Fałszywe faktury dają cyberprzestępcom najlepszy zwrot z inwestycji. Koszt włamania na skrzynkę poczty – znikomy. Przelew na kilka milionów – łatwy do pozyskania. A wszystko dzięki niefrasobliwości pracowników i nieskutecznym procedurom.
O niektórych incydentach wiemy (patrz „Przykład 4” w tym artykule), lecz często nie możemy opowiedzieć, dopóki ktoś inny nie wypapla . Na szczęście co jakiś czas ktoś nie wytrzymuje i fakty wychodzą na jaw, tak jak i w tym wypadku. Możemy już zatem wprost poinformować, że LOT zgubił 700 000 dolarów wierząc, że płaci ratę za samoloty. Niestety faktura była fałszywa.
Scenariusz nie jest wyrafinowany
Kradzież milionów jest naprawdę prosta, jeśli się wie, jak jej dokonać. Niezbędny jest dostęp do skrzynki pocztowej nadawcy lub odbiorcy i cierpliwość. Dostęp przydaje się, by przechwycić fakturę, a cierpliwość – by doczekać się dobrego momentu na przeprowadzenie ataku. Potem wystarczy fakturę usunąć ze skrzynki nadawcy lub odbiorcy i po kilku minutach umieścić tam już w zmodyfikowanej wersji. Zmodyfikować trzeba numer rachunku, na który mają trafić pieniądze. Potem wystarczy się chwilkę pomodlić, by pracownik wysyłający przelew nie pomyślał o weryfikacji tego numeru (zainspirowany własnym rozsądkiem lub firmowymi procedurami) i pozostaje już tylko wyprać świeżo ukradzione środki.
W przypadku LOT-u faktura dotyczyła raty za samoloty. Nie wiemy, czy domniemanym wystawcą faktury był Embraer czy Boeing, ale wiemy, że dokument opiewał na 700 000 dolarów, czyli ponad 2,5 miliona złotych. Faktura została zmodyfikowana przez przestępców przed zapoznaniem się z nią przez pracowników LOT-u. Osoby odpowiedzialne za realizację płatności nie zweryfikowały rachunku, na który miał trafić przelew i pieniądze popłynęły na Cypr, a stamtąd szybko zostały wytransferowane w kierunku Azji. To najczęstszy kierunek obserwowany przez nas w podobnych incydentach. Bliski lub Daleki Wschód są wystarczająco daleko, by ślad po złodziejach zaginął. Nie inaczej było i tym razem – odzyskać udało się tylko 200 000 dolarów (co i tak jest sporym sukcesem i oznacza dość szybką reakcję LOT-u na fakt kradzieży lub nieporadność złodziei).
LOT nie jest sam
Nie będzie to raczej pocieszeniem dla ofiary, ale przypadek LOT-u nie jest ani jedynym, ani największym tego typu incydentem w Polsce. Polska Grupa Zbrojeniowa straciła w analogiczny sposób 4 miliony złotych i także nie była to największa kradzież według tego samego wzorca. Przestępstw na kwotę kilkunastu czy kilkudziesięciu tysięcy euro lub dolarów wręcz trudno zliczyć. O ile PGZ czy LOT nie upadną po takim incydencie, to tego rodzaju kradzieże mogą być poważnym zagrożeniem dla istnienia mniejszych firm, które często padają ich ofiarami.
Opisywany scenariusz przestępstwa tłuczemy do bólu wnikliwie omawiamy na licznych, praktycznych przykładach na naszych szkoleniach, ponieważ regularnie słyszymy o nowych ofiarach tego procederu. To łatwe pieniądze dla złodziei, zatem nie należy się spodziewać, że wkrótce przestaną atakować polskie firmy w ten sposób. Może jeszcze nie jest za późno na szkolenie w Twojej firmie.
Komentarze
Ja na prawdę nie potrafię zrozumieć, czemu w obiegu dokumentów finansowych firmy nie stosuję przykładowo PGP lub nie podpisują dokumentów PDF certyfikatami?
Sprobuj to wdrożyć w firmie która ma tysiąc dostawców to zrozumiesz.
A faktur cyfrowo nie da się podpisać…?
Nikt tego nie weryfikuje?
Wiesz co to za firma i kto tam pracuje?
Odkopałem ich starą wtopę:
https://zaufanatrzeciastrona.pl/post/jak-lot-cudze-serwery-atakowal-czyli-historia-prawdziwa/
Narodowy przewoźnik… Polska to kraj z tektury!
