Lato 2015 r. Do jednego z polskich banków przychodzi przelew na 10 mld USD wysłany z USA. Transfery na takie kwoty nie są niczym niecodziennym, bo jest to jedna z największych instytucji finansowych w kraju.
3Niemniej służby „antylaundringowe” zwróciły na niego uwagę, ponieważ trafił na rachunek założony przez klienta z obcym paszportem, którego od początku miały na oku, a poza tym zaraz po zaksięgowaniu właściciel rachunku chciał wysłać pieniądze dalej za granicę. Zlecenie zostało wstrzymane, a bank skontaktował się z nadawcą w USA, chcąc sprawdzić, czy nie jest to próba wyłudzenia.
Amerykańska firma zleciła audyt, który wykazał, że oszuści zdążyli już wyprowadzić z jej kont 47 mln USD. Z naszych informacji wynika, że ofiarą padła firma Ubiquiti, znana w branży IT, której przypadek opisywany był przez światowe media, bo jako jedna z nielicznych publicznie przyznała, że była celem ataku typu Business E-mail Comprise (BEC).
Czytaj też: Wyższa szkoła hakowania >>>>
Przelew do Chin
W jaki sposób przestępcom udaje się nakłonić dyrektorów finansowych, księgowych i nakłonić do realizacji fałszywego przelewu? Od kilku dni opisujemy przypadki ataków na polskie firmy. Wciąż zgłaszają się kolejne, które w porę zorientowały się, że mają do czynienia z próbą kradzieży.
W lutym do działu księgowości firmy należącej do jednego z najbogatszych przedsiębiorców przyszedł mejl od „prezesa” z prośbą o pilny przelew 1,3 mln USD w ramach zaliczki na finał ważnej fuzji na rynku chińskim. Załączał też telefon do osoby, z którą należało potwierdzić transakcję.
— Początkowo księgowość nie zwróciła uwagi na to, że np. końcówka adresu e-mail pochodzi z domeny, który z naszą firmą nie ma nic wspólnego. Więcej — nasza pracownica zadzwoniła na numer osoby z fałszywego mejla. Płynnie mówiący po polsku rozmówca podał szczegóły przelewu gotówki na numer rachunku bankowego w jednym z chińskich banków — mówi przedsiębiorca.
I choć podstęp nie był idealny (mejl wysłany z innej domeny), to niewiele brakowało, aby w firmie zajmującej się m.in. importem towarów z dalekich zakątków świata oszuści dopięli swego. Trafili bowiem w słaby punkt.
— Zagraniczne przelewy na kilka milionów dolarów realizowane w kilka godzin od chwili wpłynięcia faktury to u nas całkiem częsta procedura — przyznaje biznesmen. Jak odkryto pułapkę? Główna księgowa o fuzji w Chinach nie słyszała. Telefon do prezesa wyjaśnił wszystko.
— U nas skończyło się na zagrożeniu, jednak dowiedziałem się, że niedawno ofiarą tego typu oszustwa padł polski oddział dużej zagranicznej sieci handlowej — twierdzi nasz rozmówca.
Bishopsgate, London
Literówka w domenie, inne rozszerzenie adresu: com.pl, zamiast pl, .eu, jakaś dodatkowa końcówka np. @domena-pl.pl to standardowe chwyty oszustów. Znamy jednak przypadki, gdy przestępcy słali mejle z adresów identycznych z oryginalnymi. Tak było w jednej z dużych spółek giełdowych (podobnie jak wszyscy nasi rozmówcy, zastrzegła sobie anonimowość), która przesłała do „PB” korespondencję od oszustów. Pierwszy mejl wysłany przez „prezesa” do dyrektor finansowej 4 marca o godz. 08:31. Temat: Poufna.
Monika,
W związku z przejęciem, które aktualnie finalizujemy Pan Mercenas Marcin Perzanowski wkrótce będzie się z Tobą kontaktował.
Ustalcie aspekty dotyczące kwestii finansowych, proszę udzielić mu także wszelkich niezbędnych informacji, które są wymagane w trakcie procesu. Będzie także prosił o przeprocesowanie początkowej płatności w celu zabezpieczenia przejęcia a następnie, kilka innych zanim transakcja zostanie zamknięta. Podczas rozmowy, wyjaśni Ci wszystko a także przekaże dalsze instrukcje. Natomiast, bardzo istotne jest aby cały proces przebiegł sprawnie i z dużą dyskrecją dla stron, ze względu na otoczenie zewnętrzne, mam nadzieję że to jasne.
