15.06.2019 | 00:04

Adam Haertle

Jak LOT zapłacił złodziejom 2,6 mln PLN raty za samoloty

Fałszywe faktury dają cyberprzestępcom najlepszy zwrot z inwestycji. Koszt włamania na skrzynkę poczty – znikomy. Przelew na kilka milionów – łatwy do pozyskania. A wszystko dzięki niefrasobliwości pracowników i nieskutecznym procedurom.

O niektórych incydentach wiemy (patrz „Przykład 4” w tym artykule), lecz często nie możemy opowiedzieć, dopóki ktoś inny nie wypapla . Na szczęście co jakiś czas ktoś nie wytrzymuje i fakty wychodzą na jaw, tak jak i w tym wypadku. Możemy już zatem wprost poinformować, że LOT zgubił 700 000 dolarów wierząc, że płaci ratę za samoloty. Niestety faktura była fałszywa.

Scenariusz nie jest wyrafinowany

Kradzież milionów jest naprawdę prosta, jeśli się wie, jak jej dokonać. Niezbędny jest dostęp do skrzynki pocztowej nadawcy lub odbiorcy i cierpliwość. Dostęp przydaje się, by przechwycić fakturę, a cierpliwość – by doczekać się dobrego momentu na przeprowadzenie ataku. Potem wystarczy fakturę usunąć ze skrzynki nadawcy lub odbiorcy i po kilku minutach umieścić tam już w zmodyfikowanej wersji. Zmodyfikować trzeba numer rachunku, na który mają trafić pieniądze. Potem wystarczy się chwilkę pomodlić, by pracownik wysyłający przelew nie pomyślał o weryfikacji tego numeru (zainspirowany własnym rozsądkiem lub firmowymi procedurami) i pozostaje już tylko wyprać świeżo ukradzione środki.

Autor: Peter Bakema

W przypadku LOT-u faktura dotyczyła raty za samoloty. Nie wiemy, czy domniemanym wystawcą faktury był Embraer czy Boeing, ale wiemy, że dokument opiewał na 700 000 dolarów, czyli ponad 2,5 miliona złotych. Faktura została zmodyfikowana przez przestępców przed zapoznaniem się z nią przez pracowników LOT-u. Osoby odpowiedzialne za realizację płatności nie zweryfikowały rachunku, na który miał trafić przelew i pieniądze popłynęły na Cypr, a stamtąd szybko zostały wytransferowane w kierunku Azji. To najczęstszy kierunek obserwowany przez nas w podobnych incydentach. Bliski lub Daleki Wschód są wystarczająco daleko, by ślad po złodziejach zaginął. Nie inaczej było i tym razem – odzyskać udało się tylko 200 000 dolarów (co i tak jest sporym sukcesem i oznacza dość szybką reakcję LOT-u na fakt kradzieży lub nieporadność złodziei).

LOT nie jest sam

Nie będzie to raczej pocieszeniem dla ofiary, ale przypadek LOT-u nie jest ani jedynym, ani największym tego typu incydentem w Polsce. Polska Grupa Zbrojeniowa straciła w analogiczny sposób 4 miliony złotych i także nie była to największa kradzież według tego samego wzorca. Przestępstw na kwotę kilkunastu czy kilkudziesięciu tysięcy euro lub dolarów wręcz trudno zliczyć. O ile PGZ czy LOT nie upadną po takim incydencie, to tego rodzaju kradzieże mogą być poważnym zagrożeniem dla istnienia mniejszych firm, które często padają ich ofiarami.

Opisywany scenariusz przestępstwa tłuczemy do bólu wnikliwie omawiamy na licznych, praktycznych przykładach na naszych szkoleniach, ponieważ regularnie słyszymy o nowych ofiarach tego procederu. To łatwe pieniądze dla złodziei, zatem nie należy się spodziewać, że wkrótce przestaną atakować polskie firmy w ten sposób. Może jeszcze nie jest za późno na szkolenie w Twojej firmie.