Ale to nie LOT wystawił fakturę, a dostawca samolotów.
Takie firmy mają swoje procedury, to są kwoty na setki tysięcy, czy milionów dolarów, więc czegoś w tym artykule chyba brakuje,
bo nikt mi nie wmówi, że dostawca wysłał fakturę niepodpisaną cyfrowo, albo chociaż maila niepodpisanego cyfrowo.
No chyba, że LOT całkowicie olał to i nawet nie zweryfikował żadnych podpisów, to wtedy OK…
Idź do jakiejś dużej firmy i zacznij mówić o podpisach cyfrowych. Powodzenia. Naprawdę są powodu, dla których nie zostało to do tej pory wdrożone.
@Adam Haertle: jedyny powód dlaczego podpisy cyfrowe dla maili/faktur nie są wdrażane to taki że ludzie są głupi. Po dziś dzień masowo, nawet w branży IT nie ma zrozumienia w jaki sposób działa kryptografia asymetryczna, a co dopiero pośród normalsów.
Ludzie zawsze będą ludźmi. Jeśli coś jest zbyt skomplikowane to nie znaczy że ludzie są za głupi. Z Signala czy Whatsappa potrafią jakoś korzystać, a jest porządnie szyfrowany. To autorzy rozwiązań do szyfrowania są głupi że nie potrafią stworzyć użytecznych i prostych produktów.
te wygodne i przyjemne aplikacje wymagają smartfona, aplikacji, podania numeru telefonu, utrudniają albo uniemożliwiają backup kluczy
ale „normalnym ludziom” i tak będzie się podobało bo świecąca ikonka i no heh snowden poleca
za to GPG, XMPP działają wszędzie ale oczywiście są „totalnie trudne w obsłudze”
Uzgodnienie jakichkolwiek wspólnych procedur weryfikacji między setkami podmiotów jest w zasadzie niewykonalne.
To nie do końca tak że musisz kogokolwiek do czegokolwiek zmuszać. Pracuje w takim hubie i tu sposób jest dość prosty, z każdym z dostawców (i odbiorców) podpisywanie są porozumienia bądź wpisywane są w umowach rachunki bankowe na które dokonywane są rozliczenia.
Podpisywane fizycznie. I nikt na to nie patrzy wilkiem, a kontrahenci bardzo międzynarodowi i z tzw. górnej półki.
Słowo klucz: procedura. Przychodzi invoice z innym rachunkiem bankowy, jest żądanie zmiany porozumienia bądź korekty faktury.
A jak działa udzielne księstwo LOT(OT: tu pozdrawiam dla KK) i każde inne przedsiębiorstwo będące rządową przechowalnią talentów to już przecież inna bajka jest :)
I to jest dużo sensowniejsze rozwiązanie niż PGP czy podpisy cyfrowe. Sensowniejsze, bo da się je wdrożyć.
Już od września będzie krajowy rejestr rachunków firmowych, więc przynajmniej krajowe przelewy będą łatwiejsze do weryfikacji.
za: bezprawnik.pl [https://bezprawnik.pl/biala-lista-podatnikow-vat/]
Wystarczy, że przed pozyskaniem każdego z tych 1000 dostawców podanoby jedno kryterium przetargowe – faktury elektroniczne podpisane cyfrowo podpisem którego wzorzec jest ustalany na mocy osobnych procedur z działem bezpieczeństwa. Jak nie mają działu bezpieczeństwa to i 3 specjalistyczne stołki w takim państwowym molochu nie są problemem.
Gdyby to było takie proste to ktoś by to wdrożył. Nikt nie wdrożył, więc chyba to bardziej skomplikowane niż jeden komentarz na blogu.
Mieszkam we Wloszech, tu sa tylko faktury elektroniczne raczej niemozliwe do podrobienia, polecam sie zainteresowac jak to dziala w skali calego kraju. Sam takie faktury wystawiam.
Wystawiam faktury Włochom, nie korzystałem z ich systemu tylko mam swoje i tez działa. W tym przypadku LOT nic by nie pomogło bo to rozliczenia międzynarodowe. Szach mat.
Korporacje od lat stosują wyspecjalizowane serwisy do zamówień, weryfikacji płatności wystawiania faktur. Dzięki temu inwestor ma zawsze fakturę czy zamówienie z zaufanego źródła, i każda faktura ma akceptowany przez inwestora jeden wzór. Można korzystać z dodatkowych zabezpieczeń na urządzeniach brzegowych. Nie rozumiem dlaczego tak duże przedsiębiorstwo nie korzysta z podobnych rozwiązań.
