4 lutego 2016 r. to pamiętna data w kalendarzu specjalistów od cyberbezpieczeństwa, bo wtedy doszło do najsłynniejszego ataku typu business email compromise (BEC) w historii – próby wypompowania prawie 1 mld USD z banku centralnego Bangladeszu. Cyberprzestępcy wysłali fałszywe polecenia przelewów przez system SWIFT, próbując wytransferować 951 mln USD. Był to finał wielomiesięcznej operacji, która zaczęła się od obserwacji banku i przejęcia za pomocą ataku phishingowego danych logowania pracowników. Późnej było już z górki: mapowanie systemów banku, komunikacji, analiza procedur i zachowań pracowników. Po rekonesansie zaczęły się testy systemu SWIFT – jakie sumy i w jaki sposób można przesłać, żeby nie uruchomić alarmów. Wszystko było o tyle prostsze, że w banku nie było firewalli na kluczowych segmentach sieci, komputery SWIFT podłączone do zwykłej sieci biurowej, nie monitorowano regularnie bezpieczeństwa i generalnie obowiązywały standardowe hasła administracyjne.
Przed samym atakiem przestępcy zainstalowali w systemie banku trojana, który ukrywał przelewy wychodzące, kasował informacje o nich i wyłączył drukarki, żeby nie drukowały żadnych informacji o transakcjach na rachunkach.
Sprawa została wykryta kilka dni później i wywołała gigantyczny skandal, który zatrząsł fundamentami państwa Bangladesz. Z czasem, dzięki wsparciu zagranicznych służb, udało się odzyskać większość pieniędzy. 82 mln USD z miliardowej puli rozpłynęły się jednak gdzieś w filipińskich kasynach.
Metoda ataku na firmy takie jak Mattel czy Toyota i na... gminy
Atak na bank centralny Bangladeszu miał ogromny wpływ na służby cyberbezpieczeństwa, systemy ochrony i procedury. Nigdy później nie doszło już do zdarzenia o takiej skali, ale w kolejnych latach wiele znanych firm padło ofiarą business email compromise, czyli oszustwa wykorzystującego luki systemowe i techniki manipulacyjne.
Na czym ono polega? Zobaczmy na klasycznym przykładzie z 2015 r., kiedy Mattel, producent lalek Barbie, padł ofiarą ataku typu „CEO fraud”. Przestępcy wykorzystali fakt, że dopiero co nastąpiła zmiana prezesa - został nim Christopher Sinclair, wcześniej pełniący tymczasowo funkcję CEO. W jego imieniu wysyłali mejla do dyrektora finansowego z pilną prośbą o szybki i poufny przelew na konto w Chinach. Nie było włamu do skrzynki mejlowej szefa – oszuści zastosowali spoofing i podszyli się pod prawdziwego nadawcę. W firmie obowiązywała zasada podwójnej autoryzacji przelewów przez prezesa i... Christophera Sinclaira. Warunek został więc spełniony. Mejl przyszedł w piątek wieczorem, co ograniczyło możliwość weryfikacji prawdziwości poczty. Przelew poszedł. Na 3 mln USD. Dzięki pomocy FBI i Chińczyków pieniądze udało się jednak odzyskać.
W następnych latach celem ataków BEC, skutecznych, stały się m.in. Toyota (36 mln USD strat), francuska firma Pathé (21 mln USD) czy Norsk Hydro. Ostatni przykład jest interesujący, ponieważ operacja BEC stanowiła element ataku ransomware. Atak rozpoczął się od fałszywego mejla, który wyglądał jak zwykła korespondencja od jednego z partnerów firmy. W środku znajdował się zainfekowany załącznik - faktura lub dokument biznesowy.
Do dzisiaj phishing, czyli poczta z niebezpiecznymi załącznikami, podszywająca się pod kontrahentów, urzędy, instytucje, jest standardowym sposobem na uzyskanie dostępu do wewnętrznej sieci firmy.