Powrót

Komentarze

  • 2019.06.15 07:07 MegaMan

    Ja na prawdę nie potrafię zrozumieć, czemu w obiegu dokumentów finansowych firmy nie stosuję przykładowo PGP lub nie podpisują dokumentów PDF certyfikatami?

    Odpowiedz
    • 2019.06.15 09:01 Adam Haertle

      Sprobuj to wdrożyć w firmie która ma tysiąc dostawców to zrozumiesz.

      Odpowiedz
      • 2019.06.15 09:11 markac

        A faktur cyfrowo nie da się podpisać…?
        Nikt tego nie weryfikuje?

        Odpowiedz
        • 2019.06.15 09:24 Duży Pies

          Wiesz co to za firma i kto tam pracuje?
          Odkopałem ich starą wtopę:
          https://zaufanatrzeciastrona.pl/post/jak-lot-cudze-serwery-atakowal-czyli-historia-prawdziwa/
          Narodowy przewoźnik… Polska to kraj z tektury!

          Odpowiedz
          • 2019.06.15 09:37 markac

            Ale to nie LOT wystawił fakturę, a dostawca samolotów.
            Takie firmy mają swoje procedury, to są kwoty na setki tysięcy, czy milionów dolarów, więc czegoś w tym artykule chyba brakuje,
            bo nikt mi nie wmówi, że dostawca wysłał fakturę niepodpisaną cyfrowo, albo chociaż maila niepodpisanego cyfrowo.
            No chyba, że LOT całkowicie olał to i nawet nie zweryfikował żadnych podpisów, to wtedy OK…

          • 2019.06.15 10:23 Adam Haertle

            Idź do jakiejś dużej firmy i zacznij mówić o podpisach cyfrowych. Powodzenia. Naprawdę są powodu, dla których nie zostało to do tej pory wdrożone.

          • 2019.06.17 11:54 Cyber Killer

            @Adam Haertle: jedyny powód dlaczego podpisy cyfrowe dla maili/faktur nie są wdrażane to taki że ludzie są głupi. Po dziś dzień masowo, nawet w branży IT nie ma zrozumienia w jaki sposób działa kryptografia asymetryczna, a co dopiero pośród normalsów.

          • 2019.06.17 13:54 Adam Haertle

            Ludzie zawsze będą ludźmi. Jeśli coś jest zbyt skomplikowane to nie znaczy że ludzie są za głupi. Z Signala czy Whatsappa potrafią jakoś korzystać, a jest porządnie szyfrowany. To autorzy rozwiązań do szyfrowania są głupi że nie potrafią stworzyć użytecznych i prostych produktów.

          • 2019.06.17 23:49 they trust me, dumb fucks

            te wygodne i przyjemne aplikacje wymagają smartfona, aplikacji, podania numeru telefonu, utrudniają albo uniemożliwiają backup kluczy
            ale „normalnym ludziom” i tak będzie się podobało bo świecąca ikonka i no heh snowden poleca
            za to GPG, XMPP działają wszędzie ale oczywiście są „totalnie trudne w obsłudze”

        • 2019.06.15 10:26 Adam Haertle

          Uzgodnienie jakichkolwiek wspólnych procedur weryfikacji między setkami podmiotów jest w zasadzie niewykonalne.

          Odpowiedz
          • 2019.06.16 18:13 g.

            To nie do końca tak że musisz kogokolwiek do czegokolwiek zmuszać. Pracuje w takim hubie i tu sposób jest dość prosty, z każdym z dostawców (i odbiorców) podpisywanie są porozumienia bądź wpisywane są w umowach rachunki bankowe na które dokonywane są rozliczenia.
            Podpisywane fizycznie. I nikt na to nie patrzy wilkiem, a kontrahenci bardzo międzynarodowi i z tzw. górnej półki.
            Słowo klucz: procedura. Przychodzi invoice z innym rachunkiem bankowy, jest żądanie zmiany porozumienia bądź korekty faktury.
            A jak działa udzielne księstwo LOT(OT: tu pozdrawiam dla KK) i każde inne przedsiębiorstwo będące rządową przechowalnią talentów to już przecież inna bajka jest :)

          • 2019.06.16 20:06 Adam Haertle

            I to jest dużo sensowniejsze rozwiązanie niż PGP czy podpisy cyfrowe. Sensowniejsze, bo da się je wdrożyć.

