fastestinfo
Гость
На днях со мной поделились очень интересной историей, которую я хотел бы рассказать как кейс, однако без упоминания конкретики:
Поломали компанию, угнав немалые средства. Конкретика известна не вся, обстоятельства также. Поэтому и ответов на возникшие странности и вопросы пока не найдено. Тем не менее.
Известно, что "сломали как-то через VPN". Полагаю, что скорее всего был заход по социальной инженерии, через вредонос подгружается программа удаленного доступа. Либо же брут торчащего наружу клиента, либо слив учеток, инсайдер и тд - вариантов масса. Но интереснее дальше - идет последний этап: пора угонять деньги со счета компании, но тут для подтверждения транзакции нужно ввести код из смс.
Смс приходит на корпоративный номер мобильного телефона. Сама трубка лежит в офисе. И вот в пятницу вечером происходит транзакция. И до свидания несколько миллионов.
Выясняется: SIM-карту деактивировали и восстановили через оператора, показав КОПИЮ документов правообладателя. Ломали, говорят, из-за рубежа, но нашли здесь человека, который сходит в салон и провернет процедуру.
На этом вся имеющаяся информация, однако вопросов больше, чем ответов:
1) Неужели какой-то оператор может сделать восстановление SIM-карты при предоставлении копии документов другим лицом? Ну очевидная же подстава. Скорее всего, это запрещено всеми возможными внутренними правилами
2) Как именно получили первоначальный доступ - не так интересно. Вариантов масса.
3) Откуда у рандомных атакующих информация о правообладателе SIM-карты - понятно, тут может и глазик подсказать. Иногда хороший OSINT по компании приоткрывает завесу к подобного рода "тайнам".
4) Но копия документов... Это, понятно, вполне реально. Но это уже более серьезный уровень... Тут видимо заморочились и купили "пробив". Нажива то все равно покроет расходы. Но все равно удивляет.
После такого невольно задумываешься, что неплохо бы в SIEM-ке сделать alert на случай неожиданной потери мобильной сети корпоративным телефоном))
Вопросы коллегам: как бы вы расследовали подобный кейс? С чего бы начали? Возможно ли привлечь сотрудника салона оператора сотовой связи за подобные действия?
Поделитесь, пожалуйста)
Поломали компанию, угнав немалые средства. Конкретика известна не вся, обстоятельства также. Поэтому и ответов на возникшие странности и вопросы пока не найдено. Тем не менее.
Известно, что "сломали как-то через VPN". Полагаю, что скорее всего был заход по социальной инженерии, через вредонос подгружается программа удаленного доступа. Либо же брут торчащего наружу клиента, либо слив учеток, инсайдер и тд - вариантов масса. Но интереснее дальше - идет последний этап: пора угонять деньги со счета компании, но тут для подтверждения транзакции нужно ввести код из смс.
Смс приходит на корпоративный номер мобильного телефона. Сама трубка лежит в офисе. И вот в пятницу вечером происходит транзакция. И до свидания несколько миллионов.
Выясняется: SIM-карту деактивировали и восстановили через оператора, показав КОПИЮ документов правообладателя. Ломали, говорят, из-за рубежа, но нашли здесь человека, который сходит в салон и провернет процедуру.
На этом вся имеющаяся информация, однако вопросов больше, чем ответов:
1) Неужели какой-то оператор может сделать восстановление SIM-карты при предоставлении копии документов другим лицом? Ну очевидная же подстава. Скорее всего, это запрещено всеми возможными внутренними правилами
2) Как именно получили первоначальный доступ - не так интересно. Вариантов масса.
3) Откуда у рандомных атакующих информация о правообладателе SIM-карты - понятно, тут может и глазик подсказать. Иногда хороший OSINT по компании приоткрывает завесу к подобного рода "тайнам".
4) Но копия документов... Это, понятно, вполне реально. Но это уже более серьезный уровень... Тут видимо заморочились и купили "пробив". Нажива то все равно покроет расходы. Но все равно удивляет.
После такого невольно задумываешься, что неплохо бы в SIEM-ке сделать alert на случай неожиданной потери мобильной сети корпоративным телефоном))
Вопросы коллегам: как бы вы расследовали подобный кейс? С чего бы начали? Возможно ли привлечь сотрудника салона оператора сотовой связи за подобные действия?
Поделитесь, пожалуйста)