Компрометация корпоративной почты как способ потерять миллионы

Евгений Питолин
управляющий директор "Лаборатории Касперского" в Казахстане, Центральной Азии и Монголии

За последний год было обнаружено много различных схем злоумышленников, которые пытаются завладеть учетными записями сотрудников компаний. Захваченный почтовый ящик может быть использован для самых неприятных вещей, к примеру, целевой атаки с применением компрометации корпоративной почты. В прошлом месяце в результате такой атаки пострадала одна из дочерних фирм Toyota, ущерб оценивается более чем в $37 млн.

Инцидент с Toyota

Согласно официальному заявлению компании, опубликованному 6 сентября, а также новостным публикациям, неизвестные злоумышленники атаковали именно с применением компрометации корпоративной почты, а причиной потери денег стали мошеннические указания по банковскому переводу, воспринятые кем-то в компании как легитимные. Вскоре после перевода эксперты по безопасности из Toyota поняли, что финансы ушли на посторонние счета, однако остановить перевод не удалось. 

Детали атаки

На самом деле, такая атака далеко не всегда связана именно с захватом чужих почтовых ящиков, иногда злоумышленники пытаются выдать себя за высокопоставленных сотрудников компании или партнеров, общаясь с совершенно посторонних ящиков. Однако использование чужой корпоративной почты делает эту схему гораздо проще – письмо, пришедшее от человека, с которым вы действительно неоднократно переписывались, вызывает гораздо меньше подозрений.

Разумеется, для успешной атаки преступник должен хорошо владеть навыками социальной инженерии. Ведь выдать себя за другого человека и убедить собеседника сделать что-то в интересах мошенника не так-то просто. Тут опять же захваченный почтовый ящик облегчает задачу атакующего – изучив переписку в папках «Входящие» и «Отправленные», он сможет убедительнее имитировать стиль своего «персонажа». Не обязательно целью атаки является именно перевод финансовых средств, злоумышленников могут интересовать и конфиденциальные данные.

Под угрозой – все 

Toyota – далеко не первый пример такой атаки. В начале года некие злоумышленники обманули футбольный клуб, вступив в переписку по поводу перевода футболиста. А в прошлом месяце мошенники пытались выудить $2,9 млн из Портлендского округа муниципальных школ. В июле округ Кабаррус, находящийся в штате Северная Каролина, потерял $1,7 млн, точно так же получив инструкции по почте. Причем изначально они перевели $2,5 млн якобы на строительство нового учебного заведения, но потом часть средств удалось вернуть.

Для тех, кто не фанат и не в курсе подробностей, напомним очень поучительную историю с футболом. В январе мировые спортивные издания с удовольствием сообщили о трансфере Леандро Паредеса из «Зенита» в «Пари Сен-Жермен». Цена вопроса – около 40 млн евро (за 4,5 сезона). А «Бока Хуниорс» – это «родной» клуб футболиста, и ему положен определенный процент от сделки, если точнее, 1 299 377,48 евро.

«Пари Сен-Жермен» и «Бока Хуниорс» договорились о том, что в общей сложности будет три транша. Первый – 519 750,99 евро – должен был пройти 6 марта. Второй (259 875,50 евро) запланирован на август. А оставшуюся сумму должны перевести в августе следующего года. Вроде бы, на первый взгляд, все хорошо. Если бы не одно «но». Первые почти 520 тыс. евро аргентинцам так и не пришли. Детали сделки стороны начали обсуждать почти сразу же, в январе. Но 12 марта (когда первый транш уже шесть дней как должен был быть на счетах аргентинского футбольного клуба) деньги так и не поступили, и в «Бока Хуниорс» решили, что пора уточнить у французских коллег причину задержки.

18 марта парижане ответили, что платеж ушел. 22 марта они прислали подтверждение, приложив к письму платежку. По их прикидкам, максимум через неделю аргентинский клуб должен был увидеть свои деньги. Время идет. Клубы вяло ведут переписку на тему «Где деньги?». Аргентинцы угрожают жалобой в FIFA. Французы говорят, что деньги были переведены в строгом соответствии со всеми договоренностями, и более того – есть подтверждение, что они уже поступили на счет. 17 апреля «Бока Хуниорс» опять пишет в «Пари Сен-Жермен», чтобы сказать, что денег нет, и просит предоставить более подробную информацию. Через неделю французский клуб высылает аргентинцам всю имеющуюся переписку и документацию по траншу. Письмо производит эффект разорвавшейся бомбы. 

