelenlegi állása szerint ügyfél, beszállítói, munkavállalói adatok nem kompromittálódtak. Részletek a Reuters cikkében.

( trey | 2024. 02. 29., cs – 08:04 )

Szerkesztve: 2024. 02. 29., cs – 08:05

Tipikus forgatókönyv: utalós Jolánka kapott egy levelet, hogy a főni kéri utaljon át azonnal 15M EUR-t egy ismeretlen bankszámlaszámra. Az meg meg is tudta csinálni. Ez több kérdést is felvet:

  • hogy tud Jolánka egy személyben ekkora összeget mozgatni (ekkora tranzakciót legalább kettő vagy több embernek kell engedélyezni egymástól függetlenül)
  • miért nincs az utalandó tételek felett kontrolling
  • miért nincs napi limit
  • miért elég egy ember az utaláshoz
  • miért nincs képzés Jolánkák részére
  • ha Jolánka malicsusz volt, miért nincs rendes szűrés a felvételkor

Bármelyik a fentiek közül van, kb. az eset nem történik meg.

trey @ gépház

hogy tud Jolánka egy személyben ekkora összeget mozgatni (ekkora tranzakciót legalább kettő vagy több embernek kell engedélyezni egymástól függetlenül)

Ez bmeg, a tarsashazi szamlankrol nem tudok otezer forintot egyedul elutalni a csavonak, aki kimossa a kukakat, de bezzeg a 15M siman kiporog, hogyne.

PEBKAC.

Feltehetően a fentiek kizárása többe került volna az elmúlt 10 évben mint a lenyúlt és egyszer talán előkerülő 6 milliárd szerintem.

Ez viszont érdekes " Pepco Group has 248 stores in Hungary and had first-quarter revenue of 1.9 billion euros."

Ez csak Magyarország lenne? Mondjuk nem lepődnék meg rajta, mert hatalmasa forgalmuk, az összes boltban folyamatosan sorok vannak. Ez alapján az éves nyereségük legalább 200-800 millió (2,5-10%) között lehet így a kár farzsebes történet, de az biztos, hogy a kárnál sokkal többet fognak most infosec fejlesztésekre költeni.

Nem biztos, hogy ehhez a barlangban kell élni. Én sem tudtam, mi ez, mert még sosem találkoztam ilyen üzlettel. Attól, hogy kétszázvalahány üzletük van, még nem biztos, hogy szembejön bármelyik. Azt sem tudtam, hogy például a Billa egy csomó üzletet nyitott anno Magyarországon, mert ezek mind az országnak abban a felében voltak, ahova szökőévente (se) keveredek.

Sarabanes-Oxley előírások miatt ekkora cégnél már muszáj legalább formálisan megvalósítaniuk olyan rendszert, ahol egynél több ember kell az utalások jóváhagyásához. Az is meglepne, ha különféle ISO auditokat nem kéne évről-évre csinálniuk. Gondolom bankkártya elfogadás miatt PCI-DSS is rendszeresen befigyel.

Nyilván nem zárható teljesen ki, hogy következetesen csalással mentek át az auditokon, de nem hiszem. A cég vezetőségének is érdeke, hogy Jolánka egyedül ne tudja elvinni a cég pénzét, ha legkésőbb a compliance miatt muszáj egyszer kiépíteni a rendszert, akkor érdekük használni is.

Én inkább arra tippelek hogy valami szofisztikáltabb támadás volt. Egyszerre több embert becélozva.

Régóta vágyok én, az androidok mezonkincsére már!

Ennél azért lehet kifinomultabb is a támadás. Mondjuk a főnök e-mail fiókjához hozzáférést szereztek, megnézték, hogy mikor jön a következő beszállítótól a számla. 
Az eredeti számlát törölték, meghamisítottak egy másikat, másik számlaszámmal, és továbbították a fizetendő számlák utalásáért felelős részleg felé. Simán lehet, hogy hárman is aláírták, és a számlán szereplő árut is átvették, csak éppen nem oda fizettek, mint ahová kellett volna.

Nyilván ezt is ki lehet védeni (több különböző ponton is), csak arra akarok rámutatni, hogy nem feltétlenül egy ilyen nagyon egyszerű átverés áldozatai lettek, simán át lehet verni 3 aláírót is, ha meg tudod figyelni, hogyan működik a cég és a beszállítók kapcsolata.

Nagy Péter

Ez igaz, de hogyan kezelik le, ha az egyik beszállítónak mondjuk megváltozik a számlaszáma?
Egy ekkora forgalmú cégnél, ennyi beszállító mellett nem ismerheti az összes beszállítót személyesen, és nem is feltétlenül tudja felhívni mindet minden e-mail után. 

