Благодаря невнимательности преступника специалисты SecureWorks раскрыли новую схему мошенничества
Специалисты по безопасности из компании SecureWorks провели большую работу и полностью раскрыли схему мошенничества с компрометацией деловой электронной почты. Схема довольно простая и, как оказалось, очень эффективная.
Так называемые «нигерийские» мошенники массово рассылали спам со ссылками на веб-страницы, где запускался эксплойт-пак, или прикладывали троян в аттачменте к письму. Их целью было завладеть компьютером с ящиком корпоративной электронной почты какого-нибудь высокопоставленного менеджера. Цель достигалась в несколько этапов. Например, на первом этапе достаточно заразить компьютер менеджера низшего звена или секретаря, у которого в контактах электронной почте есть более выосокопоставленный сотрудник. И так далее по лестнице вверх.
Когда мошенникам удавалось установить трояна на компьютер высокопоставленного менеджера («продавец» на диаграмме), вступала в действие следующая схема.
Иллюстрация: SecureWorks
Суть мошенничества под названием Wire Wire показана на инфографике. Продублируем этапы ещё раз, для ясности:
- Компрометация почтового ящика продавца с помощью фишинга или зловреда. Как уже было сказано, цели можно достичь через нижестоящих сотрудников.
- Злоумышленник изучает почтовый ящик продавца в поисках дорогих контрактов, которые находятся на предварительной стадии (например, покупатель запросил цену).
- Злоумышленник устанавливает редирект в почтовом ящике продавца, чтобы подделать будущие почтовые сообщения от покупателя.
- Покупатель отправляет продавцу заказ на поставку товара, и документ перенаправляется злоумышленнику.
- Злоумышленник «клонирует» почтовый адрес покупателя (используя похожий домен) и перенаправляет документ продавцу уже с этого адреса, таким образом устанавливая канал коммуникации через себя (атака MiTM).
- Продавец отвечает «покупателю» (на клонированный адрес, который контролируется злоумышленником) с инвойсом, содержащим платёжные инструкции.
- Злоумышленник изменяет банковские реквизиты в инвойсе и перенаправляет изменённый документ покупателю.
- Покупатель перечисляет деньги на банковский счёт, который находится под контролем злоумышленника.
Что интересно, детально изучить новую схему помогло то, что один мошенник случайно заразил свой компьютер собственным трояном RAT, который использовал в работе (говорят, такое происходит на удивление часто). Скриншоты его экрана и логи нажатий клавиш постоянно загружались в открытую папку на веб-сервере. Собственно, эту папку и обнаружили следователи в начале своего расследования. Скриншоты и логи стали ценным источником информации о деятельности группы примерно из 30 мошенников, для которой этот человек (его назвали Mr. X) был ключевой фигурой. Затем были найдены скриншоты и логи с заражённых ПК ещё четырёх мошенников.
Несколько месяцев специалисты изучали скриншоты экранов и все нажатия клавиш. За это время удалось выяснить много интересных подробностей.
Например, не все мошенники в сообществе Wire Wire были опытными. Некоторые с трудом понимали, как работает зловред и как он распознаётся антивирусами. Mr. X оказывал техническое содействие и предоставлял инфраструктуру, которая позволяла группе эффективно работать.
Исследователи видели неумело модифицированные инвойсы, где шрифт поддельных реквизитов сильно отличается от оригинального, а банковский счёт принадлежит совершенно постороннему бизнесу и находится в другой стране, не в той, что продавец. Тем не менее, атака с компрометацией деловой почты оказалась достаточно эффективной во многих случаях.
Например, в случае самого крупного мошенничества специалисты наблюдали, как злоумышленники скомпрометировали почту сотрудника индийской химической компании. Он пользовался веб-интерфейсом, так что для входа в почтовый ящик требовались только логин и пароль. Злоумышленники увидели деловую возможность, когда индийской компании пришло предложение о покупке химикатов на сумму $400 000 от американской компании, тоже из химической отрасли. Получив инвойс от продавца, мошенники модифицировали IBAN (номер счёта), название и адрес банка, SWIFT/BIC код банка — и переслали инвойс покупателю. Американская компания по незнанию перечислила мошенникам $400 000.
Исследователи говорят, что в группе не было чёткой иерархии. Вместо этого все платили Mr. X за обучение и сервис, а также выплачивали ему процент от своих доходов. Большинство участников группы живут в одном районе Нигерии и знают друг друга лично.
Авторы доклада также обращают внимание, что члены группы Wire Wire отличаются от типичных мошенников из Западной Африки. Типичные мошенники — это обычно молодые парни в возрасте до 29 лет, которые тусуются в компьютерных клубах, ведут себя экстравагантно и публикуют фотографии с пачками купюр и причудливыми автомобилями в социальных сетях. Хороший профиль на этих ребят (Yahoo Boys) в своё время составил Брайан Кребс.
