19.4.17

InterContinental Hotels Group reveals ‘how it minimized recent malware attack’


The InterContinental Hotels Group (IHG) claims the implementation of its Secure Payment Solution (SPS) has helped to minimize a recent data breach that may have affected as many as 1,000 of its branches of hotels across the Americas.
The group confirmed in February that it had suffered a data breach towards the end of 2016, adding that malware had been used in an attempt to steal payment card data from the front desks at certain IHG branded hotels across the region.
The malware worked by searching for track data – which often contains sensitive information like cardholder names, numbers and expiration dates – from the magnetic stripes of credit and debit cards.
The group says there is no evidence to suggest that any other guest information was at risk.
After hiring a cybersecurity firm to investigate the incident, IHG discovered that while there was no evidence that payment card data had been accessed after December 29, 2016, the eradication of malware was not confirmed until affected properties were investigated between February and March of this year.
Nevertheless, the group claims that the implementation of its SPS system helped to reduce the potential damage done by the attack.
Working as a point-to-point encryption payment acceptance solution, the SPS technology ensured the malware was not effective in accessing card data, meaning that cards used at these locations were safe.
IHG has already released a list of affected IHG franchise locations, along with respective time frames.
In its statement, it added that it is working closely with payment card networks, along with cybersecurity experts, in a bid to confirm whether malware had been completely eradicated.
The group said it is also looking at ways in which the security measures of franchisees can be evaluated, adding that law enforcement has also become involved.
Nevertheless, the news of IHG’s ability to minimize the effects of malware by way of its SPS technology is likely to catch the attention of other companies looking to further safeguard their own systems.

Turn the light on and give me your passwords!

Android users were the target of another banking malware with screen locking capabilities, masquerading as a flashlight app on Google Play. Unlike other banking trojans with a static set of targeted banking apps, this trojan is able to dynamically adjust its functionality.
Aside from delivering promised flashlight functionality, the remotely controlled trojan comes with a variety of additional functions aimed at stealing victims’ banking credentials. Based on commands from its C&C server, the trojan can display fake screens mimicking legitimate apps, lock infected devices to hide fraudulent activity and intercept SMS and display fake notifications in order to bypass two-factor authentication.
The malware can affect all versions of Android. Because of its dynamic nature, there might be no limit to targeted apps – the malware obtains HTML code based on apps installed on the victim’s device and uses the code to overlay the apps with fake screens after they’re launched.
The trojan, detected by ESET as Trojan.Android/Charger.B, was uploaded to Google Play on March 30 and was installed by up to 5,000 unsuspecting users before being pulled from the store on ESET’s notice on April 10. 

Figure 1 – The trojan on Google Play
How does it operate?
As soon as the app is installed and launched, it requests device administrator rights. Users with Android 6.0 and above also need to manually permit usage access and drawing over other apps. With the rights and permissions granted, the app hides its icon, appearing on the device only as a widget.
The actual payload is encrypted in the assets of the APK file installed from Google Play, evading detection of its malicious functionality. The payload is dropped, decrypted and executed when the victim runs the app.
The trojan first registers the infected device to the attackers’ server. Apart from sending device information and a list of installed applications, the malware gets up close and personal with its victims – it also attaches a picture of the device owner taken by the front camera.
If the sent information indicates the device is located in Russia, Ukraine or Belarus, the C&C commands the malware to stop its activity – most likely to avoid prosecution of the attackers in their home countries.
Based on the apps found installed on the infected device, the C&C sends corresponding fake activity in the form of a malicious HTML code. The HTML is displayed in WebView after the victim launches one of the targeted apps. Legitimate activity is then overlaid by a fake screen requesting a victim’s credit card details or banking app credentials.
However, as mentioned before, specifying what apps qualify as “targeted” is tricky, as the requested HTML varies based on what apps are installed on the particular device. During our research, we’ve seen fake screens for Commbank, NAB and Westpac Mobile Banking, but also for Facebook, WhatsApp, Instagram and Google Play.
The credentials inserted into the fake forms are sent unencrypted to the attackers’ C&C server.
As for the device locking, we suspect this function enters the picture when cashing out the compromised bank accounts. The attackers can remotely lock devices with a fake update lookalike screen to hide fraudulent activity from victims, as well as to ensure they can’t interfere.