Bo nie zmusisz do tego dostawców, szczególnie zagranicznych.
Jak można nie wiedzieć, jak zapisujemy „naprawdę”. Dzisiaj w wiadomościach też pokazano „alternatywną” pisownię. Naprawdę, sprawdzenie tego w dobie komputerów i internetu zajmuje 3 sekundy.
Co do GPG, to takie technologie są bardzo fajne, ale wymuszenie ich stosowania w ramach jednej organizacji trudne, a przy kontakcie z partnerami biznesowymi wręcz niemożliwe. Nawet korzystanie z zaufanej 3 strony ;) może być kłopotliwe i kosztowne (znaczniki czasu nie są za darmo). W tym wypadku to dostawca musiałby wystawić taki dokument, który jesteśmy w stanie zweryfikować. Stworzenie i pilnowanie procedur przelewów również by wystarczyło w tym przypadku.
Normalna sprawa. Po pracy w banku nie dziwią mnie tego typu sprawy. To się zdarza conajmniej raz każdego miesiąca. Klient banku żąda od banku wyjaśnień gdzie są jego pieniądze, a sam jest kretynem, który wysłał hajs na kajmany ale w inne ciekawe miejsce bo dostał maila, smsa lub wiadomość na whats’upie! To ludzie są głupi i to na każdym szczeblu. Ludzie mają w dupie podpisy i zabezpieczenia.
Da się wystawić, lecz ciagle pozostaje kwestia weryfikacji nr. Rachunku
nr rachunku powinien byc przypisany do dostawcy, a nie do faktury, jak w modelu wloskim.
Jeśli w państwie z dykty takim jak jest PL, kary za współpracę z przestępcami będą na poziomie kilku lat – nic się nie zmieni. A właśnie tak to wygląda, jako celowe działanie kogoś z wewnątrz firmy. A udowodnić w tym przypadku, że ktoś celowo przelał kaskę na konto przrstępców – graniczy z cudem
Będzie jeszcze ciekawiej :-)
https://innpoland.pl/153027,szefowie-panstwowych-spolek-bezkarni-beda-mogli-bezkarnie-brac-lapowki
Trudno uwierzyć w brak insidera na pokładzie
Znamy wiele przypadków, w żadnym nie było insidera. Nie jest potrzebny.
W sumie w takim przypadku pomysł ministerstwa z lista numerow kont firmowych na ktore mozna robic przelewy wydaje sie byc super :] pomijajac oczywoscie kwestie podmiotow zagranicznych.
Wdrożenie blockchain dla faktur i po sprawie.
To jest tak, że jeżeliby nam ktuś, na przykład, rozumiesz, wystawił lewą fakturę i by go złapały to nam muszą oddać samolot, rozumiesz?
Wydaje się, że złodziej miał (ma?) dostęp do oryginalnych faktur. Ciekawe czy ktoś to sprawdził.
Przejął skrzynkę email, na którą te faktury przychodzą, albo tę, z której wychodzą.
Pewnie jeszcze był mail o zmianie nr konta i nikt nie wpadł na pomysł, aby zweryfikować to innym kanałem (telefonicznie).
KOMISJA SLEDCZA
Obecnie cała administracja publiczna przechodzi na efaktury : https://efaktura.gov.pl więc będzie trudniej przeprowadzić atak tego typu. Skończą się faktury przychodzące na maila.
Ten cały portal efaktura.gov.pl, to tylko dla tych co obracają się w kręgu zamówień publicznych. Nie każda firma prowadzi wymianę wg ustawy o przetargach publicznych. Z drugiej strony, to szalony pomysł, aby tworzyć portal, który służy wyłącznie do utworzenia pisma będącego fakturą. Ciekawe czy ten kierunek rozwoju cyfryzacji w państwie, sprawi że znikną całe tabuny osób w księgowości, które prowadzą segregatory! Z drugiej strony, efektywniejszym rozwiązaniem byłoby, podpięcie takiego e-fakturowania jako moduł do obsługi konta firmowego! Ta e-fatura wystawiana byłaby z parametrami konta przypisanymi do konta bankowego na jakim została wytworzona! Ale jak to w Polsce! Ktoś musiał parę złotych przytulić, bo kasa z budżetu czyli niczyja!
A ja się pytam czy ktoś poniósł tego konsekwencje? Nazwisko!