Wyższa szkoła hakowania

Nie trzeba łamać zabezpieczeń. Wystarczy znajomość ludzkiej natury i trochę socjotechniki. Ofiarą oszustów padło kilka firm, w tym spółki giełdowe

Kevin Mitnick, najsłynniejszy hacker w historii, w książce „Sztuka podstępu”, będącej opisem prostych technik socjotechnicznych, za pomocą których można od pracownika firmy wyłudzić poufne informacje, stwierdza, że „Czynnik ludzki jest piętą achillesową systemów bezpieczeństwa”. Jeśli do znajomości ludzkiej psychiki dodać technologię, może zrobić się naprawdę niebezpiecznie.

PATENT Z IMPORTU:
Zobacz więcej

PATENT Z IMPORTU:

Pierwsze przypadki wyłudzeń przelewów z firm pojawiły się dwa lata temu we Francji i krajach Beneluksu (ZBP opublikował wówczas komunikat). Specjaliści uważają, że źródeł przestępczej działalności należy szukać w krajach Bliskiego Wschodu. Rys. Patryk Sroczyński

Przekonało się o tym ostatnio kilka firm w Polsce, w tym duża spółka skarbu państwa i spółki giełdowe, które stały się celem zorganizowanych, przygotowywanych wiele miesięcy ataków hackerskich, nadających się na scenariusz kolejnego filmu o przygodach ekipy Danny’ego Oceana. Właściwie trudno mówić o hackingu, ponieważ nikt ani nie przełamał, ani nawet nie próbował dostać się do systemów informatycznych ofiar. A mimo to z firm wyszły przelewy na blisko 10 mln zł zlecone przez przestępców. Na szczęście udało się je zatrzymać.

Nagroda z pluskwą

4 marca Związek Banków Polskich wywiesił na swojej stronie internetowej komunikat: „Zagrożenie dla przedsiębiorców. Oszukańcze zlecenia wykonania wysokokwotowych poleceń przelewu”. Proceder polega na tym, że przestępcy podszywają się pod kogoś z kierownictwa, najczęściej prezesa, i w jego imieniu zlecają służbom księgowym pilną wysyłkę pieniędzy na wskazany numer rachunku, co ma pozwolić zamknąć jakiś strategiczny projekt, nad którym pracuje firma: przejęcie, uregulowanie przeterminowanego zobowiązania, udział w przetargu. Tak brzmi suchy opis procederu. Historie zaatakowanych firm są znacznie barwniejsze, pokazują zmyślność, dobre przygotowanie i spryt oszustów. A także naiwność pracowników.

Mechanizm wyłudzenia najlepiej opisuje następująca historia.

Czytaj też: Koronkowa robota hakerów >>>>

Do prezesa dużej spółki dzwoni rzekomy przedstawiciel telekomu z informacją, że firma przygotowała dla niego prezent za wieloletnią współpracę: najnowszy model jednego ze smartfonów. Gest niespodziewany, miły i kosztowny, bo cena rynkowa telefonu to kilka tysięcy złotych. Następnego dnia u prezesa pojawia się kurier z nagrodą i dokumentami potwierdzającymi odbiór. Zgodnie z zasadą, że darowanemu koniowi nie zagląda się w zęby, obdarowany nie zleca ludziom od IT sprawdzenia telefonu i swobodnie wykorzystuje prezent do rozmów firmowych, prywatnych oraz wysyłki i odbierania mejli.

— Telefon, dostarczony przez fałszywego kuriera, okazał się zainfekowany. Prawdopodobnie przestępcy nagrywali rozmowy prezesa, a z całą pewnością rejestrowali korespondencję mejlową — opowiada szef bezpieczeństwa w dużym banku. Przez wiele miesięcy w firmie nie działo się nic podejrzanego. Analiza tego przypadku,jak również innych, wskazuje, że przestępcy drobiazgowo analizowali biznes ofiary: kontrahentów, klientów, udział w przetargach, rozmowy o przejęciach. Oknem dającym wgląd w wewnętrzne sprawy był telefon prezesa. Obserwując aktywność szefa, oszuści mogli zrobić mapę wewnętrznej struktury przedsiębiorstwa oraz odtworzyć hierarchię zależności: służbowej i faktycznej.

