Привет, Хабр! Мы с очередным рассказом из подкаста Darknet Diaries – историей про кибемошенника по имени Эвалдас Римасаускас, которому удалось украсть миллионы у Facebook* и Google. История того, как он заставил корпорации оплачивать фейковые счета Quanta Computer, широко известна. В статье – ее подробности, рассказ о том, как виртуозно он использовал методы социальной инженерии.

Манящие миллиарды корпораций

Прежде, чем перейдем к подробному описанию атак, которые использовал «герой» истории, небольшое лирическое отступление, чтобы понять мотивы кибермошенника.

В 2012 году выручка Facebook* за год составила 5 миллиардов долларов. Кто считает все эти деньги? У кого есть контроль над тем, как они расходуются? В такой компании работают десятки сотрудников с правом оплачивать счета. Возможно, у многих из них есть корпоративные кредитные карты для оплаты проезда или обучения, а у менеджеров может быть чековая книжка для крупных покупок, например, аренды нового офиса, лизинга автомобилей или даже покупки стартапа (2012 году Facebook* купил Instagram* за один миллиард долларов).

Когда вы слышите, что Facebook* купил компанию за миллиард долларов, что первое приходит в голову? Скорее всего, что у Facebook полно денег! Эту новость услышал и Эвалдас Римасаускас, 43-летний житель Вильнюса. Он задумался, кто тот человек в Facebook*, который выписал чек на миллиард долларов? Это делает сам Марк Цукерберг?

Эвалдас и раньше не был чистоплюем и начал «скользкий путь» с мелкого мошенничества, вроде покупки украденных кредиток в интернете и их обналичивания. Но после шокирующих новостей о покупке Instagram*, Эвалдас больше не хотел возиться с мелкими схемами на 200 долларов. Он хотел получить куш с больших сделок.

С тех пор Эвалдас начал изучать, как работают чеки. Он был очарован системой: маленький листок бумаги с нужными номерами и подписями — это все, что нужно, чтобы получить деньги от другого человека. Он узнал, как выписывают поддельные чеки, как работает мошенничество с платежными ведомостями и о других способах кражи денег у компаний.

Увидел цель

Эвалдас набрал команду и дал им задание – позвонить в Facebook* и выяснить, кто выписывает чеки и каким компаниям. Но цель казалась недостижимой, нельзя же просто так позвонить в Facebook* и задать вопрос напрямую. Эвалдасу и его команде пришлось решать задачу по частям и пользоваться социальной инженерией, чтобы выведать необходимую информацию.

Они звонили в службу поддержки Facebook* и задавали элементарные вопросы, например, о том, какой номер у бухгалтерии или о том, с кем можно связаться, если Facebook* должна им деньги. Также они просматривали LinkedIn сотрудников, чтобы понять, кто работает в финансовом и бухгалтерском отделах корпорации. Делали они это в надежде, что получится угадать чей-то адрес электронной почты, например, имя.фамилия@facebook.com.

Эвалдас как пазл собирал информацию о компании, чтобы узнать, как устроены внутренние бизнес-процессы. Он узнал, что Facebook* сотрудничает с компанией Quanta Computer. Та занимается ремонтом планшетов и устройства для точек продаж, а также предоставляет облачные услуги.

Пришло время сделать первый ход

Эвалдасу казалось, что у него есть вся информация, чтобы провести успешную атаку. Он решил выдать себя за Quanta Computer и выставить счет Facebook* в надежде, что корпорация заплатит ему. Осталось сделать так, чтобы все выглядело правдоподобно.

Сначала он основал компанию под таким же названием, Quanta Computer. Настоящая организация находится на Тайване, Эвалдас зарегистрировал свою Quanta в Латвии и на Кипре, открыл банковские счета, подставил свои реквизиты в счет-фактуру. К этому моменту он уже знал, кому в Facebook* отправить этот счет на оплату – все почти готово к началу атаки. Эвалдас мог понадеяться на невнимательность сотрудника корпорации и просто отправить счет со своего ящика. Но решил действовать аккуратнее – и развернул BEC-атаку.

