Jobbet utsatt för intrång - vilka ska man anlita för att se över säkerheten? (Stockholm)

Permalänk
Hedersmedlem

Jobbet utsatt för intrång - vilka ska man anlita för att se över säkerheten? (Stockholm)

För att fatta mig kort så har vi på senaste tiden haft problem med säkerheten på jobbet, någon/några tar sig in på vår gemensamma mail och skickar saker till våra partners, har loggat in på en partners konto i vårat system, samt har nu också ringt upp från en kollegas nummer trots att hans dator var avstängd (vi kör en digital telefonilösning, inga fysiska lurar).
Detta trots flera byten av lösenord, tvåstegsverifiering, genomscanningar av alla datorer etc.

Vi känner lite att de som organisationen på högre nivå anlitat för att administrera vår IT kanske inte riktigt har stenkoll, plus att allt sker remote, så vi undrar om det kanske vore en idé att ha in någon på plats som kan kolla igenom allt ordentligt.

Det är lite svårt att veta vart man ska vända sig, så har ni några rekommendationer på experter inom IT-säkerhet i Stockholm så skulle det uppskattas!

Visa signatur

CPU: Intel i5-4670K MB: Asus Maximus VI Gene RAM: Patriot Viper3 16GB 2133MHz CL11 GPU: Zotac GeForce GTX 780 PSU: Corsair AX860 Chassi: Silverstone Temjin TJ08-E Kylning: Corsair H80i Lagring: 1x Samsung 840 Pro 256GB, 2x Seagate Barracuda 3TB (döda efter 3,5 år), 1x Seagate Firecuda 2TB, 1x Seagate Barracuda 2TB

Permalänk

Hej

Har också råkat med problemet angående mailen.
I det fallet var det att flera mailadresser blivit "kända" på nätet.
Alltså firstname.lastname@company.com

Vad personen gjorde var att använda våra mailadresser och generera mail från sin egen server för att sedan skicka till riktiga mailadtesser internt hos oss med en en text och en länk man ska trycka på.

I ditt fall är det svårt att veta så jag låter det vara osagt.

Angående er ip telefoni så är detta ett större problem.
Jag tolkar din text att ni kör softphone på era datorer?

Om din kollegas dator var avstängd men någon har ändå ringt ett externt pstn samtal är allvarligt.
Då har någon kommit över username/password samt proxy kontot använder för anslutning mot växeln.
Detta kan ske på olika sätt hur den informationen kan tänkas hamna i fel händer.

Om ni har konton som någon kan ha kommit över måste ni spärra dessa omgående i växeln.
Kan vara någon som använder ert konto och ringer dyra betalnummer utomlands. Var med om en incident där operatören såg misstänksam trafik och ringde bolaget och spärrade/dödade samtalet.

Äger ni växeln själva eller kör ni växeln som Cloud hos en operatör?

Permalänk
Medlem

Sentor och Certezza är mina favoriter. Båda är riktigt, riktigt vassa inom IT-säk och jag kan genom egen, mångårig erfarenhet, rekommendera båda dessa bolag.

Permalänk
Hedersmedlem
Skrivet av Multicast:

Hej

Har också råkat med problemet angående mailen.
I det fallet var det att flera mailadresser blivit "kända" på nätet.
Alltså firstname.lastname@company.com

Vad personen gjorde var att använda våra mailadresser och generera mail från sin egen server för att sedan skicka till riktiga mailadtesser internt hos oss med en en text och en länk man ska trycka på.

I ditt fall är det svårt att veta så jag låter det vara osagt.

Angående er ip telefoni så är detta ett större problem.
Jag tolkar din text att ni kör softphone på era datorer?

Om din kollegas dator var avstängd men någon har ändå ringt ett externt pstn samtal är allvarligt.
Då har någon kommit över username/password samt proxy kontot använder för anslutning mot växeln.
Detta kan ske på olika sätt hur den informationen kan tänkas hamna i fel händer.