«Бока Хуниорс» выясняет, что их деньги сначала ушли на банковский счет некоей мексиканской фирмы Vector Casa de Bolsa в Нью-Йорке, а оттуда перекочевали в Мексику, на счет, принадлежащий компании под названием OM IT Solutions S. A de CV. Стоит ли говорить о том, что представители клуба в первый раз в жизни услышали о существовании этих фирм?

Как такое может быть? Оказалось, что часть писем от якобы сотрудников «Бока Хуниорс» приходила в «Пари Сен-Жермен» с посторонних адресов. Причем заметить разницу было не так уж просто. По сообщению аргентинского новостного портала Infobae, получившего доступ к документации по этому делу, вместо адресов на bocajuniors.com.ar мошенники использовали адреса на другом домене, название которого отличалось всего на одну букву. Разумеется, в этих письмах были инструкции по переводу денег, благодаря которым 520 млн евро и ушли на подставные счета.

Клуб «Бока Хуниорс» обратился с заявлением в прокуратуру. На данный момент следствие продолжается. По одной из версий, хакерам удалось получить несанкционированный доступ к почте кого-то из сотрудников аргентинского клуба и, таким образом, заполучить информацию, которая и помогла им настолько успешно воспользоваться методами социальной инженерии.

Как не стать жертвой

Для защиты от методов социальной инженерии одних технических средств не хватит. Особенно если злоумышленник действует профессионально и имеет доступ к реальному почтовому ящику человека, за которого он пытается себя выдать. Поэтому для того, чтобы не стать жертвой мошенников, мы советуем:

•    четко прописать процедуру банковского перевода финансовых средств, чтобы ни у кого из сотрудников не было возможности бесконтрольно перевести их на сторонние счета;
•    разумно сделать так, чтобы переводы крупных сумм авторизовывались несколькими менеджерами;
•    обучить сотрудников основам кибербезопасности и научить скептически относиться к входящим письмам;
•    предотвратить захват корпоративных почтовых учетных записей при помощи антифишинговой защиты на уровне почтового сервера.

Татьяна Неверко

Тұрғын үй нарығы: жаңасы қымбаттап, ескісі арзандайды

«Әлемдік апат», «құйынды дауыл», «қара түнек» – бұл биылғы дағдарысқа тағылған эпитеттердің бір парасы ғана. Экономика бұған дейін бұндай жағымсыз факторлар шоғырын сезінбеген болар. Соның ішінде тұрғын үй нарығына да валюта құнсыздануы мен карантиннің кері әсері қатты тиіп тұр. 


Darmen Sadvakasov

How the Pandemic Will Change World Cities

For centuries, various diseases have influenced the development of big cities and radically changed the townspeople’s way of life. The aftermath of the Spanish flu and swine flu, epidemics of typhoid fever and yellow fever have already faded from people’s memory, but cities never forget.


Dinara Inkarbekova

Introducing 5G: Where’s the Truth?

Lately the internet has been full of discussions about 5G mobile networks being harmful to health. Followers of this new conspiracy theory mention the influence of 5G networks in conjunction with the emergence of COVID-19, insisting that radio frequencies are destroying people’s immune systems, not the virus. In the middle of spring this year, vandals started torching telecommunication towers in Great Britain. More than 77 towers were burned down, and most of them didn’t even have the equipment to support mobile networks of the fifth generation.


Eduard Schloss

What Digital Marketing Trends of 2020 Every Entrepreneur Needs to Know

The current crisis is an event that will affect everyone. “As a result of the pandemic, the global economy is projected to contract sharply in 2020 – by 3%, which is much worse than during the 2008-09 financial crisis.” This is a thesis taken from the International Monetary Fund (IMF)’s report on the world economic outlook.


Динара Инкарбекова

Инвестиционные возможности после пандемии. Какие отрасли ждет качественный скачок?

Мировая пандемия коронавируса застала врасплох всех, независимо от профессии и образования. Она серьезно дестабилизировала фондовые рынки и изменила вектор развития целых отраслей и мировую экономику в целом. Одни секторы борются за выживание, другие же стараются выжать по максимуму из новых возможностей.  Однозначно сегодня можно сказать только одно: коронакризис уже значительно изменил привычный уклад жизни и мир уже не вернется к исходной точке.