          • 2019.06.17 10:15 dfsdf

            Już od września będzie krajowy rejestr rachunków firmowych, więc przynajmniej krajowe przelewy będą łatwiejsze do weryfikacji.

            za: bezprawnik.pl [https://bezprawnik.pl/biala-lista-podatnikow-vat/]

      • 2019.06.15 09:29 szteniek

        Wystarczy, że przed pozyskaniem każdego z tych 1000 dostawców podanoby jedno kryterium przetargowe – faktury elektroniczne podpisane cyfrowo podpisem którego wzorzec jest ustalany na mocy osobnych procedur z działem bezpieczeństwa. Jak nie mają działu bezpieczeństwa to i 3 specjalistyczne stołki w takim państwowym molochu nie są problemem.

        Odpowiedz
        • 2019.06.15 10:24 Adam Haertle

          Gdyby to było takie proste to ktoś by to wdrożył. Nikt nie wdrożył, więc chyba to bardziej skomplikowane niż jeden komentarz na blogu.

          Odpowiedz
      • 2019.06.15 17:41 Kali

        Mieszkam we Wloszech, tu sa tylko faktury elektroniczne raczej niemozliwe do podrobienia, polecam sie zainteresowac jak to dziala w skali calego kraju. Sam takie faktury wystawiam.

        Odpowiedz
        • 2019.06.15 18:38 Adam Haertle

          Wystawiam faktury Włochom, nie korzystałem z ich systemu tylko mam swoje i tez działa. W tym przypadku LOT nic by nie pomogło bo to rozliczenia międzynarodowe. Szach mat.

          Odpowiedz
      • 2019.06.15 18:20 Andrzej

        Korporacje od lat stosują wyspecjalizowane serwisy do zamówień, weryfikacji płatności wystawiania faktur. Dzięki temu inwestor ma zawsze fakturę czy zamówienie z zaufanego źródła, i każda faktura ma akceptowany przez inwestora jeden wzór. Można korzystać z dodatkowych zabezpieczeń na urządzeniach brzegowych. Nie rozumiem dlaczego tak duże przedsiębiorstwo nie korzysta z podobnych rozwiązań.

        Odpowiedz
        • 2019.06.15 18:37 Adam Haertle

          Bo nie zmusisz do tego dostawców, szczególnie zagranicznych.

          Odpowiedz
    • 2019.06.15 19:56 Też nie rozumiem

      Jak można nie wiedzieć, jak zapisujemy „naprawdę”. Dzisiaj w wiadomościach też pokazano „alternatywną” pisownię. Naprawdę, sprawdzenie tego w dobie komputerów i internetu zajmuje 3 sekundy.

      Co do GPG, to takie technologie są bardzo fajne, ale wymuszenie ich stosowania w ramach jednej organizacji trudne, a przy kontakcie z partnerami biznesowymi wręcz niemożliwe. Nawet korzystanie z zaufanej 3 strony ;) może być kłopotliwe i kosztowne (znaczniki czasu nie są za darmo). W tym wypadku to dostawca musiałby wystawić taki dokument, który jesteśmy w stanie zweryfikować. Stworzenie i pilnowanie procedur przelewów również by wystarczyło w tym przypadku.

      Odpowiedz
    • 2019.06.16 08:35 Henio

      Normalna sprawa. Po pracy w banku nie dziwią mnie tego typu sprawy. To się zdarza conajmniej raz każdego miesiąca. Klient banku żąda od banku wyjaśnień gdzie są jego pieniądze, a sam jest kretynem, który wysłał hajs na kajmany ale w inne ciekawe miejsce bo dostał maila, smsa lub wiadomość na whats’upie! To ludzie są głupi i to na każdym szczeblu. Ludzie mają w dupie podpisy i zabezpieczenia.