Om ni har konton som någon kan ha kommit över måste ni spärra dessa omgående i växeln.
Kan vara någon som använder ert konto och ringer dyra betalnummer utomlands. Var med om en incident där operatören såg misstänksam trafik och ringde bolaget och spärrade/dödade samtalet.

Äger ni växeln själva eller kör ni växeln som Cloud hos en operatör?

Mailen kommer från vår adress och har skickats till många av våra partners både i Sverige och utomlands, som du säger kan det ju vara så att de maskerar adressen med våran och inte faktiskt kommit in på vårt mailkonto, svårt att veta.

Ang. telefonen så kör vi vad jag förstått via en operatör, så med rätt login bör man kunna ringa från vilken dator som helst vilket tyder på stulna användaruppgifter. Men de har inte ringt betalnummer, istället har de ringt våra partners och utgett sig för att vara kollegan som numret tillhör varpå de påstår att något är fel och de behöver information etc från partnern alternativt att de säger att de behöver köra teamviewer/remote desktop, så de försöker ju ta sig in hos dem med.

Av någon anledning kan operatören inte bistå med en lista över vilka IP'n eller liknande de loggat in eller ringt ifrån, allt vi fått i nuläget är en lista på vilka samtal de ringt. Men det kontot är iaf blockat nu och kan inte göra fler samtal.

Skrivet av stimy09:

Sentor och Certezza är mina favoriter. Båda är riktigt, riktigt vassa inom IT-säk och jag kan genom egen, mångårig erfarenhet, rekommendera båda dessa bolag.

Tack så mycket, ska föreslå dem för chefen.

Visa signatur

CPU: Intel i5-4670K MB: Asus Maximus VI Gene RAM: Patriot Viper3 16GB 2133MHz CL11 GPU: Zotac GeForce GTX 780 PSU: Corsair AX860 Chassi: Silverstone Temjin TJ08-E Kylning: Corsair H80i Lagring: 1x Samsung 840 Pro 256GB, 2x Seagate Barracuda 3TB (döda efter 3,5 år), 1x Seagate Firecuda 2TB, 1x Seagate Barracuda 2TB

Permalänk

Operatören kan garanterat se vilket ip som skickar iväg en sip invite till mottagaren.
Troligtvis kör avsändaren vpn och maskar sitt riktiga ip.
Varför operatör inte vill lämna ut kan bero på flera saker.
Kan vara så pass att man gör en polisanmälan och polis begär ut uppgifter från operatören i en förundersökning.

Permalänk
Hedersmedlem
Skrivet av Multicast:

Operatören kan garanterat se vilket ip som skickar iväg en sip invite till mottagaren.
Troligtvis kör avsändaren vpn och maskar sitt riktiga ip.
Varför operatör inte vill lämna ut kan bero på flera saker.
Kan vara så pass att man gör en polisanmälan och polis begär ut uppgifter från operatören i en förundersökning.

Mjo, tänkte också att det borde finnas loggar så att antingen vet inte personen vi talade med om att det går eller så ville han inte säga att det går, men man kan ju tycka att om det krävs en polisanmälan så kunde han ha sagt det i så fall.
Om jag förstått rätt så har mailen "från oss" skickats från ett IP som tillhör en av våra partners som också haft intrång, så det hade varit intressant att veta om även samtalen gått via samma IP.

Visa signatur

CPU: Intel i5-4670K MB: Asus Maximus VI Gene RAM: Patriot Viper3 16GB 2133MHz CL11 GPU: Zotac GeForce GTX 780 PSU: Corsair AX860 Chassi: Silverstone Temjin TJ08-E Kylning: Corsair H80i Lagring: 1x Samsung 840 Pro 256GB, 2x Seagate Barracuda 3TB (döda efter 3,5 år), 1x Seagate Firecuda 2TB, 1x Seagate Barracuda 2TB

Permalänk
Medlem

Kan även rekommendera TrueSec https://www.truesec.com som har ruggigt kompetent personal.
Är det brådis så använd länken https://www.truesec.com/incident/

Lycka till !