Wszelkie pytania dotyczące transakcji kieruj bezpośrednio do Pana Perzanowskiego. Informacja na temat przedsięwzięcia zostanie podana do wiadomości publicznej jak tylko zostanie pomyślnie sfinalizowana, do tego czasu musi pozostać poufna. Mam nadzieję, że wszystko uda się wam szybko załatwić. Pozdrawiam, Jan Kowalski
Niespełna pół godziny później odzywa się mecenas Perzanowski: Szanowna Pani Moniko, Pan Prezes Jan Kowalski prosił mnie o kontakt z Panią w związku z informacjami finansowymi, które są niezbędne do finalizacji transakcji, którą przeprowadzamy. Proszę o informacje w jakich godzinach mogę się z Panią dzisiaj skontaktować a także proszę o numer bezpośredni.
Pozdrawiam serdecznie, Marcin Perzanowski Esq Partner Mayer Brown International LLP, 201 Bishopsgate, London EC2M, United Kingdom
Pani Monika odpisała, że „mecenas” może zadzwonić na ogólnie dostępne numery telefonów.
— Oszust dzwoni na numer sekretariatu. W rozmowie powołuje się na prezesa i prosi o przekazanie informacji m.in. o stanie kont, zadłużeniu. W trakcie rozmowy dyrektor finansowa zadaje mu pytanie, czy on naprawdę uważa, że ona nie rozmawiała na ten temat z prezesem. W tym momencie rozmowa się urywa — opowiada jeden z członków zarządu.
Spółka już wcześniej nabrała podejrzeń, że ma do czynienia z fałszywką, bo dyrektor finansowa nic nie wiedziała o rzekomej transakcji, a poza tym prezes, jeśli czegoś pilnie potrzebuje, to dzwoni, a nie wysyła mejla. Firma nie realizuje żadnych płatności bez zweryfikowanych i sprawdzonych dokumentów źródłowych. Nie wszystkim udaje się zdemaskować oszustów. Według FBI, od października 2013 r. do lutego 2015 r. liczba ofiar ataków BEC wyniosła 17 tys. Są wśród nich zarówno firmy, jak też osoby prywatne z 95 krajów. Łączne straty spowodowane przez przestępców to 2 mld USD. Z danych za 2013 r. wynika, że średnie szkody w przypadku osoby fizycznej wyniosły 6 tys. USD, w przypadku firm — 130 tys. USD.
3 PYTANIA DO... MONIKI WASIEWICZ, SZEFOWEJ BIURA FBI W POLSCE
Grupy przestępcze zatrudniają profesjonalistów
W ostatnich tygodniach banki notują kolejne przypadki ataków z wykorzystaniem metody Business E-meil Comprise (BEC) na swoich klientów. Czy jest jakiś szczególny powód, dla którego przestępcy zainteresowali się Polską?
Nagły wzrost tego typu oszustw zaczęliśmy notować od lata 2015 r. To już jest nawet plaga ataków BEC. Bankom i policji należą się brawa za bardzo szybką reakcję na zagrożenie, co pozwoliło zminimalizować straty. Jest to bardzo dobry przykład świetnej współpracy sektora prywatnego z publicznym na rzecz wspólnego bezpieczeństwa. Nie ma natomiast jakichś szczególnych przyczyn, dla których Polska znalazła się na celowniku przestępców. Mamy do czynienia z międzynarodowymi organizacjami, które przenoszą się z kraju do kraju. Kiedy w jednym miejscu ich działalność została zidentyfikowana, a proceder staje się mniej bezpieczny i zyskowny, szukają nowych ofiar gdzie indziej.
W każdym kraju wykorzystywany jest właściwie ten sam schemat ataku?
Metody cały czas są udoskonalane. To już nie jest etap pisanych łamaną angielszczyzną słynnych listów z Nigerii. Grupy przestępcze są doskonale przygotowane, zatrudniają profesjonalistów: prawników, finansistów, księgowych, osoby znające specyfikę działania firm, słownictwo, terminologię.
Jeśli chodzi o słownictwo, to lektura mejli wysyłanych przez oszustów wskazuje, że stosowane są pewne słowa klucze.
Tak, są to szybkość i poufność. Osoba podszywająca się pod prezesa zazwyczaj nalega o pilne zlecenie przelewu, bo w przeciwnym wypadku nie dojdzie do skutku jakaś transakcja, i nakazuje zachowanie wszystkiego w tajemnicy. Przestępcy atakują zazwyczaj w momencie, kiedy prezes jest trudno osiągalny albo niedostępny pod telefonem, ma spotkanie, jest w samolocie. Oszuści doskonale znają kalendarz firmy, bo dokładnie przygotowują atak. Ze statystyk FBI wynika, że dopiero po 6 miesiącach od włamania do systemu IT firmy podejmowana jest próba zlecenia przelewu.3 PYTANIA DO... MONIKI WASIEWICZ, SZEFOWEJ BIURA FBI W POLSCE
Grupy przestępcze zatrudniają profesjonalistów
W ostatnich tygodniach banki notują kolejne przypadki ataków z wykorzystaniem metody Business E-meil Comprise (BEC) na swoich klientów. Czy jest jakiś szczególny powód, dla którego przestępcy zainteresowali się Polską?