Nyilván ha mindenki ellenőrizne minden digitális aláírást, minden domaint, és megkövetelné minden e-mailen az érvényes PGP aláírást, akkor nehezebb lenne átverni a rendszert.

Félreértés ne essék, nem akarom mentegetni őket, és nem is tudom, hogy pontosan hogyan sikerült az átverésük, csak arra akartam rámutatni, hogy a fent felsorolt nagyon egyszerű átveréseken kívül is vannak még lehetőségek. És nyilvánvaló, hogy van náluk valamin nagyon súlyos hiányosság valamelyik munkafolyamatban, hiszen másképp nem lenne róluk ez a cikk. Csak arra akartam rámutatni, hogy nem feltétlenül annyira egyszerű a helyzet, hogy van egy Mancika, aki egymaga utalhat korlátlan összegben bárhová.

Nagy Péter

Az nem kérdés. Valószínűleg itt is szóltak. A kérdés az, hogy:

  • Kinek szólnak?
  • Milyen formában szólnak?
  • Milyen csatornán jut el attól a személytől az új számlaszám, akinek szóltak; ahhoz a személyhez, aki utalni fog?
  • Az, ahogyan eljut az információ a külső partnertől addig a személyig, aki utalni fog, végig védve van a külső fél által történő módosítások elől?
  • Mindenki ismer mindenkit személyesen, fel fogja hívni az e-mail kapcsán, és összeolvassák a számlaszámot, hogy valóban azt kapta-e, amit a másik küldeni akart?

Nagy Péter

Kérdés, hogy a tanúsított folyamat vajon deep-fake-elés ellen is védett-e? Nem olyan rég volt már cikk róla, ahol a scammerek komplett videokonferencia hívást raktak össze deepfake-elt kameraképekkel, hangokkal. Csak a megcélzott Jolánka (és Mancika, akinek jogosultsága volt ellenjegyezni Jolánka műveleteit) voltak igaziak a hívásban.

Érzésem szerint a szabályok itt eléggé csak rohannak az események után.

Régóta vágyok én, az androidok mezonkincsére már!

Az a baj, hogy kb ilyen Index-es szintű cikk volt róla. (Edit: ez volt az https://index.hu/kulfold/2024/02/13/hongkong-deepfake-atveres-csalas-adathalaszat-mesterseges-intelligencia-taylor-swift/) Szóval alig volt benne konkrét részlet. Annyira emlékszem, hogy állítólag a hívásban levő fake főnökök eléggé parancsolgató stílusban utasították a megtévesztett ügyintézőket, ami furcsa is volt nekik, de nem merték megkérdőjelezni az elhangzottakat. Én úgy gondolom ez jelentős részlet, mert a támadók valószínűleg nem tudták realtime generálni a deep-fake videót és hangot. Előre elkészített felvételt játszhattak be, de direkt úgy írták meg a scriptet, hogy ne adjanak lehetőséget a célszemélyeknek interakcióra, ami lebuktathatná őket. (Edit: a megtalált cikkben ez utóbbi nem szerepel, valahol máshol olvastam, de ugyanerről az esetről)

Nyilván ez idővel sajnos fejlődni fog.

Régóta vágyok én, az androidok mezonkincsére már!

  • Kinek szólnak?

Akivel az adott cegnel kapcsolatban vannak, jo esellyel ez a beszerzes vagy az AP.

  • Milyen formában szólnak?

Utoljara amihez kozom volt, ott a havi 80k (forintot!) beszamlazo partner majdnem fel evig irta ra minden honapban a szamlara az uj szamot, es parhuzamosan futtatta a kettot. Megvan ennek a modja.

  • Milyen csatornán jut el attól a személytől az új számlaszám, akinek szóltak; ahhoz a személyhez, aki utalni fog?

Na, hat az a hatmilliardos kerdes! :)

  • Az, ahogyan eljut az információ a külső partnertől addig a személyig, aki utalni fog, végig védve van a külső fél által történő módosítások elől?

Idealis esetben igen, a partner vettinget nem ugyanaz a szemely csinalja, mint az utalas engedelyezeset.

  • Mindenki ismer mindenkit személyesen, fel fogja hívni az e-mail kapcsán, és összeolvassák a számlaszámot, hogy valóban azt kapta-e, amit a másik küldeni akart?

Nem muszaj, de 15 millio euronal mar csak megemeled a telefont, ha egyik honaprol a masikra hirtelen mashova kerik az utalast.