BEC — это фишинговая атака, но киберпреступник выдает себя за кого-то, кого жертва уже знает. Эвалдас решил выяснить, кто и с какого адреса в Quanta обычно рассылает счета на оплату. Точно неизвестно, как ему удалось это выяснить, но скорее всего он зарегистрировал домен, который был очень похож на реальный домен Quanta.

С поддельного домена Эвалдас отправил электронное письмо нужному сотруднику в Facebook*, попросив его обновить платежные данные. Сотрудник не заметил подвоха и внес изменения. После этого все платежи для реальной компании Quanta Computing от Facebook* поступали на счет Эвалдаса. Это была победа Эвалдаса и его команды, они получили свою часть богатства Facebook*.

Он хотел больше денег

Эвалдас был рад, что теперь деньги Facebook* поступают на его счет, но ему было мало. Он узнал, что реальная Quanta сотрудничает и с Google. С помощью все той же социнженерии Эвалдас узнал, как устроена финансовая инфраструктура корпорации и провернул BEC-атаку с одним из сотрудников Google. Теперь и деньги Google поступали на его счета.

Эвалдас и его команда заработали миллионы долларов на Facebook* и Google. Схема пассивного заработка работала хорошо. Забавно посмотреть на ситуацию со стороны: Эвалдас отправлял поддельные счета в Facebook* и Google, а они просто их оплачивали.

Да, еще у него была целая система по отмыванию денег. После того, как Google и Facebook* переводили деньги на его подставные счета на Кипре, Эвалдас перебрасывал эти деньги на еще большее количество счетов в банках по всему миру: в Словакии, Литве, Венгрии и Гонконге.

В течение следующих двух лет он получил 23 миллиона долларов от Google и 98 миллионов долларов от Facebook*. Дела шли отлично, если бы не жадность и одна мелочь, которую Эвалдас упустил из виду.

Как расследовали

Кто-то из Google или Facebook* заподозрил недоброе. Скорее всего после того, как Quanta забила тревогу, недополучив прибыль от корпораций. Начали расследование, и обнаружили, что почтовый домен сотрудника, который отправил счет от имени Quanta не совпадает с истинным доменом. Начали выяснять, кому на самом деле принадлежала почта. Здесь и выяснилось, что Эвалдас допустил ошибку. Он зарегистрировал домен под своим личным адресом электронной почты.

После внутренних расследований корпорации уведомили ФБР о краже миллионов. Сначала ФБР заморозили счета Эвалдаса, а после начали собирать доказательства, которые представляли собой след из фальшивых счетов и контрактов. Приводил он прямо в Литву к Эвалдасу.

Литовские власти арестовали Эвалдаса и экстрадировали в Нью-Йорк. Эвалдас признал себя виновным в мошенничестве, в 2019 году его приговорили к пяти годам тюремного заключения и выставили счет – на 26 миллионов долларов. А с помощью правительства Google и Facebook* удалось возместить большую часть убытков.

BEC-атаки – это не новая практика, но они становятся все более популярными. Ущерб от таких кибератак, как видим, может быть гигантским. Чем прибыльнее бизнес, тем больше вероятность того, что он станет мишенью для воров. Пугает больше всего то, что небольшая умная команда перехитрила опытные команды безопасности Google и Facebook*, которые каждый день сталкиваются с огромным количеством атак.

Если это не чисто хакерская история, как же компании защититься? Есть инструменты, которые все лучше справляются с тем, чтобы идентифицировать похожий, но фальшивый домен или выполнить проверку его репутации – и поместить на карантин любое подозрительное письмо. Но этого недостаточно. Каждый в компании должен знать о вероятности корпоративного фишинга и уметь распознавать попытки обмана.

* Facebook и Instagram принадлежат компании Meta, которая запрещена в России и признана экстремистской.