Nagły wzrost tego typu oszustw zaczęliśmy notować od lata 2015 r. To już jest nawet plaga ataków BEC. Bankom i policji należą się brawa za bardzo szybką reakcję na zagrożenie, co pozwoliło zminimalizować straty. Jest to bardzo dobry przykład świetnej współpracy sektora prywatnego z publicznym na rzecz wspólnego bezpieczeństwa. Nie ma natomiast jakichś szczególnych przyczyn, dla których Polska znalazła się na celowniku przestępców. Mamy do czynienia z międzynarodowymi organizacjami, które przenoszą się z kraju do kraju. Kiedy w jednym miejscu ich działalność została zidentyfikowana, a proceder staje się mniej bezpieczny i zyskowny, szukają nowych ofiar gdzie indziej.
W każdym kraju wykorzystywany jest właściwie ten sam schemat ataku?
Metody cały czas są udoskonalane. To już nie jest etap pisanych łamaną angielszczyzną słynnych listów z Nigerii. Grupy przestępcze są doskonale przygotowane, zatrudniają profesjonalistów: prawników, finansistów, księgowych, osoby znające specyfikę działania firm, słownictwo, terminologię.
Jeśli chodzi o słownictwo, to lektura mejli wysyłanych przez oszustów wskazuje, że stosowane są pewne słowa klucze.
OKIEM POLICJI
Oficer KGP zajmujący się cyberprzestępczością
Oszustwa z wykorzystaniem socjotechnicznej manipulacji w dużej skali pojawiły się w ubiegłym roku, ale dotyczyły zagranicznych firm, z których kont przestępcy realizowali przelewy do polskich banków. Na początku tego roku zaczęliśmy notować przypadki wyłudzeń w Polsce. Obecnie notujemy dużo ataków na firmy z branży elektronicznej. Nie są to duże firmy, raczej średnia półka. Dlaczego akurat ta branża? Prawdopodobnie ze względu na duży przepływ mejli do takich firm, co zwiększa prawdopodobieństwo, że ktoś otworzy zainfekowaną pocztę. Są dwie metody działań przestępców: jedna to oparta tylko na technikach socjotechnicznych manipulacja pracownikami firmy, by skłonić ich do realizacji przelewu bez włamywania się do systemu informatycznego oraz druga, czyli najpierw włamanie do systemu, rozpracowanie sposobu działania firmy, a potem właściwy atak. Z doświadczeń zagranicznych wynika, że w 100 proc. przypadków podejmowana jest próba uzyskania dostępu do poczty firmowej najczęściej przez wysłanie spamu ze złośliwym oprogramowaniem. Niestety, mimo wciąż powtarzanych ostrzeżeń, by nie otwierać takich mejli, zawsze znajdzie się ktoś, kto kliknie na załącznik.
OKIEM POLICJI
Oficer KGP zajmujący się cyberprzestępczością
Oszustwa z wykorzystaniem socjotechnicznej manipulacji w dużej skali pojawiły się w ubiegłym roku, ale dotyczyły zagranicznych firm, z których kont przestępcy realizowali przelewy do polskich banków. Na początku tego roku zaczęliśmy notować przypadki wyłudzeń w Polsce. Obecnie notujemy dużo ataków na firmy z branży elektronicznej. Nie są to duże firmy, raczej średnia półka. Dlaczego akurat ta branża? Prawdopodobnie ze względu na duży przepływ mejli do takich firm, co zwiększa prawdopodobieństwo, że ktoś otworzy zainfekowaną pocztę. Są dwie metody działań przestępców: jedna to oparta tylko na technikach socjotechnicznych manipulacja pracownikami firmy, by skłonić ich do realizacji przelewu bez włamywania się do systemu informatycznego oraz druga, czyli najpierw włamanie do systemu, rozpracowanie sposobu działania firmy, a potem właściwy atak. Z doświadczeń zagranicznych wynika, że w 100 proc. przypadków podejmowana jest próba uzyskania dostępu do poczty firmowej najczęściej przez wysłanie spamu ze złośliwym oprogramowaniem. Niestety, mimo wciąż powtarzanych ostrzeżeń, by nie otwierać takich mejli, zawsze znajdzie się ktoś, kto kliknie na załącznik.