To communicate with C&C, the trojan misuses Firebase Cloud Messages (FCM), which is the first time we’ve seen Android malware using this communication channel.
Based on our research, the app is a modified version of Android/Charger, first discovered by Check Point researchers in January 2017. Unlike the first version that primarily extorted victims by locking their devices and demanding a ransom, the attackers behind Charger are now trying their luck with phishing for banking credentials – an evolution rather rare in the world of Android malware.
With its fake login screens and locking capabilities, Android/Charger.B also bears some resemblance to the banking malware we discovered and analyzed in February. What makes this latest discovery more dangerous, however, is the fact that its target can be dynamically updated, as opposed to being hardcoded in the malware – opening unlimited options for future misuse.
Has my device been infected? How do I clean it?
If you’ve recently downloaded a Flashlight app from Google Play, you might want to check if you haven’t accidentally reached for this trojan.
The malicious app can be found in Setting > Application Manager/Apps > Flashlight Widget.

While locating the app is simple, uninstalling it is not. The trojan tries to prevent this by not allowing victims to turn off the active device administrator – a necessary step for removing the app. When trying to deactivate the rights, the pop-up screen doesn’t go away until you change your mind and click “activate” again.
In such a case, the app can be uninstalled by booting your device into Safe mode, which will enable you to go through the following two steps to remove the malicious app.
See video below for instructions:
How to stay safe
To avoid dealing with the consequences of mobile malware, prevention is always the key.
Whenever possible, opt for official app stores when downloading apps. Although not flawless, Google Play does employ advanced security mechanisms to keep malware out, which isn’t necessarily the case with alternative stores.
When in doubt about installing an app, check its popularity by the number of installs, its ratings, and, most importantly, the content of reviews.
After running anything you’ve installed on your mobile device, pay attention to what permissions and rights it requests. If an app asks for permissions that don’t seem adequate to its function – like device administrator rights for a Flashlight app – you might want to rethink your choice.
Last but not least, use a reputable mobile security solution to protect your device from latest threats.

18.4.17

2SQRS lanceert een fonds van €35 miljoen om te investeren in veel belovende “ tech startups”, die actief zijn in Nederland, België en het Verenigd Koninkrijk.


2SQRS – een ‘human-tech’ bedrijf gevestigd in Amsterdam – lanceert hun eerste investeringsfonds genaamd 2SQRS Venture Fund. Het is een fonds van €35 miljoen dat investeert in “ early-stage startups” die een belangrijke rol spelen in de digitalisatie binnen de domeinen E-commerce, Logistiek, Fintech, Smart City, en Internet of Things.

CEO van 2SQRS, Xander van der Heijden, gaat dieper in op de visie achter het 2SQRS Venture Fund: “De digitale mens van vandaag is meer en meer technologie gedreven en eist real-time, intuïtieve ervaringen met technologie. Wij focussen ons op “ tech startups” die een gepersonaliseerde omni-channel ervaring bieden. Van nieuwe verkooppunten en interfaces zoals “ Virtual- & Augmented Reality”, tot betaalmethodes en slimme levering van goederen.

Onze formule voor het grootmaken van succesvolle startups gaat verder dan simpelweg een kapitaalinvestering doen. Wij willen de volgende golf van Europese multinationale ‘tech’ bedrijven bouwen. Degene die niet alleen op de nieuwe generatie van menselijke verwachtingen anticiperen, maar ook daadwerkelijk creëren. Om dit na te streven zorgen wij ervoor dat onze portfolio bedrijven de juiste voorwaarden en tools tot hun beschikking hebben – van hun werkplek en een op maat opgestelde groei tactiek, tot ontwikkelingscapaciteit en integratie van de laatste technologische ontwikkelingen.”

Na investering, werkt 2SQRS  actief samen met alle geselecteerde startups van het fonds. In een unieke formule vervult het bedrijf de rol van zowel een investeerder als venture builder om het groeipotentieel te maximaliseren en te zorgen voor schaalbaarheid van de startups. Dit betekent een passende mix van strategisch advies, gewaagde designoplossingen en eventuele ontwikkelcapaciteit.

