pb.pl
w schowku Tylko dla zalogowanych czytelników
zaloguj się
lub zarejestruj
dodaj do schowka

Wyższa szkoła hakowania

KUP LICENCJĘ
Eugeniusz Twaróg
Pin It email print

Nie trzeba łamać zabezpieczeń. Wystarczy znajomość ludzkiej natury i trochę socjotechniki. Ofiarą oszustów padło kilka firm, w tym spółki giełdowe.

 

Zobacz także:

» Jak haker został prezesem

Notowania

POLICE, dolar, COMP

Jest 15 marca 2016 r. Zatrudniająca ponad 4 tys. osób firma od dłuższego czasu negocjuje transakcję przejęcia spółki z branży. Nie jest to tajemnica — pracownicy wiedzą o rozmowach. Sprawy ruszyły z miejsca — główna księgowa odbiera mejl od prezesa z instrukcją: negocjacje są bliskie finału i trzeba rozliczyć pierwszą transzę należności, stąd prośba o telefon do prawnika z kancelarii obsługującej firmę w sprawie szczegółów dotyczących przelewu. Księgowa wykonuje polecenie — łączy się ze wskazanym rozmówcą, który potwierdza treść mejla, każe przygotować przelew na 2 mln USD i prosi, żeby po przygotowaniu transferu przesłać informację na jego skrzynkę, a on poda numer konta bankowego, na który mają trafić pieniądze. Zgodnie z poleceniem księgowa kontaktuje się z pracownicą odpowiedzialną za realizację przelewów i jako podkładkę „forwarduje” mejl od prezesa. I tu zaczynają się pojawiać wątpliwości.

— Adresy wszystkich pracowników tworzone są na bazie jednego schematu: imię. nazwisko@domena. Tylko prezes ma inny adres: nazwisko@domena. Mejl przesłany do księgowości pochodził z adresu: imię.nazwiskoprezesa@domena. Księgowość nabrała podejrzeń co do prawdziwości korespondencji — opowiada przedstawiciel firmy. W tym czasie prezes leciał samolotem, czytając... okładkowy temat „Pulsu Biznesu”, w którym opisaliśmy dokładnie taki schemat działania oszustów.

— Stwierdziliśmy, że to taka sama układanka i skontaktowaliśmy się z policją, która zasugerowała podtrzymanie kontaktu z oszustami, jednak już nie otrzymaliśmy od nich korespondencji — mówi nasz rozmówca.

Najsłabsze ogniwo

Dzień wcześniej opisaliśmy w „Pulsie Biznesu” w jaki sposób oszuście wyłudzają pieniądze z firm posługując się prostymi technikami socjotechnicznymi. Kevin Mitnick, najsłynniejszy hacker w historii, w książce „Sztuka podstępu”, będącej opisem prostych technik socjotechnicznych, za pomocą których można od pracownika firmy wyłudzić poufne informacje, stwierdza, że „Czynnik ludzki jest piętą achillesową systemów bezpieczeństwa”. Jeśli do znajomości ludzkiej psychiki dodać technologię, może zrobić się naprawdę niebezpiecznie.

Przekonało się o tym ostatnio kilka firm w Polsce, w tym duża spółka skarbu państwa i spółki giełdowe, które stały się celem zorganizowanych, przygotowywanych wiele miesięcy ataków hackerskich, nadających się na scenariusz kolejnego filmu o przygodach ekipy Danny’ego Oceana. Właściwie trudno mówić o hackingu, ponieważ nikt ani nie przełamał, ani nawet nie próbował dostać się do systemów informatycznych ofiar. A mimo to z firm wyszły przelewy na blisko 10 mln zł zlecone przez przestępców. Na szczęście udało się je zatrzymać.

