Koronkowa robota hakerów

W dniu, w którym opublikowaliśmy artykuł o wyłudzeniach „metodą na prezesa”, z jednej z firm oszuści próbowali wyprowadzić 2 mln USD

Jest 15 marca 2016 r. Zatrudniająca ponad 4 tys. osób firma od dłuższego czasu negocjuje transakcję przejęcia spółki z branży. Nie jest to tajemnica — pracownicy wiedzą o rozmowach. Sprawy ruszyły z miejsca — główna księgowa odbiera mejl od prezesa z instrukcją: negocjacje są bliskie finału i trzeba rozliczyć pierwszą transzę należności, stąd prośba o telefon do prawnika z kancelarii obsługującej firmę w sprawie szczegółów dotyczących przelewu. Księgowa wykonuje polecenie — łączy się ze wskazanym rozmówcą, który potwierdza treść mejla, każe przygotować przelew na 2 mln USD i prosi, żeby po przygotowaniu transferu przesłać informację na jego skrzynkę, a on poda numer konta bankowego, na który mają trafić pieniądze. Zgodnie z poleceniem księgowa kontaktuje się z pracownicą odpowiedzialną za realizację przelewów i jako podkładkę „forwarduje” mejl od prezesa. I tu zaczynają się pojawiać wątpliwości.

— Adresy wszystkich pracowników tworzone są na bazie jednego schematu: imię. nazwisko@domena. Tylko prezes ma inny adres: nazwisko@domena. Mejl przesłany do księgowości pochodził z adresu: imię.nazwiskoprezesa@domena. Księgowość nabrała podejrzeń co do prawdziwości korespondencji — opowiada przedstawiciel firmy. W tym czasie prezes leciał samolotem, czytając... okładkowy temat „Pulsu Biznesu”, w którym opisaliśmy dokładnie taki schemat działania oszustów („PB” z 15 marca).

— Stwierdziliśmy, że to taka sama układanka i skontaktowaliśmy się z policją, która zasugerowała podtrzymanie kontaktu z oszustami, jednak już nie otrzymaliśmy od nich korespondencji — mówi nasz rozmówca.

Czytaj też: Wyższa szkoła hakerów >>>>

Czujna żona

Bardzo podobna sytuacja zdarzyła się niedawno w jednej z firm importowych, prowadzącej bardzo dużo rozliczeń walutowych.Do księgowej przyszło mejlowe polecenie od prezesa o zlecenie przelewu za płatność w wysokości 1 mln USD na rzecz kontrahenta w Chinach. Na szczęście księgowością zawiaduje żona prezesa, a syn jest członkiem zarządu. W zleceniu mejlowym nie było nic nadzwyczajnego, gdyby nie mały szczegół, który zastanowił księgową: wiadomość przyszła od męża, który zajmuje się rynkiem krajowym, z zagranicą kontaktuje się syn. Po weryfikacji zlecenia z zainteresowanymi przelew nie został wysłany.

— Skala zjawiska nie jest duża, mamy do czynienia z procederem o zupełnie innym charakterze niż stosowany na masową skalę phising. Przestępstwa typu Business Email Comprise (BEC) przygotowywane są jednak bardzo skrupulatnie, a atak jest spersonalizowany. Zdarzają się rzadziej, jednak skutki finansowe są bardzo poważne — mówi Piotr Marek Balcerzak, sekretarz, członek Prezydium Rady Bankowości Elektronicznej Związku Banków Polskich (ZBP). ZBP jest w stałym kontakcie z komórką cyberprzestępczości w Komendzie Głównej Policji. Z naszych informacji wynika, że sprawą zajmuje się również policja w Lublinie i Warszawie.

Czytaj też: Jak oszuści podeszli Barbie >>>>

Światowe zagrożenie

Oszustwa typu Business Email Comprise albo Social Engineering Attack to często koronkowa robota, poprzedzona długim przygotowaniem, poświęconym na rozpracowanie struktury firmy, listy kontrahentów, zleceń, transferów itp. Bywa poprzedzona atakiem phisingowym, pozwalającym uzyskać loginy, hasła, poufne dane. Ale niekoniecznie. Często wystarczy sama socjotechnika: manipulacja pracownikami firmy, wykorzystywanie ich słabości czy zależności w hierarchii służbowej. Wyłudzenia „metodą na prezesa” pojawiły się stosunkowo niedawno. Po raz pierwszy odnotowano je w 2013 r. we Francji i krajach francuskojęzycznych, gdzie bardzo się rozpowszechniły. W tym samym roku ofiarą oszustów padło warszawskie metro. W 2014 r. z procederem zetknęły się polskie banki, do których zaczęły przychodzić przelewy z Francji na rachunki podstawionych klientów. Dwa lata temu jesienią ZBP opublikował ostrzeżenie, a latem 2015 r. komunikat dotyczący wyłudzeń pojawił się na stronie FBI. „BEC stanowi poważne zagrożenie w skali światowej” — stwierdził w nim agent specjalny Amxwell Marker (ramka). Wśród znanych ofiar BEC są m.in. Ryanair, który w kwietniu 2015 r. poinformował enigmatycznie, że z jego konta zniknęło 5 mln USD. Specjaliści od cyberbezpieczeństwa uważają, że pieniądze wyprowadzili złodzieje. Kilka miesięcy później, w sierpniu, amerykańska firma technologiczna Ubiquiti ujawniła, że padła ofiarą ataku przestępców spod znaku BEC i straciła 47 mln USD. W Polsce na tricki oszustów dało się nabrać trzy lata temu warszawskie metro.Księgowość dostała fałszywe pismo z informacją o zmianie numeru rachunku bankowego firmy sprzątającej. Poszedł na niego przelew o wartości 560 tys. zł. W maju 2015 r. w niemal identyczny sposób Podlaski Zarząd Dróg Wojewódzkich stracił 3,7 mln zł. Oszuści podszyli się pod jednego z podwykonawców i na kilka tygodni przed wypłatą należności do drogowego zarządu przyszedł list z nowym numerem rachunku. Nikt nie zweryfikował prawdziwości pisma. Bankowcy przestrzegają, że gdy przelew wyjdzie z firmy, bardzo ważny jest czas, w jakim bank zostanie powiadomiony o wyłudzeniu. Jeśli od zlecenia upłynie kilka godzin, zatrzymanie transferu jest bardzo trudne. Gdy adresatem jest bank na Dalekim Wschodzie, praktyczne niemożliwe.

Czytaj też: Wyższa szkoła hakowania >>>>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Eugeniusz Twaróg

Polecane

Inspiracje Pulsu Biznesu