Het 2SQRS Venture Fund is opgezet in samenwerking met Ariadne Capital, een in het Verenigd Koninkrijk gevestigde investeringsmaatschappij. Eerder deze maand heeft Ariadne Capital het Ecosystem Economics® Investment Platform (ECO2 Investment Platform) gelanceerd – het eerste Europese ‘plug and play’ investeerdersplatform. 2SQRS is de oprichtingspartner van dit platform en tevens het eerste fonds dat gebruik maakt van deze infrastructuur. Het ECO2 Investment Platform is in het leven geroepen om het voor grote vermogensbeheerders aantrekkelijk te maken om te kunnen investeren in de groei en positieve rendementen van de Europese venture capital markt, met een gezonde risicospreiding.

Over 2SQRS

2SQRS brengt mensen en technologie samen in digitale ervaringen. Het bedrijf opereert vanuit haar drie labels – Studio, Lab en Venture. De Studio maximaliseert het digitale potentieel van ondernemingen door het realiseren van een digitale strategie, het ontwerpen van nieuwe businessmodellen en het ontwikkelen van digitale oplossingen. Het Lab is een onderzoek gedreven incubator dat experimenteert met opkomende technologieën zoals VR/AR, IoT & Blockchain en hiervoor samenwerkt met tech universiteiten, startups en bedrijven. Venture investeert in, en stelt een portfolio samen van 20 early stage tech ventures.


10 conseils pour préparer votre organisation au RGPD


 Le RGPD (Règlement Général sur la Protection des données) qui entrera en vigueur le 25 mai 2018, aura non seulement un impact sur tous les pays membres de l’Union Européenne mais aussi sur les pays qui traitent des données concernant les citoyens de l’UE.

Bien que la mise en vigueur effective de cette réglementation ne se produise que dans un peu plus d’un an, DMA a mené une enquête démontrant que plus d’un quart (26%) des dirigeants pensent que leur entreprise n’est pas préparée au RGPD. Dès lors, que peuvent faire les entreprises pour s’assurer qu’elles sont en conformité ? Voici 10 conseils très simples que les entreprises peuvent suivre.

1.       Organiser la mise en conformité
L’an dernier, dans un blog, Steve Wood, chef de la stratégie et de l’information internationale au Bureau du Commissaire à l’Information (ICO), a modéré les préoccupations au sujet du Brexit en affirmant « qu’une fois implémentée dans l’UE, le RGPD sera d’application pour de nombreuses organisations au Royaume-Uni ».

Bien que le Royaume-Uni se prépare à quitter l’UE, un grand nombre de ses entreprises et organisations devront pourtant se conformer au RGPD car elles travailleront encore avec des données de citoyens de l’UE.

Concernant les autres pays de l’UE, il sera bien entendu important pour toutes les organisations qui traitent des données concernant les citoyens de l’UE de planifier en amont l’intégration de ce nouveau règlement. Il convient dès lors de mettre en place un plan d’action pour la mise en conformité avec la loi, et ce, en commençant par cartographier les données et les risques qu’elles encourent.

2.       Sensibiliser les collaborateurs
Il est important que tous les décisionnaires d’une organisation soient informés des implications du RGPD et de ce que cela représente pour leurs activités quotidiennes.  
Selon l’enquête Gigamon 2017, seulement 41% des professionnels de l’IT ont déclaré être « complètement informés » des implications du RGPD alors que 9% a indiqué n’en avoir aucune idée.
Ces chiffres démontrent clairement qu’il y a encore beaucoup de travail et d’efforts à faire pour que toutes les organisations soient réellement bien informées.
De plus, informer et éduquer l’ensemble des salariés de son organisation sur la modification des usages, va devenir essentiel afin d’éviter les mauvaises pratiques.

3.       Déterminer la façon dont une organisation traite les données
Sous la Directive de Protection des données de l’UE actuelle, ce ne sont que les contrôleurs de données qui sont responsables de la conformité en matière de protection des données.
Cependant, comme l’explique ICO, le RGPD place également des obligations statutaires directes sur ceux qui traitent les données. Il est donc important d’établir si une organisation n’effectue que du traitement de données ou que du contrôle tout en gardant à l’esprit qu’elle pourrait faire les deux.
Effectuer un audit des méthodes utilisées actuellement est une des meilleures façons de se préparer au RGPD. Cela signifie qu’une compréhension approfondie de la manière dont une organisation traite les données est primordiale.

