Jak LOT zapłacił złodziejom 2,6 mln PLN raty za samoloty

dodał 15 czerwca 2019 o 00:04 w kategorii Wpadki 
Jak LOT zapłacił złodziejom 2,6 mln PLN raty za samoloty

Fałszywe faktury dają cyberprzestępcom najlepszy zwrot z inwestycji. Koszt włamania na skrzynkę poczty – znikomy. Przelew na kilka milionów – łatwy do pozyskania. A wszystko dzięki niefrasobliwości pracowników i nieskutecznym procedurom.

O niektórych incydentach wiemy (patrz „Przykład 4” w tym artykule), lecz często nie możemy opowiedzieć, dopóki ktoś inny nie wypapla . Na szczęście co jakiś czas ktoś nie wytrzymuje i fakty wychodzą na jaw, tak jak i w tym wypadku. Możemy już zatem wprost poinformować, że LOT zgubił 700 000 dolarów wierząc, że płaci ratę za samoloty. Niestety faktura była fałszywa.

Scenariusz nie jest wyrafinowany

Kradzież milionów jest naprawdę prosta, jeśli się wie, jak jej dokonać. Niezbędny jest dostęp do skrzynki pocztowej nadawcy lub odbiorcy i cierpliwość. Dostęp przydaje się, by przechwycić fakturę, a cierpliwość – by doczekać się dobrego momentu na przeprowadzenie ataku. Potem wystarczy fakturę usunąć ze skrzynki nadawcy lub odbiorcy i po kilku minutach umieścić tam już w zmodyfikowanej wersji. Zmodyfikować trzeba numer rachunku, na który mają trafić pieniądze. Potem wystarczy się chwilkę pomodlić, by pracownik wysyłający przelew nie pomyślał o weryfikacji tego numeru (zainspirowany własnym rozsądkiem lub firmowymi procedurami) i pozostaje już tylko wyprać świeżo ukradzione środki.

Autor: Peter Bakema

W przypadku LOT-u faktura dotyczyła raty za samoloty. Nie wiemy, czy domniemanym wystawcą faktury był Embraer czy Boeing, ale wiemy, że dokument opiewał na 700 000 dolarów, czyli ponad 2,5 miliona złotych. Faktura została zmodyfikowana przez przestępców przed zapoznaniem się z nią przez pracowników LOT-u. Osoby odpowiedzialne za realizację płatności nie zweryfikowały rachunku, na który miał trafić przelew i pieniądze popłynęły na Cypr, a stamtąd szybko zostały wytransferowane w kierunku Azji. To najczęstszy kierunek obserwowany przez nas w podobnych incydentach. Bliski lub Daleki Wschód są wystarczająco daleko, by ślad po złodziejach zaginął. Nie inaczej było i tym razem – odzyskać udało się tylko 200 000 dolarów (co i tak jest sporym sukcesem i oznacza dość szybką reakcję LOT-u na fakt kradzieży lub nieporadność złodziei).

LOT nie jest sam

Nie będzie to raczej pocieszeniem dla ofiary, ale przypadek LOT-u nie jest ani jedynym, ani największym tego typu incydentem w Polsce. Polska Grupa Zbrojeniowa straciła w analogiczny sposób 4 miliony złotych i także nie była to największa kradzież według tego samego wzorca. Przestępstw na kwotę kilkunastu czy kilkudziesięciu tysięcy euro lub dolarów wręcz trudno zliczyć. O ile PGZ czy LOT nie upadną po takim incydencie, to tego rodzaju kradzieże mogą być poważnym zagrożeniem dla istnienia mniejszych firm, które często padają ich ofiarami.

Opisywany scenariusz przestępstwa tłuczemy do bólu wnikliwie omawiamy na licznych, praktycznych przykładach na naszych szkoleniach, ponieważ regularnie słyszymy o nowych ofiarach tego procederu. To łatwe pieniądze dla złodziei, zatem nie należy się spodziewać, że wkrótce przestaną atakować polskie firmy w ten sposób. Może jeszcze nie jest za późno na szkolenie w Twojej firmie.