Przykład z ostatnich tygodni: do wójtów, burmistrzów, prezydentów w całym kraju trafiły mejle od jednego z wiceministrów cyfryzacji z prośbą o weryfikację danych osobowych zawartych w pliku „w związku z podwyższeniem standardów bezpieczeństwa”. Załącznik zawierał złośliwe oprogramowanie. Jeśli odbiorcy umknął szczegół, że domena nadawcy to govministry, a nie gov to urząd mogą spotkać poważne konsekwencje.
Liczy się szybkość reakcji na cyberwłam
W listopadzie Unit 42, firma specjalizującą się w cyberzabezpieczeniach, opisała innowacyjny sposób włamania do firmy z wykorzystaniem mechanizmu CAPTCHA, czyli programu sprawdzającego, czy wchodzący na stronę nie jest robotem. Atak rozpoczął się, gdy pracownik jednego z oddziałów dużej korporacji odwiedził zainfekowaną stronę internetową salonu samochodowego. Potwierdzając, że jest człowiekiem, ściągnął na komputer złośliwe oprogramowanie i otworzył wejście do macierzystej firmy dla przestępców (grupa Howling Scorpius), którzy w pełni wykorzystali dane im możliwości. Najpierw utworzyli tylne wejście na serwerze, umożliwiające przejecie kontroli nad wieloma kontami uprzywilejowanymi, w tym kontami administratorów, przeszli z domeny jednej jednostki biznesowej do środowiska korporacyjnego, a ostatecznie do zasobów chmurowych. Przez 42 dni atakujący utworzyli ogromne archiwa danych (za pomocą WinRAR-a). Następnie usunęli kontenery pamięci masowej zawierające kopie zapasowe i zasoby obliczeniowe, a potem uruchomili ransomware Akira. Systemy firmy przestały działać. Na skrzynkę prezesa trafiło żądanie okupu. Na szczęście dzięki działaniom podjętym szybko przez specjalistów dane udało się odtworzyć.
Czas reakcji ma ogromne znacznie. W kwietniu ofiarą ransomware padła brytyjska kooperatywa Co-op – najstarsza na świecie spółdzielnia handlowców. Informacja o ataku została upubliczniona przez przestępców, na co firma zareagowała w sposób lekceważący i stwierdziła w komunikacie, że atak stanowił niegroźne naruszenie bezpieczeństwa. Zagrożenie zostało zbagatelizowane, a skala ataku niedoszacowana. Skutki operacyjne, finansowe i wizerunkowe okazały się tymczasem bardzo poważne. Część systemów przestała działać i spółdzielnia musiała przejść na papierowy obieg części dokumentów i manualną pracę. Odtwarzanie danych i przywracanie sprawności operacyjnej kosztowało 75 mln GBP. Dla porównania, zysk Co-op wyniósł w tym czasie 3 mln GBP.
Rosyjskie służby w natarciu, czyli pomysł GRU na celowany phishing
Cel większości ataków ransomware typu BEC jest finansowy. Ale nie zawsze. Rośnie liczba incydentów o niefinansowym charakterze, za którymi stoją służby państwowe.
Na początku grudnia Volexity, amerykańska firma zajmująca się cyberbezpieczeństwem, opisała niezwykle ciekawy przypadek kampanii phishingowej zorganizowanej przez rosyjską jednostkę GRU o nazwie UTA0355 nakierowanej na pozyskiwanie danych osobowych specjalistów od cyberbezpieczeństwa w Europie Zachodniej. Agenci spreparowali strony popularnych wydarzeń dotyczących bezpieczeństwa międzynarodowego m.in. podrobili serwisy rejestracyjne konferencji Belgrade Security Conference oraz Brussels Indo-Pacific Dialogue. Strony wyglądały wiarygodnie i były promowane przez sfałszowane zaproszenia mejlowe wysyłane do precyzyjnie wybranych odbiorców. Formularze rejestracyjne wymagały użycia służbowego adresu e-mail, co pozwalało napastnikom pozyskać informacje o instytucjach, stanowiskach oraz danych kontaktowych uczestników.