4 marca Związek Banków Polskich wywiesił na swojej stronie internetowej komunikat: „Zagrożenie dla przedsiębiorców. Oszukańcze zlecenia wykonania wysokokwotowych poleceń przelewu”. Proceder polega na tym, że przestępcy podszywają się pod kogoś z kierownictwa, najczęściej prezesa, i w jego imieniu zlecają służbom księgowym pilną wysyłkę pieniędzy na wskazany numer rachunku, co ma pozwolić zamknąć jakiś strategiczny projekt, nad którym pracuje firma: przejęcie, uregulowanie przeterminowanego zobowiązania, udział w przetargu. Tak brzmi suchy opis procederu. Historie zaatakowanych firm są znacznie barwniejsze, pokazują zmyślność, dobre przygotowanie i spryt oszustów. A także naiwność pracowników.

Nagroda z pluskwą

Mechanizm wyłudzenia najlepiej opisuje następująca historia:

Do prezesa dużej spółki dzwoni rzekomy przedstawiciel telekomu z informacją, że firma przygotowała dla niego prezent za wieloletnią współpracę: najnowszy model jednego ze smartfonów. Gest niespodziewany, miły i kosztowny, bo cena rynkowa telefonu to kilka tysięcy złotych. Następnego dnia u prezesa pojawia się kurier z nagrodą i dokumentami potwierdzającymi odbiór. Zgodnie z zasadą, że darowanemu koniowi nie zagląda się w zęby, obdarowany nie zleca ludziom od IT sprawdzenia telefonu i swobodnie wykorzystuje prezent do rozmów firmowych, prywatnych oraz wysyłki i odbierania mejli.

— Telefon, dostarczony przez fałszywego kuriera, okazał się zainfekowany. Prawdopodobnie przestępcy nagrywali rozmowy prezesa, a z całą pewnością rejestrowali korespondencję mejlową — opowiada szef bezpieczeństwa w dużym banku.

Przez wiele miesięcy w firmie nie działo się nic podejrzanego. Analiza tego przypadku,jak również innych, wskazuje, że przestępcy drobiazgowo analizowali biznes ofiary: kontrahentów, klientów, udział w przetargach, rozmowy o przejęciach. Oknem dającym wgląd w wewnętrzne sprawy był telefon prezesa. Obserwując aktywność szefa, oszuści mogli zrobić mapę wewnętrznej struktury przedsiębiorstwa oraz odtworzyć hierarchię zależności: służbowej i faktycznej.

— Mamy podstawy, by twierdzić, że wyszukiwano „najsłabsze ogniwa”, pracowników o odpowiednich cechach charakterologicznych, osoby raczej bierne albo podporządkowane przełożonemu, wykonujące polecenia bez zbędnych pytań — mówi jedno z naszych źródeł. Moment ataku nigdy nie był wybierany przypadkowo. Zazwyczaj dochodziło do niego, gdy prezes był na urlopie, spotkaniu, generalnie był trudno osiągalny.

W skrzynce mejlowej księgowej posiadającej uprawnienia do zlecania przelewów zewnętrznych pojawiał się mejl od „prezesa”: „Pani Halinko, pamięta pani sprawę zakupu firmy X, o której rozmawialiśmy w ubiegłym tygodniu. Jestem na spotkaniu, na którym dowiedziałem się, że trzeba natychmiast wpłacić zaliczkę — w przeciwnym wypadku oferta przepadnie. Proszę zlecić przelew i upewnić się w banku, że zostanie dzisiaj zaksięgowany”.

Co ważne, mejl nie został wysłany ze skrzynki prezesa. Jak wspomniano, oszuści nie trudzą się włamami, przełamywaniem zabezpieczeń. Wystarczył im dostęp do treści mejla. Poczta do księgowej została wysłana z domeny bliźniaczo podobnej do adresu firmy (była w nim literówka). W stopce mejla znajdował się też numer telefonu — na wypadek gdyby pracownica chciała skontaktować się z „prezesem”.

— Przelewy zlecane przez przestępców idą w miliony złotych. W jednym przypadku wartość przelewu stanowiła połowę salda rachunku — mówi nasz rozmówca. Adresatem przelewu zatwierdzonego przez „panią Halinkę” była firma w Azji. Udało się go zablokować w ostatniej chwili dzięki przytomności głównej księgowej, która zauważyła wypływ pieniędzy z rachunku.