В отличие от «золотых мальчиков» Yahoo Boys, члены группировки Wire Wire принадлежат к более старшему возрасту до 40 лет, предпочитают работать из дома, в социальных сетях выглядят респектабельно, но никогда не демонстрируют пачки купюр или причудливые автомобили, а также почти все очень набожные люди, которые посещают церковь. Исследование их профилей в социальных сетях показало также, что зачастую они — семейные, уважаемые люди с высокой репутацией. Они чувствуют себя обязанными помогать сородичам, что зачастую означает вовлечение в схему Wire Wire, потому что в стране нет других способов достойного заработка.
Изучение инвойсов и заказов на поставку товара показал, что члены преступной группировки получили доход, в среднем, $3 млн за год своей деятельности. Исследователи видели поддельные инвойсы на сумму от $5000 до $250 000, хотя средняя сумма убытков для компаний составляла от $30 000 до $60 000.
Специалисты SecureWorks поделились результатами своих наблюдений на хакерской конференции Black Hat. Нужно сказать, им повезло. Если бы мошенник не заразил свой компьютер RAT, то найти преступников было бы очень трудно. Покупатель долго ждал товара, а потом обычно приходил к мнению, что продавец его обманул.
О результатах своей работы специалисты Джеймс Беттке и Джо Стюарт проинформировали Комиссию по экономическим и финансовым преступлениям Нигерии, а их отчёт уже привёл как минимум к одному расследованию.
Беттке и Стюарт также выложили на GitHub программу pdfxpose, которая определяет подозрительные модификации в файлах PDF, чтобы предотвратить атаку с компрометацией электронной почты.
Комментарии (17)
pnetmon
09.08.2016 08:11Оригинально конечно — зачем ломать защиту клиент-банка и защиту на компьютере где он установлен если можно взломать почтовый сервер и где проблему обнаружат не на следующий день.
И ведь никакая ЭДО и криптография не поможет при захвате управления компьютером сотрудника продавца. Или почтового сервера.
Другая версия изложения этой новости мелькала тут https://habrahabr.ru/company/kaspersky/blog/307202/
Хотя есть одна проблема про которую не написали — банк продавца должен сверять реквизиты получателя — Название получателя в ПП должно совпадать с названием на кого открыт счет. Думается нельзя открыть в банке счет на левое имя если нету документов на такую организацию. А покупателя должно насторожить что он переводит деньги на счет с левым названием организации получателя.
p.s. особенно умиляет эта новость на прошедшем фоне чтения и логирования всей переписки компетентными органами
Перевод немного хромает — не все читающие понимают значения инвойс.pnetmon
09.08.2016 08:55А может эта новость в оригинале это реклама систем электронного документаоборота между организациями? Там нету как таковой проблемы подделки электронной почты.
Хотя подделать сайт документаоборота и прислать левое письмо с левой ссылкой возможно. Или подменять письма на компьютере клиента
sirocco
09.08.2016 10:38+3Если суммы не большие, то не сверяют. Я, как инженер, ищу какое-то оборудование, к примеру. Нашёл сайтик, начал общаться с манагером. Меня всё устроило, допустим, я прошу логистику оплатить и доставить мне такой-то прибор, отправляю им реквизиты. Они перенаправляют оплату в бухгалтерию, бухгалтеру вообще до лампочки кто там и чего, у него есть задание оплатить, он перечисляет деньги по реквизитам. И не обязательно искать сделку на стопитсот тыщь. ВСЁ.
pnetmon
09.08.2016 10:58>>Если суммы не большие, то не сверяют
— я говорил о сотрудниках банка получателя средств, деятельность которых регламентируется разными положениями ЦБ, например в России «ПОЛОЖЕНИЕ О ПРАВИЛАХ ОСУЩЕСТВЛЕНИЯ ПЕРЕВОДА ДЕНЕЖНЫХ СРЕДСТВ N 383-П»
О том что у злоумышленники должны заранее открыть счет в банке на определенное название фирмы, иначе банковские сотрудники нарушают.
Charg
09.08.2016 12:22Я думаю под каждую такую махинацию регистрировались свои счета? Т.е. если в оригинале покупатель должен был перечислить $100к на счет такой-то компании «даласские колбы и пробирки» — то это всё дело подменялось другим счетом от компании «даласские пробирки и колбочки». Которую заведомо регистрировали.
snipsnap
09.08.2016 12:27+1Меняются полностью реквизиты, в том числе название организации получателя, на новые. Оставляют только назначение платежа. Торговое наименование может быть одно а название юр.лица совсем другое — в этом нет проблемы. Мы работали с компанией «Русский лес», которая оказывала нам медицинские услуги.