— Mamy podstawy, by twierdzić, że wyszukiwano „najsłabsze ogniwa”, pracowników o odpowiednich cechach charakterologicznych, osoby raczej bierne albo podporządkowane przełożonemu, wykonujące polecenia bez zbędnych pytań — mówi jedno z naszych źródeł. Moment ataku nigdy nie był wybierany przypadkowo. Zazwyczaj dochodziło do niego, gdy prezes był na urlopie, spotkaniu, generalnie był trudno osiągalny.

W skrzynce mejlowej księgowej posiadającej uprawnienia do zlecania przelewów zewnętrznych pojawiał się mejl od „prezesa”: „Pani Halinko, pamięta pani sprawę zakupu firmy X, o której rozmawialiśmy w ubiegłym tygodniu. Jestem na spotkaniu, na którym dowiedziałem się, że trzeba natychmiast wpłacić zaliczkę — w przeciwnym wypadku oferta przepadnie. Proszę zlecić przelew i upewnić się w banku, że zostanie dzisiaj zaksięgowany”.

Czytaj też: Wyższa szkoła hakerów >>>>

Co ważne, mejl nie został wysłany ze skrzynki prezesa. Jak wspomniano, oszuści nie trudzą się włamami, przełamywaniem zabezpieczeń. Wystarczył im dostęp do treści mejla. Poczta do księgowej została wysłana z domeny bliźniaczo podobnej do adresu firmy (była w nim literówka). W stopce mejla znajdował się też numer telefonu — na wypadek gdyby pracownica chciała skontaktować się z „prezesem”.

— Przelewy zlecane przez przestępców idą w miliony złotych. W jednym przypadku wartość przelewu stanowiła połowę salda rachunku — mówi nasz rozmówca. Adresatem przelewu zatwierdzonego przez „panią Halinkę” była firma w Azji. Udało się go zablokować w ostatniej chwili dzięki przytomności głównej księgowej, która zauważyła wypływ pieniędzy z rachunku.

Międzynarodówka oszustów

Z naszych rozmów z bankowcami wynika, że skala zjawiska nie jest duża i na razie celem ataku było kilka firm. Tyle przypadków udało się zidentyfikować i wstrzymać realizację oszukańczych przelewów. Bankowcy uważają jednak, że jest to jedna z bardziej niebezpiecznych prób wyłudzenia pieniędzy od klientów firmowych w ostatnich latach, bardzo dobrze przygotowana i przeprowadzona.

Wszystko wskazuje na to, że sprawa ma charakter międzynarodowy — w procederze uczestniczą przestępcy z Cypru, Francji oraz Węgier, a być może także innych krajów (trwają ustalenia). Zaangażowani są też „specjaliści” z Polski, ponieważ język korespondencji słanej do księgowych wskazuje, że nie jest produktem tłumacza Google’a. O międzynarodowym zasięgu oszustwa świadczy też przelew odebrany przez jeden z naszych banków, wysłany na nazwisko obywatela Unii Europejskiej, który okazał się słupem.

Transfer, zlecony przez oszustów, został wstrzymany po telefonie z zagranicznego banku.

— Sprawą zajmuje się policja. Wszystkie banki wiedzą o procederze. Staramy się też dotrzeć do klientów z informacją o zasadach bezpieczeństwa dotyczących uprawnień do zlecania i autoryzacji wysokokwotowych przelewów. Absolutną podstawą jest obowiązek zatwierdzania operacji przez dwie osoby — mówi nasz rozmówca.

Czytaj też: Jak oszuści podeszli Barbie >>>>

Jak uniknąć oszustwa

okresowo weryfikować nadane uprawnienia do wykonywania transakcji i zasady autoryzacji; ustalić procedury postępowania w przypadku nagłych zleceń wydawanych mejlowo z kierownictwa spółki, a także zasady kontaktu z przełożonymi w przypadki ich nieobecności zlecenia składane na podstawie mejli i rozmów telefonicznych noszą ryzyko, że są przygotowywane przez osoby podszywające się pod uprawnionych. Zlecenia najlepiej realizować poprzez bankowy serwis transakcyjny jeśli firma padła ofiarą oszustów, należy natychmiast skontaktować się z bankiem oraz powiadomić organy ścigania. Liczy się czas reakcji. Jeśli bank zostanie powiadomiony o wyłudzeniu za późno, nie będzie mógł zatrzymać przelewu.

