Slik fungerer Nettvern Bedrift i praksis

I del 1 av denne posten viste jeg hvordan Nettvern Bedrift fungerer. Her vil jeg vise med et praktisk eksempel hvordan tjenesten fungerte under et reelt angrep mot norske bedrifter.

1

21. september 2016 begynte både kundeservice, abuse-avdelingen og TSOC (Telenor Security Operations Centre) å få inn meldinger om en mistenkelig e-post som ga seg ut for å være fra Telenor.

Phishing
Det viste seg raskt at e-posten var sendt ut av kriminelle. Brukere som trykket på lenken i e-posten, ble sendt til en side som så ut som en av de ekte sidene på Telenors eget nettsted.

Der ble de servert malware i form av en trojaner kalt Gozi. Trojaneren var forkledd som en faktura og brukeren ble lurt til selv å installere denne. Gozi er en såkalt “bank-trojaner” som stjeler sensitiv informasjon fra PCen som bank-informasjon, lagrede brukernavn og passord og logger alt som blir skrevet på tastaturet.

2

Personene bak e-posten hadde kort tid i forveien registrert flere adresser som de brukte til å servere malwaren til brukeren. E-postene hadde derfor varierende lenker: telenor[.]vc, telenor[.]space, telenor[.]host, mytelenor[.]website, mytelenor[.]site, mytelenor[.]online og mytelenor[.]pw.

Effektiv blokkering av farlige nettadresser
Etter hvert som disse adressene ble kartlagt ble de lagt inn i Nettvern Bedrift, og kunder med denne tjenesten var fra da av beskyttet mot trusselen.

Det neste steget i etterforskningen av saken var å blokkere adressen som Gozi-trojaneren brukte for å rapportere inn dataene den stjal fra infiserte PCer. Malwaren ble undersøkt i TSOCs malware-lab, og der kom det fram at adressen “sacpetitionedseparation.ru” ble kontaktet.

Nettvern Bedrift

Operatøren prøvde deretter å legge denne adressen inn i nettvern, men det viste seg snart at adressen allerede var blokkert! Én av våre leverandører av svartelister hadde allerede fått tak i en liste over fremtidige adresser som Gozi-trojaneren skulle bruke. Kundene var derfor allerede beskyttet mot denne trusselen.

En god grunnbeskyttelse
Jeg håper at disse to artiklene viser hvor lett det er å bruke Nettvern Bedrift og at den kan være en effektiv hjelper for å unngå sikkerhetshendelser hos deg og blant dine kolleger. Tjenesten gir hele tiden en god grunnbeskyttelse, og hos Telenor følger jeg og andre spesialister med på trusler som går spesifikt mot Norge, for å gjøre tjenesten mest mulig relevant for norske bedrifter.

Les mer om Nettvern Bedrift på telenor.no.