4.       Examiner toutes les facettes du traitement des données dans une organisation
Il est important de savoir où les données personnelles sont stockées avant d’évaluer la sécurité de cet endroit, ainsi que d’être informé sur la ou les personnes en charge du contrôle de ces données. Il est d’une crucial d’impliquer le département IT dans ce processus afin d’avoir des précisions supplémentaires et d’avoir une meilleure évaluation des ressources réelles de son organisations.

5.       Examiner les violations de données antérieures
Examiner toutes les violations et/ou fuites de données antérieures fournira une image précise des capacités d’une organisation à réagir à des attaques futures et donnera une meilleure idée des possibilités qu’offrent les procédures existantes pour répondre à des exigences futures.
Une des mesures exceptionnelles qui sera introduite par le RGPD est la notification suite à une fuite de données. Les organisations devront signaler ces violations/fuites dans un délai maximum de 72 heures après leur découverte. Elles devront être accompagnées d’informations sur la nature et le degré de sévérité de l’attaque. 
Les amendes et sanctions en cas de non-conformité seront importantes (2 à 4% du chiffre d’affaires annuel ou 20 à 40 millions d’€) et visent à motiver les organisations à s’impliquer dans leur mise en conformité.

6.       Nommer un Data Protection Officer (DPO)
Selon l’IAPP, les Data Protection Officers seront indispensables pour le secteur public ou les organisations qui traitent régulièrement et à grande échelle des données personnelles. Le DPO travaille de manière indépendante et rapportera au plus haut niveau de direction dans l’organisation. Sa principale responsabilité est d’avoir une compréhension parfaite du RGPD et d’implémenter les exigences requises afin d’obtenir l’accord de toutes les parties impliquées.

7.       Etre informé en matière de règles concernant le droit des personnes
Un des éléments clefs de la GDPR est le renforcement du droit des personnes concernées, y compris le droit à l’oubli et la portabilité des données. Ceci signifie qu’une organisation peut être amenée à fournir des données qui iront à la concurrence.
Les entreprises étant obligées de promouvoir ces droits, il est important que des procédures permettant cette portabilité soient mises en place.

8.       Etre informé en matière de consentement
Le RGPD vise à fournir plus de clarté en ce qui concerne la question du consentement. De nouvelles mesures rendent obligatoires l’obtention d’une déclaration explicite et claire de la part des personnes concernées qui fait preuve d’accord pour traiter des données personnelles.
Les entreprises seront soumises à de nouvelles mesures limitant le consentement donné par des enfants en matière de traitement de données sans accord parental. Il est donc important d’examiner les pratiques existantes et mettre en place des procédures d’informations sur la manière dont les données personnelles des individus seront utilisées et traitées.

9.       Identifier l’autorité de contrôle principale – le principe de « guichet unique »
De nombreuses organisations affectées par le RGPD ont des activités internationales et peuvent donc être soumises à des directives autres que le RGPD.
Il peut être difficile de déterminer quelle est l’autorité qui joue le rôle d’interlocuteur principal en matière de protection des données lorsqu’une plainte est soumise. Selon l’article 56 du RGPD, ceci est déterminé par le pays dans lequel siège l’organisation. Cela peut poser problème pour les entreprises qui disposent de plusieurs sites. S’il y a une incertitude, il est important d’établir le lieu où sont prises les décisions importantes en matière de traitement des données. Ce lieu fera office de siège décisionnel pour les affaires liées au RGPD et l’autorité de contrôle du pays en question sera désignée comme autorité principale.

10.   Affecter plus de ressources
Toutes ces considérations peuvent peser lourdement sur l’infrastructure d’une organisation. Il est donc indispensable que les entreprises affectent des ressources supplémentaires afin de répondre à ces demandes.
Le livre blanc de WLS  explique que sans planification préalable, « les entreprises pourraient être forcées de répondre aux nouvelles exigences sans avoir prévu les ressources nécessaires pour être en conformité » .
Affecter des ressources financières et humaines dès le début du processus est une excellente manière d’alléger toute pression potentielle ultérieure.


