YOU ARE THE WEAKEST LINK A PEAK INTO MODERN DAY CYBER CRIME

Transkript

1 A PEAK INTO MODERN DAY CYBER CRIME

2 COGNOSEC WER WIR SIND IT-Security Dienstleister Spezialist für Penetrationstests und Applikationssicherheit Implementierung ganzheitlicher IT-Sicherheitslösungen PCI DSS Services (QSA, ASV, P2PE...) Langjährige Erfahrung in den Sektoren e-commerce, Payment, Gaming, Banking Unternehmenssitz in Wien, Niederlassungen in Stockholm, London, Dubai, Johannesburg

3 ANZAHL DATENDIEBSTÄHLE PER KATEGORIE STARKER TREND BEI HACKING UND SOCIAL ENGINEERING Source: 2014 Verizon Data Breach Report

4 DATENDIEBSTÄHLE PER KATEGORIE STARKER TREND BEI POS INTRUSIONS, WEB ATTACKEN UND CYBER-SPIONAGE Source: 2014 Verizon Data Breach Report

5 VERLUST PRO DATENSATZ VERURSACHT DURCH DATENDIEBSTAHL Source: 2014 Cost of Data Breach Study: Global Analysis

6 DAS JAHR DER HACKS HACKS IN DEN LETZEN MONATEN AshleyMadison.com US Office of Personell Management LOT Airline LastPass Samsung Ebay Experian / T-Mobile Hacking Team IRS Kaspersky Lab U.S. Army Source:

7 WIE EIN HACK ABLÄUFT DER VEREINFACHTE PROZESS Information gathering Probing Exploitation

8 MITARBEITER, PROZESSE, TECHNOLOGIE WELCHES IST DAS SCHWÄCHSTE GLIED IN DER KETTE? PROCESSES PEOPLE TECHNOLOGY

9 ALTERNATIVE ANGRIFFSVEKTOREN TECHNOLOGIE Malware QR Codes Keylogging Devices Wireless Network/AP Spoofing (Evil AP) Etc. Infecting Service Providers Arduino-Based Attack (False USB Sticks)

10 ANGRIFFSVEKTOREN MITARBEITER Social Engineering Spear Phishing Telephone Spoofing SMS Spoofing QR Codes Keylogging Devices Bad USB Evil AP Watering Holes Malware

11 ALTERNATIVE ANGRIFFSVEKTOREN PROZESSE Hacked apple icloud process of calling and changing passwords Password reset processes Keycard replacement

12 DEMONSTRATION EVIL ACCESS POINT THEORIE Sniff Wi-Fi Network Names Dynamically respond and create Wi-Fi Networks All traffic of connected devices is now routed through Evil Multiple Attack Vectors

13 DEMONSTRATION EVIL ACCESS-POINT ANGRIFFSVEKTOREN Nutzernamen und Passwörter abfangen WebSite Nutzernamen und Passwörter abfangen Umleitung auf gefälschte Webseiten (z.b. Firmenportal) Gefälschter Update-Server und Malware-Download Installation von Profilen und Zertifikaten Abfangen und Cracken von WiFi-Passwörtern

14 DEMO

15 ZUR SICHERHEIT LÖSCHEN WIR ALLE GESAMMELTEN DATEN

16 LESSONS LEARNT Heutzutage sind Mitarbeiter das schwächste Glied Es gibt eine vielzahl von Agriffsmöglichkeiten Sensitive Information von Mitarbeiter zu stehlen ist einfach möglich Was kann man als Mitarbeiter gegen Taktikenwie Evil AP tun? Offene Netze nicht verwenden Multi-Faktor Authentifizierung verwenden VPN Verbindungen nutzen Zertifikatswarnungen kritisch betrachten So weit wie möglich alle sensitive Daten verschlüsseln

17 WE WANT YOUR FEEDBACK! Please complete your session evaluation within the MRC mobile app or return a paper evaluation on your way out. **Insert session title here** Speakers: Name, Company Key Takeaways 1) Takeaway 1 2) Takeaway 2 3) Takeaway 3 4) Takeaway 4 THANK YOU