InfraredWar
09.08.2016 15:08Для нормальной проводки платежа достаточно указания двух полей в реквизитах получателя, несущих информацию об конкретном адресате (остальное игнорируется). В практике был случай, где при удаленном подключении у клиента в уже сформированной платежке заменили лишь ИНН и счет получателя. Название организации оставили тоже. Платеж успешно прошел, и лишь под конец месяца клиент обнаружил недостачу, получив претензии от контрагента об отсутствии ежемесячного взноса.
bankir1980
10.08.2016 18:18При несоответствии ИНН и наименования получателя по счету с данными в банковской системе, поступивший документ ставится на невыясненные, а не зачисляется получателю. После этого сотрудник банка получателя отправляет запрос банку отправителя на подтверждение неверных данных и банк отправитель связывается с плательщиком и выясняет. Вот тут как раз и может выявиться такая ситуация. Если плательщик подтверждает (по сути должен откорректировать неверные данные, которые должны совпасть с данными получателя), банк плательщика отправляет уточненные реквизиты документа в банк получателя и документ из невыясненных переводится на счет получателя. Если не подтверждается, то деньги обратно возвращают.
pnetmon
10.08.2016 19:16О, значит нужно открывать «левый счет» имея документы на фирму с определенным ИНН что намного сложнее чем на просто фирму «однофамилицу»
Deverex
09.08.2016 11:30Может я что-то не понимаю в большом зарубежном бизнесе, но у нас реквизиты платежные проверяются из разных источников, не считая самого договора поставки (бумажного или подписанного квалифицированной ЭП). Одно дело, если интернет-магазину доверился и кинули, совсем другое — химикатов на 400000$ из другой страны заказать. С трудом верится, что опускание базовых проверок контрагента и параметров сделки дает окупаемый выигрыш во времени.
Rifal
09.08.2016 13:58Большие корпорации не умеют считать деньги из-за слишком большой и сложной структуры. Помните истории про «забытых» сотрудников, секретные отделы и прочее…
Deverex
09.08.2016 14:38Плохой контроль за внутренними расходами — это известная беда (про лишние отделы, сотрудников, неиспользуемые ресурсы и т.п.), но просто отправить деньги по реквизитам из e-mail — это новый уровень халатности. Я тоже в большой компании работаю (крупнейший налогоплательщик РФ) и к договорам имею самое прямое отношение. Проверка выполняется многократная — от целей/задач до благонадежности контрагента и, разумеется, его реквизитов. Причем платежи выполняются централизованно. Касается любой суммы больше 10 т.р. и редких хоз.покупок за наличку.
В общем, как угрозу для своей конторы изложенный сценарий не рассматриваю. Утонет в бюрократии.Rifal
09.08.2016 15:10Хоть какой-то плюс есть в нашей бюрократии! Я помню как шокировали немцев, когда на небольшой заказ попросили оформить договор — как мы поняли для них это было совсем дикость. Поэтому видимо у нас в России про это не слышали…
Deverex
09.08.2016 15:48Вынужден согласиться про бюрократию.
Методичное внедрение технологий электронного документооборота, кстати, отнюдь не снижает количественные показатели бюрократии в шагах, но зато реально сокращает время на их исполнение.
pnetmon
18.08.2016 10:42А вот Ведомости 16 августа подтянулись http://www.vedomosti.ru/management/articles/2016/08/17/653316-malii-biznes-stradaet-kibermoshennikov
переводом статьи от 3 августа в WSJ — New Techniques Used to Target Business Email
В июле ФБР выпустило предупреждение о мошенничестве для компаний. В нем говорилось, что подобные схемы труднее идентифицировать, поскольку преступники используют настоящие требования оплаты, направленные поставщиками. По данным ФБР, анализ самых свежих 44 инцидентов показал, что в 84% случаев деньги ушли на счета в Китае и Гонконге, откуда жертвам труднее их вернуть. Всего же с 2013 г. ФБР зарегистрировало почти 18 000 случаев мошенничества со взломом электронной почты, общая сумма ущерба от них достигла $2,3 млрд. При этом за последний год количество таких жалоб утроилось.
MiXaiL27
Надеюсь, что хотя бы лет через 20 ЭДО с криптографией станет повсеместным в мировой практике.
Kasatich
Кстати анекдот — подключил ЭДО для одной организации, включил в число адресатов — МГТС. Т.к. у них один черт запил насчет того что «бумажные документы юрлицам не предоставляем». и что же — МГТС даже по каналам ЭДО рассылает защищенный криптографией спам о новых услугах. Это сейчас-то. А лет через 20 чере это ЭДО и вирусы будут слать совершенно спокойною