Visa signatur

//Dixon

Permalänk
Hedersmedlem

Det behöver inte vara så att er telefonilösning är hackad. Går att fejka nummerpresentatör.

Skickades från m.sweclockers.com

Permalänk
Hedersmedlem
Skrivet av Dixon:

Kan även rekommendera TrueSec https://www.truesec.com som har ruggigt kompetent personal.
Är det brådis så använd länken https://www.truesec.com/incident/

Lycka till !

Tack, lägger till dem bland förslagen!

Skrivet av pv2b:

Det behöver inte vara så att er telefonilösning är hackad. Går att fejka nummerpresentatör.

Förvisso, men nu kunde vi ju faktiskt få en lista över vilka nummer som ringts så jag förutsätter att det gått via oss/vår operatör.

Visa signatur

CPU: Intel i5-4670K MB: Asus Maximus VI Gene RAM: Patriot Viper3 16GB 2133MHz CL11 GPU: Zotac GeForce GTX 780 PSU: Corsair AX860 Chassi: Silverstone Temjin TJ08-E Kylning: Corsair H80i Lagring: 1x Samsung 840 Pro 256GB, 2x Seagate Barracuda 3TB (döda efter 3,5 år), 1x Seagate Firecuda 2TB, 1x Seagate Barracuda 2TB

Permalänk
Medlem
Skrivet av Phukkitt:

Mjo, tänkte också att det borde finnas loggar så att antingen vet inte personen vi talade med om att det går eller så ville han inte säga att det går, men man kan ju tycka att om det krävs en polisanmälan så kunde han ha sagt det i så fall.
Om jag förstått rätt så har mailen "från oss" skickats från ett IP som tillhör en av våra partners som också haft intrång, så det hade varit intressant att veta om även samtalen gått via samma IP.

Om det finns personuppgifter inblandat i händelsen så bör det polisanmälas och kanske också till datainspektionen.
enligt GDPR skall det göras inom 72 timmar från upptäckt. Idag är personuppgifter iom. GDPR väldigt vitt begrepp där både telefonnummer och email-adresser räknas, kort sagt allt som i slutändan kan identifiera en viss person - så förmodligen går det hela in under GDPR...

Nu kommer det inte saktionsavgifter på €20 miljoner för att ni missat på detta, men avgiften finns för att visa att man inte tar lätt på detta och att man inte skall försöka dölja och tysta händelsen och det hela blir i konsekvens värre...

polisanmälan kan också krävas innan ISP och olika operatörer börja lämna ut uppgifter och det kan vara en av orsakerna till att man inte grävt djupare hos berörda samarbetspartner.

Samtidigt förstår jag att man inte vill skrika på vargen på vaga premisser och dra igång en hel och kostsam utredningsapparat när man inte vet om det finns någon varg att jaga... - och frågan är var man sätter gränsen...

dock skadar det nog inte att rådfråga polisen (rådgör med inhyrda säkerhetsfirman, de vet förmodligen bättre vilka steg och mått som skall göras)) och de får ta beslut om en anmälan skall upprättas eller inte, inte för att det händer så mycket därifrån men viktigt för senare juridiska steg om man hittar något.

Permalänk
Medlem

Conscia Netsafe är dom första som jag kan tänka mig att ha expertis att köra lite forensics.
Har samarbetat med dom på andra frågor än säkerhet, men med mängden experter dom har, så tvivlar jag inte att dom klarar av uppgiften.

https://www.conscia-netsafe.se/losningar/it-sakerhetsanalys/

Visa signatur

Bosna u <3

I7-6700K :-: 16gb DDR4 :-: ASUS 1080TI :-: MSI Gaming Carbon :-: NH-U14S :-: FD R5 :-: Seasonic X 760W

Permalänk
Skrivet av Phukkitt:

Mailen kommer från vår adress och har skickats till många av våra partners både i Sverige och utomlands, som du säger kan det ju vara så att de maskerar adressen med våran och inte faktiskt kommit in på vårt mailkonto, svårt att veta.

Har någon kollat på mail headern? Det borde framgå rätt tydligt om det kommer ifrån rätt server eller inte. Maskat eller ej.