Nem muszaj, de 15 millio euronal mar csak megemeled a telefont, ha egyik honaprol a masikra hirtelen mashova kerik az utalast.

Azt például magam is sok helyen tapasztaltam, hogy ha valakinek változik az adata, azt 3 körös ellenőrzés előzi meg, de ha egy új beszállító adatait rögzítik frissen, akkor azt már nem ellenőrzik olyan alaposan, simán berögzítik egy e-mail alapján.  

Nagy Péter

de ha egy új beszállító adatait rögzítik frissen, akkor azt már nem ellenőrzik olyan alaposan, simán berögzítik egy e-mail alapján.  

Cegfuggo. Nalunk tobb honapos volt a vetting folyamat, mire a partner egyaltalan bekerulhetett a rendszerbe, es lehetett neki PO-t kuldeni.

( tornai | 2024. 02. 29., cs – 09:28 )

Szerkesztve: 2024. 02. 29., cs – 09:34

A beosztott (Jolánka) lehet hogy hibázott, lehet hogy nem. Talán inkább igen.

Az viszont egészen biztos, hogy Jolánka főnöke hibázott. Mert olyan embert tett oda, aki nem tudta jól ellátni a munkáját. Jolánka főnökének a főnöke is hibázott, mert nem tudott olyan beosztottat választani, aki jól tudott volna pénzügyes Jolánkát választani. És így tovább. Remélem mindegyik (up to a vezérigazgatóig, beleértve őt is, a group ceot és a felügyelőbizottság összes tagját is mondjuk) kap egy fejmosást. Mert ők mind hibáztak az előbb levezetett gondolatmenet miatt. Egy főnök felelős minden alatta történt dologért. Azért is ami 10 szinttel alatta történik. Az összes sikerért is, az összes hibáért is.
Mondjuk a sikerért be is jelentkeznek, szóval félig már minden jól működik. :)

Ez így nagyon szépen hangzik és egy ideális világban így is lenne.

Gyakorlatilag Jolánka ha mezei alkalmazott volt akkor repül, talán még valami pert is kap a nyakába, főnöke kap egy ejnye-bejnyét és itt meg is áll a dolog.

Ha Jolánka a vezetőségből valakinek lánya/nője/unokahúga akkor megússza egy fegyelmivel és minden megy tovább, esetleg átrakják másik részlegbe ahol lehet még jobban is keres majd.

Remélhetőleg mindkét esetben felülvizsgálják a folyamatot ami lehetővé tett egy ekkora bakit és javítják.

 

Én is szeretném ha nem így lenne, de sajnos inkább ez a realitás, de én lennék a legboldogabb ha nem lenne igazam.

Azért a józan paraszti ész hiányát nehéz ám kimagyarázni! Jolánka esetén is ... Ha nekem el kéne utalni 15M (de akárcsak 15E) EUR-t egy nem ismert, sehol nem rögzített bankszámlaszámra, minimum 3x ellenőriztetném 3 különböző emberrel ...

Ne kenjük már a felelősséget! Aki pénzzel dolgozik, annak kutya kötelessége ez.

trey @ gépház

De az hogy a folyamat védőhálója nem létezik arról nem Jolán tehet

De, sajnos tehet róla. Ha én ekkora összegekkel dolgoznék, látnám, hogy a folyamat szar, magam vinném a főnökömhöz a listát, hogy ezzel kezdjenek valamit, de kurva gyorsan. Majd ha arra jön a terelés írásban, azt kinyomtatnám és biztos helyre eltenném. Gond esetén meg elővenném.

trey @ gépház

A józan paraszti ész meg igencsak elszomorítóan kipusztuló trendet mutat.

Valószínűleg nem Jolán volt a legélesebb kés a fiókban és ezt tudta a főnöke is. Ha nem, az még nagyobb baj.

1. HR+Főni odafigyel hogy ne NPC-t vegyen fel ilyen felelősséggel járó melóra

2. Cég odafigyel hogy az olcsón dolgozó NPC ha elcsesz valamit akkor ne legyen belőle qrva nagy balhé

Főnökére is rá lehet húzni, ha bizonyítottan tudott erről. Sajnos olyat is láttam már, hogy volt folyamat, két aláíró kellett függetlenül, de Jolánkának sürgős dolga akadt, ezért a fizikai tokenjét odaadta Gizikének, így neki kettő volt. Ugye pont az lett volna a lényeg, hogy ne legyen egy embernél a kettő.