Czujna żona

Bardzo podobna sytuacja zdarzyła się niedawno w jednej z firm importowych, prowadzącej bardzo dużo rozliczeń walutowych.Do księgowej przyszło mejlowe polecenie od prezesa o zlecenie przelewu za płatność w wysokości 1 mln USD na rzecz kontrahenta w Chinach. Na szczęście księgowością zawiaduje żona prezesa, a syn jest członkiem zarządu. W zleceniu mejlowym nie było nic nadzwyczajnego, gdyby nie mały szczegół, który zastanowił księgową: wiadomość przyszła od męża, który zajmuje się rynkiem krajowym, z zagranicą kontaktuje się syn. Po weryfikacji zlecenia z zainteresowanymi przelew nie został wysłany.

— Skala zjawiska nie jest duża, mamy do czynienia z procederem o zupełnie innym charakterze niż stosowany na masową skalę phising. Przestępstwa typu Business Email Comprise (BEC) przygotowywane są jednak bardzo skrupulatnie, a atak jest spersonalizowany. Zdarzają się rzadziej, jednak skutki finansowe są bardzo poważne — mówi Piotr Marek Balcerzak, sekretarz, członek Prezydium Rady Bankowości Elektronicznej Związku Banków Polskich (ZBP).

ZBP jest w stałym kontakcie z komórką cyberprzestępczości w Komendzie Głównej Policji. Z naszych informacji wynika, że sprawą zajmuje się również policja w Lublinie i Warszawie.

Światowe zagrożenie

Oszustwa typu Business Email Comprise albo Social Engineering Attack to często koronkowa robota, poprzedzona długim przygotowaniem, poświęconym na rozpracowanie struktury firmy, listy kontrahentów, zleceń, transferów itp. Bywa poprzedzona atakiem phisingowym, pozwalającym uzyskać loginy, hasła, poufne dane. Ale niekoniecznie. Często wystarczy sama socjotechnika: manipulacja pracownikami firmy, wykorzystywanie ich słabości czy zależności w hierarchii służbowej. Wyłudzenia „metodą na prezesa” pojawiły się stosunkowo niedawno. Po raz pierwszy odnotowano je w 2013 r. we Francji i krajach francuskojęzycznych, gdzie bardzo się rozpowszechniły. W tym samym roku ofiarą oszustów padło warszawskie metro. W 2014 r. z procederem zetknęły się polskie banki, do których zaczęły przychodzić przelewy z Francji na rachunki podstawionych klientów.

Dwa lata temu jesienią ZBP opublikował ostrzeżenie, a latem 2015 r. komunikat dotyczący wyłudzeń pojawił się na stronie FBI. „BEC stanowi poważne zagrożenie w skali światowej” — stwierdził w nim agent specjalny Amxwell Marker (ramka). Wśród znanych ofiar BEC są m.in. Ryanair, który w kwietniu 2015 r. poinformował enigmatycznie, że z jego konta zniknęło 5 mln USD. Specjaliści od cyberbezpieczeństwa uważają, że pieniądze wyprowadzili złodzieje. Kilka miesięcy później, w sierpniu, amerykańska firma technologiczna Ubiquiti ujawniła, że padła ofiarą ataku przestępców spod znaku BEC i straciła 47 mln USD.

W Polsce na tricki oszustów dało się nabrać trzy lata temu warszawskie metro. Księgowość dostała fałszywe pismo z informacją o zmianie numeru rachunku bankowego firmy sprzątającej. Poszedł na niego przelew o wartości 560 tys. zł. W maju 2015 r. w niemal identyczny sposób Podlaski Zarząd Dróg Wojewódzkich stracił 3,7 mln zł. Oszuści podszyli się pod jednego z podwykonawców i na kilka tygodni przed wypłatą należności do drogowego zarządu przyszedł list z nowym numerem rachunku. Nikt nie zweryfikował prawdziwości pisma. Bankowcy przestrzegają, że gdy przelew wyjdzie z firmy, bardzo ważny jest czas, w jakim bank zostanie powiadomiony o wyłudzeniu. Jeśli od zlecenia upłynie kilka godzin, zatrzymanie transferu jest bardzo trudne. Gdy adresatem jest bank na Dalekim Wschodzie, praktyczne niemożliwe.

