Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Nu finns två jobbannonser ute: it-säkerhetsspecialist och junior systemadministratör.

Publicerad

Begränsa Phishing – Vad? Hur? När? Var? Vem?

I den här delprocessen behandlas begränsning och avbrott av pågående attack, minimering av spridning samt insamling av bevis för vidare analys.

Följande punkter behandlas:

Begränsa eller avbryta en Phishing-attack

Det är sällan en organisation kan avhjälpa en Phishing-attack helt på egen hand. För att avbryta eller begränsa en attack så behövs det ofta hjälp av andra organisationer så som ISP:er, CERT:ar, Polismyndigheter samt "Hosting providers". Därför är god kommunikation och bra kontakter med sådana organisationer en förutsättning för att underlätta hanteringen av en incident.

För att underlätta vid en attack så är det viktigt att ha gått igenom de förebyggande stegen i incidenthanteringsprocessen för phishing.

Om organisationen vill ta ärendet vidare för polisanmälan så är det viktigt att spara så mycket loggar som möjligt för bevisföring. Det här är en väldigt känslig del i incidenthanteringsprocessen. Det är ytterst viktigt att följa rätt rutiner för insamling, behandling och förvaring av data som ska användas som bevis.

Under denna delprocess dyker frågor upp som handlar om polisanmälan, egna undersökningar för att hitta och åtala förövaren. CERT-SE behandlar inte dessa frågor utan beskriver dem lite kortfattat och i de fall där det behövs, hänvisar till andra externa parter som kan hjälpa till.

Vad kan CERT-SE bidra med?

  • Notice & takedown
  • Kontakter
  • Information
  • Samordning
  • Råd och rekommendationer
  • Insamling av data
  • Analys av insamlat data
  • Ta fram information om IP-adresser

Förutsättningar och terminologi

Förutsättningar för att hantera en Phishing-attack innebär vanligen att ett förebyggande arbete är gjort. Vilket vanligen inkluderar kontakter med ISP:er, CERT:ar, polismyndigheter, programvarutillverkare m.fl.

Notice & Takedown = Begäran om hjälp av nedtagning av system

Mail header = Brevhuvud (innhåller avsändares och inblandade e-postservrars IP-adresser samt domännamn)

RBL = Realtime Blackhole List

Insamling av information från situationen

Genomgång av frågor kring den eventuella incidenten för att analysera läget och fastställa vilka åtgärder som är eller inte är vidtagna.

För att kunna avgöra hur eller om man ska avbryta incidenten så är det viktigt att sätta sig in situationen. Det finns ett antal parametrar som är avgörande för hur organisationen kan hantera avbrytandet av en incident.

Nedan följer några frågor som bör ställas i ett tidigt skede.

  • Vad är det för typ av attack?

  • Vad har organisationen gjort för att att begränsa/avbryta attacken?

  • Är någon ISP kontaktad?
  • Är någon CERT kontaktad?

Insamling av data

(se även under Identifiera Intrång)

Det är viktigt att få tillgång till allt data, så som phishing-mail med alla "mail headers" (http://www.spamcop.net/fom-serve/cache/19.html), kontouppgifter, webbsidor, loggar, trafikdata (läs mer under Notice & Takedown)

Analys av insamlat data

  • Ta fram information om IP-adresser och domäner för att senare används vid "notice & takedown"
  • Analysera loggar för att se vilka IP-adresser som besökt phishing-sidan

Metoder för att begränsa eller avbryta attacken

I det här fallet så används Notice & Takedown för att åtgärda problemet. Vilket innebär att kontakta ISP:er, TLD:er, CERT:ar eller andra inblandade organisationer för att ta bort phishing-sidor från nätet.

  • Anmäl spam-servern till RBL-listor som Spamhaus och Robtex
  • Kontakta eventuella kunder till organisationen
  • Polisanmälan
  • Kontakta ISP för den angripande IP-adressen
  • Kontakta TLD för den angripande domänen