Ha erről senki sem tudott, akkor nehéz valakit elővenni. Ha a folyamat szar, akkor szar volt az audit is ...

trey @ gépház

akkor meg miért nem világították át őt rendesen? az se feladata senkinek egy ilyen pozíció esetén? melyik főmanager feladata lett volna az általad jelzett védelmek/ellenőrzési pontok bevezetése? egyiké sem? :) nincs felelős, max Jolánka. ugye (?)

Egyszer szóbakerült hogy esetleg mi van ha team lead lennék... elmeséltem hogy mik az elképzeléseim: dönthessek hogy kikkel dolgozok együtt, cserébe mindenért amit a csapat csinál vállalom a felelősséget. Arról is biztosítom a felettem lévőket, hogy minden rendben fog menni, de ha mégsem nem, akkor bármiért számonkérhetnek. Volt értetlenkedés, az utolsó kérdésemre választ sem kaptam: "Hogy vállalhatnák felelősséget olyanokért, amiknek a kiválasztásába nincs beleszólásom?" Nem is kértek fel végül ('meglepő') és nem is vállaltam volna. Ez nem a kivétel, hanem a a szabály.

Hát ez van... Akkor leszek jólfizetett 'szakértő', aki csak arra ügyel, hogy a saját 'optikája' jó legyen.

( khiraly | 2024. 02. 29., cs – 09:29 )

Szerkesztve: 2024. 02. 29., cs – 09:30

neztem a Reuter cikket, de nem talaltam benne reszleteket.

Annyi a plusz info, hogy az euro mar egy dollarnyit se er.

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

( asm v | 2024. 02. 29., cs – 10:09 )

Nekem az is fura, hogy nagy cegeknel tenyleg vannak olyan folyoszamlak, amin egyben sok-sok millio EUR (milliard forint) csucsul arra varva hogy Jolankak utalgassanak rola?

A Reuters cikk amúgy sem ír le semmit, csak hogy phishing attack. De hogy a klasszikus social engineering volt (fenti, Jolánkás scenario), vagy valami higher up gépére telepítettek keyloggert, aztán a hivatalos úton küldték a gazdaságisnak szépen lassan az utalásokra az utasítást, azt nem kötik az orrunkra (és valószínűleg a Reutersére sem).

( buccaneers v | 2024. 02. 29., cs – 12:06 )

The Beekeeper (2024)

alapján kaphattak ötletet.

For Whites Only meeting room!

( Oregon | 2024. 02. 29., cs – 14:39 )

Nalam a számlalikvidációs folyamat része, hogy NAV-tól letöltött számlát összevetjük/párosítjuk a beérkezettel. Amikor ez nem megy valamiért, akkor is egy háromlépcsős folyamat aminek a végén én vagyok. Utolsó 20 évben egyszer ment végig false adat, de ismerős cégnek ment, így hamar visszakaptuk.

( bartaszili | 2024. 02. 29., cs – 21:15 )

Minimalista cég ez, nem sokat áldoznak bármire is mert maximum hasznot kell kihúzni mindenből. Szerencsétlen dolgozóikat szarrá szivatják éhbérért. Ezt azok mesélték akik ott melóznak, melóztak. Úgyhogy kb. 800 különböző ponton szét lehet szivatni a rendszereiket feltételezem. És nemsokára kiderül majd hogy mindent vittek nem csak a zsét.

( n.balazs v | 2024. 03. 01., p – 17:35 )

Ahol:
- Let's encrypt a weboldal tanúsítványa
- a meghirdetett rengeteg állásnál képtelenek feltüntetni, hogy melyik boltjukba is keresik
ott semmin sem csodálkozom.

éppen nem automata:

Kiállítva 2023. december 3., vasárnap 8:10:52

Lejár: 2024. március 2., szombat 8:10:51

 

jelenleg lejárt, érvénytelen.

 

Egyébként nem sok köze kellene hogy legyen back office IT-hoz a weboldaluknak.

For Whites Only meeting room!

Nem értem miért lenne red flag, én az üzemeltetési oldalon vagyok, örülnék ha csak 1 cert-el kellene foglalkozni, főleg úgy, hogy most már 2 év helyett csak 1 évig érvényesek (köszi Apple)... Ha lehet Wildcard certünk van, azaz ha van több subdomain (pld. kutya.allat.hu és macska.allat.hu domainjeink vannak, akk elég 1 a *.allatt.hu-ra, de a sziami.macska.allat.hu miatt kellene mégegy, akár mégegy wildcard.)