Det är ju inte bara ett hopp som syns då det borde gå att kolla hur allt ligger till rätt enkelt.

Permalänk
Medlem

Det är löjligt hur pass lågt dessa människor är villiga att gå och vilka de angriper, jag jobbar för ett vårdföretag och vi har flera gånger fått uppmaningar om att inte lita på någon som t.ex uppger sig ringa från ett företag vi har IT-supportavtal med, utan det gäller alltid att vi ska ringa dem först även om numret de ringer från stämmer överrens med företaget vi jobbar med. Samma med e-post, inga länkar ska klickas på etc oavsett vem avsändaren ser ut att vara.

Spoofing är ett stort säkerhetsproblem då dagens system för telefoni och e-post helt enkelt inte är byggda för säker verifiering. Jag är ingen expert men förmodar att enda sättet att undvika denna typ av attacker är att ha VoIP-system som inte är anslutna till vanliga telenätet, samt mailservrar som är interna över t.ex VPN.

Har inte blivit uppringd av "Microsoft customer support" på flera år, kanske det här är vad de sysslar med nuförtiden?

Visa signatur

Nummer ett: CPU: Ryzen 3800X. GPU: Asus Strix RTX 2080 ti MB: Asus ROG Strix X570 Gaming.RAM: 16GB G.Skill Flare X DDR4 3200Mhz CL14. Kylare: NZXT Kraken X62. PSU: Seasonic Prime Ultra 850W Titanium. Chassi: Phanteks Enthoo Evolv XSkärm: Asus PB287Q (4K),

Bärbara: Acer Aspire V Nitro VN7-591. CPU i7 4710HQ. RAM: 8GB 1600Mhz DDR3. GPU GTX 860M.

Permalänk
Medlem

@Phukkitt:
Om ni har bra backuprutiner och disasterplan så återställ allt från en tidigare kopia för att vara mer "säker" på att inget ligger kvar och lurar. Är troligen också billigare än att anlita någon som ska gå genom allt. Det är halvt omöjligt att kunna kontrollera allt (beroende på hur komplext system ni kör med) för att kunna vara säker på att få bort det. Tråkigt att lägga 5-6 siffrigt belopp på en kontroll och sedan kommer det tillbaka. I kombination med detta så byts alla lösenord, Överallt.

Om ni har Har en plan för detta, eller eran IT-leverantör. Annars så är det nog dags att sparka ut dem och byta leverantör.

Edit: Om ni "bara" har problem med att någon ringer från erat system och det fortsätter trots lösenordsbyte så kan det ju vara som någon nämnt att de bara spoofar. Kolla i mailheadern. Om inget annat skett så kan det vara värt att utforska den biten innan totalåterställning Börja med att byta lösenord på alla konton som har med telefonen att göra. Var det bara samtal från ett å samma nummer hela tiden?
De kan ju ha kommit över en del information via mailen så det är stor chans att det finns loginuppgifter mm till mycket om det är tillgång till allas mail. Så överväg en total återställning med lösenordsbyten överallt.

Visa signatur

.

Permalänk
Hedersmedlem
Skrivet av xxargs:

Om det finns personuppgifter inblandat i händelsen så bör det polisanmälas och kanske också till datainspektionen.
enligt GDPR skall det göras inom 72 timmar från upptäckt. Idag är personuppgifter iom. GDPR väldigt vitt begrepp där både telefonnummer och email-adresser räknas, kort sagt allt som i slutändan kan identifiera en viss person - så förmodligen går det hela in under GDPR...

Nu kommer det inte saktionsavgifter på €20 miljoner för att ni missat på detta, men avgiften finns för att visa att man inte tar lätt på detta och att man inte skall försöka dölja och tysta händelsen och det hela blir i konsekvens värre...

polisanmälan kan också krävas innan ISP och olika operatörer börja lämna ut uppgifter och det kan vara en av orsakerna till att man inte grävt djupare hos berörda samarbetspartner.