Jak uniknąć oszustwa

okresowo weryfikować nadane uprawnienia do wykonywania transakcji i zasady autoryzacji; ustalić procedury postępowania w przypadku nagłych zleceń wydawanych mejlowo z kierownictwa spółki, a także zasady kontaktu z przełożonymi w przypadki ich nieobecności zlecenia składane na podstawie mejli i rozmów telefonicznych noszą ryzyko, że są przygotowywane przez osoby podszywające się pod uprawnionych. Zlecenia najlepiej realizować poprzez bankowy serwis transakcyjny jeśli firma padła ofiarą oszustów, należy natychmiast skontaktować się z bankiem oraz powiadomić organy ścigania. Liczy się czas reakcji. Jeśli bank zostanie powiadomiony o wyłudzeniu za późno, nie będzie mógł zatrzymać przelewu.

Największy włam w historii

Na początku lutego doszło do największego włamu do systemu bankowego w historii, ale dopiero w ubiegłym tygodniu sprawa wyszła na jaw, a oficjalne potwierdzenie pojawiło się na Facebooku w niedzielę. Na razie wiadomo tylko, że miesiąc temu hackerzy przejęli hasła do autoryzacji przelewów w Banku Centralnym Bangladeszu (BCB). To, w jaki sposób, jest przedmiotem śledztwa. Między 4 i 5 lutego wysłali 35 zleceń przelewów do Banku Rezerw Federalnych w Nowym Jorku obsługującego międzynarodowe transakcje BCB — łącznie na… 951 mln USD. Gdyby nie literówka w zleceniu, z kont banku wyparowałoby prawie 1 mld USD. Amerykanie zrealizowali transfery o wartości 101 mln USD. Następne przelewy zostały wstrzymane, kiedy Deutsche Bank, pośredniczący w przekazach, zwrócił się do BCB z prośbą o wyjaśnienie, o jakiego odbiorcę chodzi. Na zleceniu nazwa adresata, jednostki NGO, została wpisana jako „fandation”, zamiast „fundation”. Władze banku centralnego zorientowały się, że ktoś zleca fałszywe przelewy. Ze 101 mln USD udało się odzyskać 20 mln. Reszta trafiła na konto kasyna na Filipinach, skąd powędrowała do Hongkongu, gdzie dolary miały zostać przewalutowane na peso.

Na początku lutego doszło do największego włamu do systemu bankowego w historii, ale dopiero w ubiegłym tygodniu sprawa wyszła na jaw, a oficjalne potwierdzenie pojawiło się na Facebooku w niedzielę. Na razie wiadomo tylko, że miesiąc temu hackerzy przejęli hasła do autoryzacji przelewów w Banku Centralnym Bangladeszu (BCB). To, w jaki sposób, jest przedmiotem śledztwa. Między 4 i 5 lutego wysłali 35 zleceń przelewów do Banku Rezerw Federalnych w Nowym Jorku obsługującego międzynarodowe transakcje BCB — łącznie na… 951 mln USD. Gdyby nie literówka w zleceniu, z kont banku wyparowałoby prawie 1 mld USD. Amerykanie zrealizowali transfery o wartości 101 mln USD. Następne przelewy zostały wstrzymane, kiedy Deutsche Bank, pośredniczący w przekazach, zwrócił się do BCB z prośbą o wyjaśnienie, o jakiego odbiorcę chodzi. Na zleceniu nazwa adresata, jednostki NGO, została wpisana jako „fandation”, zamiast „fundation”. Władze banku centralnego zorientowały się, że ktoś zleca fałszywe przelewy. Ze 101 mln USD udało się odzyskać 20 mln. Reszta trafiła na konto kasyna na Filipinach, skąd powędrowała do Hongkongu, gdzie dolary miały zostać przewalutowane na peso.

Czytaj inne teksty autora artykułu >>>>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Eugeniusz Twaróg

Polecane

Inspiracje Pulsu Biznesu

Tematy

Puls Biznesu

Inne / Wyższa szkoła hakowania