Előfeltételek:
- Fizetsz egy cégnek a tanúsítványért évente / 2 évente / whatever.
- A tanúsítvány OV vagy EV validált legyen, ne DV-s.
- A régi és az új tanúsítvány érvényességében legyen átfedés (praktikusan napokban / hetekben mérhető legyen).
- A titkos kulcs csak az ügyfélnél van, biztonságos formában (védve, jelszóval etc.).

Megújítási folyamat:
1. A TSP a tanúsítvány lejárata előtt x nappal értesít (praktikusan 30 vagy 60 nap). Ez az első értesítés.
2. A TSP küld második értesítést is (pl: 1 héttel a tanúsítvány lejárata előtt és/vagy akkor is, ha még nem töltötték le az új tansit).
3. Az ügyfél rendszergazdája belép a TSP weboldalára, ahonnan letöltheti a megújított tanúsítványt.
4. A rendszergazda ezután ezt a tanúsítványt feltölti a cég saját tanúsítvány / konfiguráció deployment rendszerébe.
5. A rendszer automatikusan teríti a tanúsítványt a cél rendszerekre (akár újra is indítja a service-eket vagy reloadolja, ha kell) - akár a CI/CD mintája alapján. Ha terítési hiba van, akkor még időben riaszt (pl: 1-2 héttel korábban).
6. A monitoring rendszert is átparaméterezi, ha szükséges. Ideális esetben nem kell, mivel a cfg mgmt rendszer bedolgozik a monitoring rendszerbe is vagy a monitoringban lévő szabályok észszerűen lettek összerakva.

Ha ez rendesen össze van rakva, akkor kb. évente / 2 évente max. fél órás munka ez a megújítási folyamat.

Ami általában hibádzani szokott:
- Nincs normális monitoring.
- A monitoring nincs felkészítve a PKI-val kapcsolatos paraméterek figyelésére (cert. lejárat, issuer, CRL, OCSP stb.).
- A monitoring nem tudja figyelni alkalmazás szinten, hogy minden rendben van-e (pl: a webalkalmazás előtt lévő HTTPS-t termináló LB állapotát nem figyeli vagy nem riaszt, ha az alkalmazással gond van).
- A cégeknél nincs PKI-hoz értő ember. Még mindig szürke folt sok helyen. Igen, a multiknál is hibádzik ez.
- Nincs cfg mgmt rendszer.
- Nincs certificate deployment rendszer. Ez lehet akár Ansible+Git alapú is vagy akár Zookeeper is. Persze van erre 100e USD+ -os rendszer is, csak össze lehet ezt legózni olcsóbban is.
- Félnek, amikor kiderül, hogy 1 cert hiba 100+ szervert / rendszert tud megborítani. Ezért is kell tanúsítvány alapú szeparáció (+IT security miatt) - a wildcard nem csodaszer.
- Nincs CI/CD rendszer. Így nem is értik, hogy hogyan kellene automatizálni.

"automatizálni" - kontra "Az ügyfél rendszergazdája belép a TSP weboldalára, ahonnan letöltheti a megújított tanúsítványt"

Ami a felsoroltakon kívül még hibádzani szokott: van 234 cert 123 alkalmazásban, természetesen pem, der, jks és egyéb extrém formátumban - random lejárati időkkel...

Az automatizálás nem azt jelenti, hogy nem lehetnek benne manuális lépések. Nem csak a 2 véglet létezik.
Ráadásul a "túlautomatizáció" veszélyeket is rejt magában.

És mi a gond ennyi certtel, alkalmazással, formátummal? A JKS is szépen kezelhető parancssorból. Ezek mind jól kezelhetőek. Ekkora méretekben (234 cert 123 alkalmazásban) már úgyis van valaki, aki a PKI + IAM + IDM infrát kezeli (jó esetben).

Ahol meg extrém igények vannak, oda enterprise megoldások kellenek. Ja, hogy az keményen fizetős... Pl: Sectigo CLM, Servicenow, Netscaler ADM.

( Hiena v | 2024. 03. 02., szo – 17:19 )

Ez is egy módszer a hiány eltüntetésére..

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

( buccaneers v | 2024. 03. 05., k – 09:06 )

Én a céget sajnálom - mert elég karitatív cég:

- a lányom alapítványa kapott a Pepcotól támogatást, abból béreltek buszt és nézték meg gyerekkel a Csodák Palotáját, szerveztek programokat, béreltek buszt stb.

Ugyan idén lesz-e támogatás ??

Az IT-t megérdemelné, hogy a hajó alatt áthúznák őket..

For Whites Only meeting room!