Samtidigt förstår jag att man inte vill skrika på vargen på vaga premisser och dra igång en hel och kostsam utredningsapparat när man inte vet om det finns någon varg att jaga... - och frågan är var man sätter gränsen...

dock skadar det nog inte att rådfråga polisen (rådgör med inhyrda säkerhetsfirman, de vet förmodligen bättre vilka steg och mått som skall göras)) och de får ta beslut om en anmälan skall upprättas eller inte, inte för att det händer så mycket därifrån men viktigt för senare juridiska steg om man hittar något.

Polisanmälningar är gjorda då de kommit över resurser från oss och ett par av våra partners. De har även tagit sig in hos en av våra konkurrenter fick jag reda på idag.

Skrivet av zeleni:

Conscia Netsafe är dom första som jag kan tänka mig att ha expertis att köra lite forensics.
Har samarbetat med dom på andra frågor än säkerhet, men med mängden experter dom har, så tvivlar jag inte att dom klarar av uppgiften.

https://www.conscia-netsafe.se/losningar/it-sakerhetsanalys/

Tack, lägger dem på listan med.

Skrivet av Math-ematics:

Har någon kollat på mail headern? Det borde framgå rätt tydligt om det kommer ifrån rätt server eller inte. Maskat eller ej.

Det är ju inte bara ett hopp som syns då det borde gå att kolla hur allt ligger till rätt enkelt.

Vet ej faktiskt, det enda jag vet i nuläget är att vi på något vis kunde se vilket IP det var skickat från och det visade sig komma från en av våra partners som också haft intrång.

Skrivet av fragwolf:

@Phukkitt:
Om ni har bra backuprutiner och disasterplan så återställ allt från en tidigare kopia för att vara mer "säker" på att inget ligger kvar och lurar. Är troligen också billigare än att anlita någon som ska gå genom allt. Det är halvt omöjligt att kunna kontrollera allt (beroende på hur komplext system ni kör med) för att kunna vara säker på att få bort det. Tråkigt att lägga 5-6 siffrigt belopp på en kontroll och sedan kommer det tillbaka. I kombination med detta så byts alla lösenord, Överallt.

Om ni har Har en plan för detta, eller eran IT-leverantör. Annars så är det nog dags att sparka ut dem och byta leverantör.

Edit: Om ni "bara" har problem med att någon ringer från erat system och det fortsätter trots lösenordsbyte så kan det ju vara som någon nämnt att de bara spoofar. Kolla i mailheadern. Om inget annat skett så kan det vara värt att utforska den biten innan totalåterställning Börja med att byta lösenord på alla konton som har med telefonen att göra. Var det bara samtal från ett å samma nummer hela tiden?
De kan ju ha kommit över en del information via mailen så det är stor chans att det finns loginuppgifter mm till mycket om det är tillgång till allas mail. Så överväg en total återställning med lösenordsbyten överallt.

Backup verkar tyvärr vara bristfällig, och utan att säga för mycket så är det redan en kostsam situation. De som sköter vår IT gör det inte huvudsakligen från Sverige samt utstrålar väl inte direkt superkompetens inom ämnet säkerhet, iaf inte de personerna som vi normalt har med att göra, så därav kanske det kunde vara bra att få någon på plats som kan bilda sig en bra uppfattning över hur situationen faktiskt ser ut och vad som behöver göras.

Ni får ursäkta att jag är lite vag, vill inte råka säga något som jag kanske inte borde, dels då jag är ny på företaget och inte har stenkoll på allt men också då polisanmälningar är gjorda samt att våra partners är inblandade.

Visa signatur

CPU: Intel i5-4670K MB: Asus Maximus VI Gene RAM: Patriot Viper3 16GB 2133MHz CL11 GPU: Zotac GeForce GTX 780 PSU: Corsair AX860 Chassi: Silverstone Temjin TJ08-E Kylning: Corsair H80i Lagring: 1x Samsung 840 Pro 256GB, 2x Seagate Barracuda 3TB (döda efter 3,5 år), 1x Seagate Firecuda 2TB, 1x Seagate Barracuda 2TB