Międzynarodówka oszustów

Według bankowców w procederze uczestniczą przestępcy z Cypru, Francji oraz Węgier, a być może także innych krajów (trwają ustalenia). Zaangażowani są też „specjaliści” z Polski, ponieważ język korespondencji słanej do księgowych wskazuje, że nie jest produktem tłumacza Google’a. O międzynarodowym zasięgu oszustwa świadczy też przelew odebrany przez jeden z naszych banków, wysłany na nazwisko obywatela Unii Europejskiej, który okazał się słupem.

Transfer, zlecony przez oszustów, został wstrzymany po telefonie z zagranicznego banku. — Sprawą zajmuje się policja. Wszystkie banki wiedzą o procederze. Staramy się też dotrzeć do klientów z informacją o zasadach bezpieczeństwa dotyczących uprawnień do zlecania i autoryzacji wysokokwotowych przelewów. Absolutną podstawą jest obowiązek zatwierdzania operacji przez dwie osoby — mówi nasz rozmówca.

 

Największy włam w historii

Na początku lutego doszło do największego włamu do systemu bankowego w historii, ale dopiero w ubiegłym tygodniu sprawa wyszła na jaw, a oficjalne potwierdzenie pojawiło się na Facebooku w niedzielę. Na razie wiadomo tylko, że miesiąc temu hackerzy przejęli hasła do autoryzacji przelewów w Banku Centralnym Bangladeszu (BCB). To, w jaki sposób, jest przedmiotem śledztwa. Między 4 i 5 lutego wysłali 35 zleceń przelewów do Banku Rezerw Federalnych w Nowym Jorku obsługującego międzynarodowe transakcje BCB — łącznie na… 951 mln USD. Gdyby nie literówka w zleceniu, z kont banku wyparowałoby prawie 1 mld USD. Amerykanie zrealizowali transfery o wartości 101 mln USD. Następne przelewy zostały wstrzymane, kiedy Deutsche Bank, pośredniczący w przekazach, zwrócił się do BCB z prośbą o wyjaśnienie, o jakiego odbiorcę chodzi. Na zleceniu nazwa adresata, jednostki NGO, została wpisana jako „fandation”, zamiast „fundation”. Władze banku centralnego zorientowały się, że ktoś zleca fałszywe przelewy. Ze 101 mln USD udało się odzyskać 20 mln. Reszta trafiła na konto kasyna na Filipinach, skąd powędrowała do Hongkongu, gdzie dolary miały zostać przewalutowane na peso.

 

1,2 mld dolarów

Od kiedy FBI śledzi ten rodzaj przestępczości, czyli od końca 2013 r., statystyki biura zanotowały 7 tys. wyłudzeń tylko w firmach amerykańskich, które straciły 740 mln USD. Tylko od początku stycznia do sierpnia 2015 r. liczba ataków wzrosła o 270 proc., a firmy oszukane przez przestępców pochodzą ze wszystkich stanów USA i prawie 80 krajów. FBI ocenia straty poszkodowanych na 1,2 mld USD. Większość transferów kierowana jest do banków w Chinach.
© Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

1 Komentarze

poli 2016-03-23

i po co pracować? :))

Wiadomości dnia na www.pb.pl


News

Warszawa 1944, Polska 2016

Co roku w okolicach lipca...
News

Przyczyny inne, ale znowu terror

Dramat w Monachium, ale...
News

CHF – czy zdrowy rozsądek wygra?

Mam znajomych, całkiem...
News

Kontrakty terminowe na WIG20 na...

Kontrakty terminowe na...
News

Tak straszno, że aż śmieszno

Nicolas Winding Refn,...
News

Tabloidowa polityka PiS

Dwie okładki w taboidach, słowa „skandal” i „koryto+”...
News

Oddolny projekt V4 zaskoczy UE

Najmocniejsze spoiwo V4,...
News

Recykling to nie hasło PR

Od lat w Polsce mówimy o...
Najlepsze blogi o biznesie

Ranking gorących spółek

0.66 
0.42 
0.38 
0.30 
0.27 

Sekcje

Oferty Pulsu Biznesu