Pour plus d’information sur le RGPD et comment ESET peut aider les entreprises à se conformer à la nouvelle loi, visitez le site spécialement conçu pour le RGPD.

Women in cybersecurity: Slowly but surely, change is coming

By Editor
Many industries are working hard to even-up gender disparity within their fields – and with good reason. Not only do companies with a more diverse workforce offer a more obvious level playing field for new recruits; studies have found that diverse workplaces are more profitable, productive and have greater levels customer satisfaction.
These findings make it all the more concerning for the information security industry, in which only 11% of positions in the global cybersecurity workforce are occupied by women.
In an industry that is also facing a recruitment crisis, with 40,000 of the 128,000 positions opening in the US annually remaining unfilled, it is clear that more needs to be done to address the cybersecurity gender gap as well as increase industry recruitment levels in general.
An image problem
Despite being by definition a forward-thinking industry, it remains a male-dominated profession. And, as highlighted by the Center for Cyber Safety and Education’s (ISC) Biennial Women in Cybersecurity Report, the workforce gap is “expected to reach 1.8 million by 2022”.
“I think there is an unfortunate stereotype about technical jobs where people are spending all day and night in a dark basement.”
This is no small problem, as Lysa Myers, a security researcher at ESET, noted in 2015. Speaking to WeLiveSecurity, she expressed her concern that “there are still just a handful of women in the industry,” a fact she attributes partly to an image problem within the technical industry.
“I think there is an unfortunate stereotype about technical jobs where people are spending all day and night in a dark basement,” she said.
“But that isn’t reality at all.”
Information gap
One of the other reasons behind the gender gap – and recruitment in general – is a lack of understanding about the different roles available under the umbrella of information security.
This lack of understanding of the profession and the possible career paths open to both men and women was also highlighted in a recent report by Raytheon and NCSA cited in a 2015 article by Myers, “which found that the majority of both male and female students are not being exposed to the possibility of jobs in this industry.”
Redressing the balance
Fortunately, several organizations and initiatives have been set up with the aim of redressing the balance. One of these initiatives is ESET’s own Women in Cybersecurity Scholarship, which awards a $5,000 scholarship to a woman pursuing a college level degree and aspiring towards a career in cybersecurity.
“The award was incredibly helpful in that it paid for my books, additional training materials, and some tuition. It more than validated my career choice.”
Last year’s winner, Chelsie Power, is now working as an information security analyst, as well as studying for her Master’s Degree in Cybersecurity at Cal State University, San Marcos.
She says: “The award was incredibly helpful in that it paid for my books, additional training materials, and some tuition. It more than validated my career choice, giving me the confidence to keep honing my skills as an information security analyst.
“I think any field benefits from a diverse workforce to leverage broader perspectives, especially in cybersecurity, where cyberthreats and attack vectors are increasingly creative and sophisticated.”
Other organizations aiming to redress the balance and improve recruitment rates include the US-based National Center for Women in Information Technology, and Girls Who Code, which aims to educate and inspire high school girls to pursue careers in computing.
Routes in
While the perception may be that those wishing to pursue a career in cybersecurity need to have a technological background, this is not necessarily the case – Myers herself started her career as a florist, moving on to a receptionist’s role, before gaining experience in her company’s virus lab.
A 2015 report written by Myers on Women in Federal Cybersecurity also revealed that several high-profile female cybersecurity experts started their careers in different fields. Nothing is impossible.
Sign of change?
“More people are realizing what a solid, secure and interesting career choice it is.”
While the percentage of women in cybersecurity security jobs remains low, there are some signs that interest in cybersecurity as a career is beginning to increase.
ESET’s Cyber Boot Camp – a program in which students from San Diego receive five days of intense education in the art of computer system defense – has seen the percentage of girls in attendance rising from 0% to 40% in three years.
Myers also believes that interest in the sector is growing. Speaking in 2015, she said: “More people are realizing what a solid, secure and interesting career choice it is, and as more companies are realizing how crucial computer security is to their bottom line, there are a lot of different types of people dealing with a lot of different aspects of technology.”