Beveiligingstest Prompts Federale Fraud Alert

Een gesanctioneerde beveiligingstest van een bank computersystemen hadden deze week enkele onverwachte gevolgen, waardoor het federale agentschap dat toezicht houdt op Amerikaanse kredietverenigingen een fraudewaarschuwing geeft.

Op dinsdag waarschuwde de National Credit Union Administration (NCUA) alle federaal verzekerde kredietverenigingen van een valse brief dat een niet-benoemde credit union had samen met twee cd's ontvangen. De valse brief beweerde dat de cd's NCUA-trainingsmateriaal voor fraudebestrijding bevatten, maar in haar fraudewaarschuwing waarschuwde de NCUA dat het uitvoeren van de cd's "kan resulteren in een mogelijke inbreuk op de beveiliging van uw computersysteem of andere nadelige gevolgen kan hebben."

Alleen bleek dat de cd's niet door fraudeurs waren verstuurd. Ze werden verstuurd door medewerkers van MicroSolved, een bedrijf in beveiligingstesten in Columbus, Ohio. "Het was onderdeel van een aantal social engineering die we aan het doen waren in een volledig gesanctioneerde penetratietest," zei MicroSolved CEO Brent Huston in een e-mailbericht.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Bedrijven zoals MicroSolved worden routinematig ingehuurd om onafhankelijk de veiligheid van bedrijven en overheidsinstellingen te testen.

Penetratietesters gebruiken vaak zogenaamde social engineeringtechnieken als onderdeel van hun beveiligingsonderzoek. Met social engineering doet de aanvaller zich gewoonlijk voor als een legitieme partner of medewerker om werknemers te misleiden om hun computersystemen te compromitteren of gevoelige informatie te onthullen. "Social engineering-oefeningen maken deel uit van de meeste van onze beoordelingen," zei Huston.

De woordvoerder van de NCUA, John McKechnie, had niet veel te zeggen over de alertheid van zijn organisatie. In een korte e-mail donderdag schreef hij: "op dit moment lijkt dit een geïsoleerde gebeurtenis te zijn."

Zelfs als de dreiging die de NCUA-waarschuwing veroorzaakte niet was gebaseerd op een echte aanval, bevat de waarschuwing goede informatie, volgens Johannes Ullrich, hoofdonderzoeker bij het SANS Institute, een veiligheidsopleidingsgroep. "Het is een goede les," zei hij. Volgens hem handelden alle partijen in de oefening vrijwel zoals ze zouden moeten doen. De bank 'meldde het aan hun controlerende instantie, die vervolgens deze waarschuwing op basis van het uitdeed.'

Californië Credit Union League Directeur van onderzoek en informatie, Rita Fillingane, zei dat de waarschuwing nog steeds nuttig was, zelfs als het niet was op basis van een daadwerkelijke criminele daad. "In de toekomst zou zoiets de snoek in kunnen slaan," zei ze.

Toch zei Ullrich dat hij geen weet heeft van gevallen waarin nep-cd's daadwerkelijk werden gebruikt om een ​​computernetwerk te compromitteren.

Hij zei dat hij in eerste instantie zeer geïnteresseerd was toen hij de oorspronkelijke NCUA-waarschuwing zag. "Ik dacht: 'Eindelijk is dit in het wild, omdat ik het alleen eerder in pentests heb gezien.'"