Ale nie chodziło tylko o zbieranie danych. W przypadku szczególnie atrakcyjnych celów, zwłaszcza użytkowników domen rządowych lub instytucji, w momencie rejestracji następowało przekierowanie spreparowanych formularzy logowania Microsoft 365, gdzie dochodziło do właściwego przejęcia kont, w tym skrzynek pocztowych i plików.
Według Volexity atak był precyzyjny, celowany i bardzo dobrze przygotowany.
Deepfejk w Hongkongu pod znakiem zapytania
Czasy klasycznych ataków BEC polegających na stosunkowo prostym oszustwie podszycia się pod prezesa przez wysłanie mejla z adresu łudząco podobnego do prawdziwego, odchodzą w przeszłość. Firmy są świadome zagrożenia i wdrożyły odpowiednie procedury. Na horyzoncie już widać nowe ryzyka, na które biznes jeszcze nie jest gotów. Sztuczna inteligencja i deepfejkowe filmy i podróbki głosu mogą reanimować metodę BEC.
Na początku 2024 r. głośnym echem na całym świecie odbiła się sprawa brytyjskiej firmy Arup, której pracownik zatrudniony w biurze w Hongkongu zlecił przelew na 25 mln USD na oszukańcze konto. Dostał takie polecenie podczas wideokonferencji, jaką odbył z szefami z londyńskiej centrali. Miał to być pierwszy atak deepfejkowy zrealizowany w czasie rzeczywistym.
Część ekspertów podważa prawdziwość tego incydentu ze względu na wątłe dowody. Przeprowadzenie deepfejkowej telekonferencji byłoby też technicznie trudne. I kosztowne. Nadal tańsze – i skuteczne – są tradycyjne metody oszustw. W czerwcu głośna była kampania ransomware’owa przypisywana północnokoreańskiej grupie BlueNoroff z wykorzystaniem Zooma do infekowania komputerów. Patent był następujący: odbiorca dostawał na Telegramie zaproszenie do wideopołączenia. Link przekierowywał na fałszywego Zooma. Po uruchomieniu wideołączy na ekranie pojawiał się nieczytelny obraz. Wtedy rozmówca otrzymywał komunikat o konieczności instalacji rozszerzenia do aplikacji Zoom w celu poprawy jakości połączenia. W załączniku znajdował się oczywiście ransomware. Ofiary manipulacji mogą mieć wrażenie, że był to atak deepfejkowy, chociaż zupełnie nie zastosowano w nim technologii AI.
AI w służbie scamerów
Departament Stanu USA ostrzegł we wrześniu przed nowym zagrożeniem infiltracji ze strony północnokoreańskich grup hakerskich. Wykorzystują one AI do tworzenia fałszywych tożsamości i wizerunków osób aplikujących o pracę zdalną w amerykańskich firmach. Celem jest uzyskanie dostępu do wewnętrznych systemów oferentów. Przed ryzykiem zatrudniania pracowników zdalnych o niezweryfikowanej tożsamości ostrzegała również KNF.
Czasy szerokiego zastosowania AI w cyberprzestępczości są tuż za progiem. Przestępcy już używają modeli LLM do poprawy efektywności ataków scamerskich. W przestępstwach typu scam romance AI coraz częściej służy do generowania zdjęć rzekomych kochanków – wcześniej były kradzione z profili na mediach społecznościowych - oraz głosu, szczególnie jeśli jest to oszustwo z wykorzystaniem wizerunku znanych osób.
LLM-y pomagają też udoskonalić skrypty rozmów w scamach typu metoda na bankowca, wnuczka. Potrafią też optymalizować kampanie phishingowe poprzez dobór celów ataku. Sztuczna inteligencja dokonała też rewolucji w pisaniu mejli phishingowych i tłumaczeniu z angielskiego na inne języki. Wcześniej kulawa gramatyka i literówki były sygnałami ostrzegającymi przed scamem. Obecnie widomości oszukańcze pisane są bardzo poprawną polszczyzną. Według badań Harvard Kennedy School z końca 2024 r. click rate mejli phishingowych w całości generowanych przez AI wynosi 54 proc. W przypadku klasycznego phishingu wskaźnik ten wynosi 12 proc.