      Odpowiedz
  • 2019.06.15 09:26 Tb88pl

    Da się wystawić, lecz ciagle pozostaje kwestia weryfikacji nr. Rachunku

    Odpowiedz
    • 2019.06.15 17:43 Kali

      nr rachunku powinien byc przypisany do dostawcy, a nie do faktury, jak w modelu wloskim.

      Odpowiedz
  • 2019.06.15 11:03 lol

    Jeśli w państwie z dykty takim jak jest PL, kary za współpracę z przestępcami będą na poziomie kilku lat – nic się nie zmieni. A właśnie tak to wygląda, jako celowe działanie kogoś z wewnątrz firmy. A udowodnić w tym przypadku, że ktoś celowo przelał kaskę na konto przrstępców – graniczy z cudem

    Odpowiedz
  • 2019.06.15 11:19 ...

    Trudno uwierzyć w brak insidera na pokładzie

    Odpowiedz
    • 2019.06.15 12:20 Adam Haertle

      Znamy wiele przypadków, w żadnym nie było insidera. Nie jest potrzebny.

      Odpowiedz
  • 2019.06.15 12:51 Przemysław

    W sumie w takim przypadku pomysł ministerstwa z lista numerow kont firmowych na ktore mozna robic przelewy wydaje sie byc super :] pomijajac oczywoscie kwestie podmiotow zagranicznych.

    Odpowiedz
  • 2019.06.15 21:47 Kazik

    Wdrożenie blockchain dla faktur i po sprawie.

    Odpowiedz
  • 2019.06.16 11:12 Bareja

    To jest tak, że jeżeliby nam ktuś, na przykład, rozumiesz, wystawił lewą fakturę i by go złapały to nam muszą oddać samolot, rozumiesz?

    Odpowiedz
  • 2019.06.17 09:52 K6T

    Wydaje się, że złodziej miał (ma?) dostęp do oryginalnych faktur. Ciekawe czy ktoś to sprawdził.

    Odpowiedz
    • 2019.06.17 20:38 Therminus

      Przejął skrzynkę email, na którą te faktury przychodzą, albo tę, z której wychodzą.
      Pewnie jeszcze był mail o zmianie nr konta i nikt nie wpadł na pomysł, aby zweryfikować to innym kanałem (telefonicznie).

      Odpowiedz
  • 2019.06.17 15:07 Maciej

    KOMISJA SLEDCZA

    Odpowiedz
  • 2019.06.18 05:11 Remulus

    Obecnie cała administracja publiczna przechodzi na efaktury : https://efaktura.gov.pl więc będzie trudniej przeprowadzić atak tego typu. Skończą się faktury przychodzące na maila.

    Odpowiedz
    • 2019.07.12 09:28 Sobiesław

      Ten cały portal efaktura.gov.pl, to tylko dla tych co obracają się w kręgu zamówień publicznych. Nie każda firma prowadzi wymianę wg ustawy o przetargach publicznych. Z drugiej strony, to szalony pomysł, aby tworzyć portal, który służy wyłącznie do utworzenia pisma będącego fakturą. Ciekawe czy ten kierunek rozwoju cyfryzacji w państwie, sprawi że znikną całe tabuny osób w księgowości, które prowadzą segregatory! Z drugiej strony, efektywniejszym rozwiązaniem byłoby, podpięcie takiego e-fakturowania jako moduł do obsługi konta firmowego! Ta e-fatura wystawiana byłaby z parametrami konta przypisanymi do konta bankowego na jakim została wytworzona! Ale jak to w Polsce! Ktoś musiał parę złotych przytulić, bo kasa z budżetu czyli niczyja!

      Odpowiedz
  • 2019.06.24 06:56 Romeoo

    A ja się pytam czy ktoś poniósł tego konsekwencje? Nazwisko!

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak LOT zapłacił złodziejom 2,6 mln PLN raty za samoloty

Komentarze