3 viktiga lärdomar: Cyberattack mot en resebyrå

Cyberattacker in action: Del 2

Författare: Christer Spörndly
Datum: 09.03.2016
Lästid: 4 Minuter

Cyberangripare, oavsett om det är kriminella, hacktivister eller statliga aktörer; vet att personer som reser mycket i jobbet troligtvis är förmögna individer. Det vill säga personer som ofta är på chefsnivå eller liknande viktiga personer värda att inrikta sig mot.

Naturligtvis, att inrikta sig mot dom individuellt är bara ett sätt göra det på. De kan också attackera resebyrån direkt. Vilket är mycket mer logiskt för en som ska attackera i alla fall.

Resebyråer vet mycket om dig. Dom har din e-postadress, ditt telefonnummer, din kreditkortsinformation, passuppgifter, destinationer, restider, de vet vilket hotell du kommer att bo på. Ja, allt. Att ha all den informationen tillgänglig gör dessa företag till väldigt intressanta mål.

Under enbart 2015 har det skett flertalet attacker just mot resebyråer. En av de mest beryktade är hacket mot en av Kinas största: resebyrån Ctrip och den amerikanska reseplattformsleverantören Sabre. Det har också varit en stor attack mot en stor resebyrå i Australien som heter Aussie Travel Cover. Jag erkänner att dessa tidigare nämnda fall gäller stora multinationella resebyråer, och att deras hack fick stor medial uppmärksamhet. Men mindre organisationer är ändå inte immuna mot cyberattacker, dom syns bara inte i rubrikerna.

ETT FALL MED EN LITEN RESEBYRÅ I USA

Under 2014 fick en liten USA-baserad resebyrå sitt CRM och bokningssystem hackat, vilket medförde att företaget låg nere i nästan två veckor.

Även om vi inte vet den exakta finansiella påverkan, vet vi att företagets två veckor nere inte är något man skryter om. Dessutom, att få hjälp av experter med att rensa och återställa systemen kostar lätt upp till $25 000, för att inte nämna legala och finansiella kostnader som uppstår. Någon kommer trots allt att behöva ersätta den utsattes kostnader.

Även om det blev en ganska hård smäll för ett litet företag, var själva attacken inte speciellt sofistikerat utförd.

När jag tittar i bloggar från industrin utsattes resebyrån för en attack genom ett sårbart Java plugin. När det väl var infekterat laddades mer skadlig kod ner, som gav de som utförde cyberattacken full access till resebyråns dator. Därifrån kunde angriparna röra sig till andra datorer och till resebyråns boknings och CRM system där kreditkortsnummer lagrades för att vara lätt tillgängliga.

Och som med de flesta av dom här attackerna används dessa kreditkortsnummer för kriminella ändamål, genom ren tur kontaktade en av resebyråns kunder dom efter bara några dagar om en misstänkt debitering vilket startade en utredning.

SÅ VAD KAN VI LÄRA OSS FRÅN DESSA ATTACKER?

  1. Få till grunderna rätt: Attacker baserade på webbläsare är ett av de mest vanliga verktygen i verktygslådan för cyberkriminella. Att hålla din surfning på internet ren med webbläsarskydd, script- och annonsblockering och liknande teknologier är en viktig start.
  2. Håll programvaran uppdaterad: Alternativt kasta all programvara som inte används och stäng av funktioner som inte är nödvändiga. Den stora andelen av attacker inträffar genom att utnyttja befintliga sårbarheter hos programvaror. Genom att hålla dina programvaror uppdaterade (speciellt webbläsare och plug-ins) kan du motverka den största andelen av attacker. Eller ännu bättre, gör dig av med sårbara programvaror som Flash, Java och Silverlight.
  3. Säkra CRM systemet: Allmänt talat, ta bort kritiska system från ditt nätverk eller lägg en luftspalt emellan om du kan. I det här fallet med resebyrån kan vi lätt tänka oss att det systemet måste vara online för att kunna göra reservationer med mera. Även om det är svårare att säkra ett sådant system, så finns det en del enkla steg du borde ta.
    • Begränsa vad en anställd kan göra i systemet. Till exempel, agenter kan behöva uppdatera individuella kreditkort, men aldrig nå alla.
    • I fallet med resebyrån hade agenten obegränsad möjlighet att surfa, vilket ökar risken för infektioner påtagligt. Därför är det logiskt att begränsa agentens access till enbart nödvändiga sidor på datorer som är kopplade till de kritiska systemen.
    • Tillåt inte direkt access till backend systemen, utan ha hellre ett API emellan som begränsar vad som kan göras från klienten, föredragsvis endast till sådant som absolut måste finna för att kunna göra jobbet.

CYBERATTACKER IN ACTION:

Bloggposten är den andra i en serie av poster [Del 1], [Del 3], [Del 4], där vi tittar på riktiga attacker mot företag. Den är inspirerad från vår kommande eBook (också del av en pågående serie), som heter: CYBER SECURITY DEMYSTIFIED: Securing Business Operations. Du kan skaffa boken här: Läs boken


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s