17.09.2015 | 23:40

Adam Haertle

Jak przez prosty phishing firma straciła dwa miliony dolarów

Po co hakować serwery, skoro wystarczy jedną skrzynkę pocztową? Boleśnie przekonała się o tym poważna firma obsługująca płatności w bitcoinach, od której ktoś z dziecinną łatwością wyłudził 5000 BTC wartych prawie 2 miliony dolarów.

Właśnie wyszły na światło dzienne szczegóły incydentu z grudnia 2014, w którym firma Bitpay poniosła dotkliwe straty, prawdopodobnie wynoszące połowę rocznego przychodu firmy. Szczegóły włamania możemy poznać dzięki pozwowi przeciwko firmie ubezpieczeniowej, która odmówiła wypłaty odszkodowania. Uczmy się zatem na cudzych błędach.

Duży może więcej

Bitpay to jeden z największych pośredników w płatnościach BTC, umożliwiający innym firmom przyjmowanie płatności w kryptowalucie. Jak jednak pokazuje przebieg incydentu nawet największe firmy podatne bywają na najprostsze sztuczki włamywaczy. Dzięki dokumentacji pozwu przeciwko ubezpieczycielowi poznaliśmy szczegóły wydarzeń, które miały miejsce pod koniec roku 2014.

Witryna firmy

Witryna firmy

Pierwszym etapem ataku było przejęcie skrzynki pocztowej Davida Bailey, powiązanego z firmą ybitcoin, której Bitpay chciał sprzedać część swojej firmy zajmującej się działalnością wydawniczą. Najwyraźniej włamywacz znalazł w niej korespondencję z Bryanem Krohnem, dyrektorem finansowym Bitpay. Wykorzystał tę wiedzę, by przygotować pułapkę na Krohna. W tym celu stworzył witrynę przypominającą stronę logowania Google i wysłał wiadomość z konta Baileya na konto Krohna, namawiając tego drugiego do próby otwarcia rzekomego dokumentu – a w rzeczywistości zalogowania się na fałszywej stronie Google Drive.

Krohn dał się oszukać i podał swój login oraz, jak mówi pozew, dane uwierzytelniające (co najmniej hasło, a być może również kod jednorazowy, którego wygenerowanie spowodowali włamywacze). Atakujący natychmiast zalogowali się na skrzynkę Krohna i przeanalizowali jego korespondencję. Szybko znaleźli informację, że jeden z klientów Bitpay, Second Market, któremu firma sprzedawała bitcoiny, mógł otrzymać kryptowalutę bez uprzedniej przedpłaty. Wkrótce ze skrzynki dyrektora finansowego wyszła wiadomość skierowana do prezesa z prośbą o przelanie 1000 BTC na wskazane konto Second Market. Email miał nawet specjalnie stworzoną fałszywą historię korespondencji z Second Market, uzasadniającą transakcję.

Gdy prezes, bez konsultacji z dyrektorem finansowym, wysłał 1000 BTC na wskazane konto, włamywacze postanowili kontynuować dobrą passę i poprosili w identyczny sposób o drugi przelew – na kolejny tysiąc BTC. Przestępcy najwyraźniej sami nie mogli uwierzyć swojemu szczęściu, gdy otrzymali drugi przelew. O trzeci poprosili dopiero następnego dnia – lecz tym razem był to już 3000 BTC. Tym razem prezes postanowił zweryfikować zlecenie… wysyłając emaila do dyrektora finansowego. Włamywacze, kontrolujący skrzynkę dyrektora, oczywiście potwierdzili potrzebę wykonania transferu a prezes przelewu dokonał. O transferze poinformował rzekomego odbiorcę, który okazał się być bardzo zdziwiony, ponieważ nie planował takich zakupów. W ten sposób oszustwo wyszło na jaw – lecz ze względu na nieodwracalność transakcji BTC, środki nie zostały odzyskane.

Ubezpieczyciel nie kwapi się do wypłaty

Duża część ujawnionej korespondencji to przepychanki prawników, kłócących się o interpretację zapisów polisy ubezpieczeniowej ofiary (a konkretnie o 2 miliony dolarów). Oczywiście każda strona interpretuje zapisy zgodnie ze swoim interesem – nie podejmujemy się oceny, która z nich ma rację. Ciekawi nas za to, jakim cudem w tak poważnej firmie, narażonej na liczne ataki (w końcu handlują bitcoinami) brak był jakichkolwiek procedur autoryzacji tak poważnych płatności. Zupełnym już dla nas kuriozum jest weryfikacja wiarygodności zlecenia przelewu z użyciem tego samego kanału (poczty elektronicznej) zamiast np. telefonu. Do tego nie był to pierwszy nagłośniony przypadek takiego ataku – a mimo to firma dała się podejść bez żadnego problemu. Jest to dobry przykład, jak całkowity brak rozsądku może prowadzić do ogromnych strat i dlaczego warto przyjrzeć się procedurom autoryzacji płatności w Waszych firmach.

Jeśli interesuje Was podniesienie świadomości pracowników w celu lepszej ochrony przed takimi atakami, to rzućcie okiem na usługę SecurityInside

Powrót

Komentarze

  • 2015.09.18 00:17 jan

    czyli niby co ta firma ubezpieczeniowa ubezpieczala? pewnie prawnicy bitpay nie przeczytali umowy ;)

    Odpowiedz
    • 2015.09.18 08:47 stanisław

      zazwyczaj odszkodowanie nie obejmuje, lub jest w jakimś stopniu ograniczone, gdy mamy do czynienia z winą poszkodowanego. możliwe, że o to się spierają. jedni mogą twierdzić, że to nie ich wina, a drudzy że jak najbardziej ich.

      Odpowiedz
    • 2015.09.21 18:38 drawer

      Bo do tej pory wiekszosc serwisow zwiazanych z bitcoinem i wogole z kryptowalutami byla tworzona przez jakis pryszczatych 17 latkow albo chlopaczkow po studiach ktorzy stawiali serwery w piwnicy rodzicow i mysleli ze wystarczy jakas tam dytrybucja linuxa z pseudo zabezpieczeniami i juz jest ok, pewni siebie ze wsio dziala jak nalezy. Pomijam druga polowe cwaniakow ktorzy jako wlasciciele wlasnych serwisow z chciwosci wyludzali i pozorowali wlamania itp . Dzieki takim „kwiatkom” krypto stracilo duzo na znaczeniu i wiarygodnosci, i dopiero niedawno glownie na tych bledach zaczeto dbac o zabezpieczenia. Chodz do wiarygodnosci daleko, to powoli zaczyna sie to zmieniac na plus…

      Odpowiedz
  • 2015.09.18 08:21 yy

    z OWU pewnie pokrętnie wynikało, że tak naprawdę nic nie jest ubezpieczone, natomiast firma była świecie przekonana, że są ubezpieczeni od wszystkiego, z głupotą/beztroską własnego dyrektora finansowego włącznie ;D

    a tak naprawdę, biznesplan żadnego towarzystwa ubezpieczeniowego na świecie nie zakłada, że głównym filarem działalności jest wypłata odszkodowań – oni są od zbierania składek :))

    Odpowiedz
  • 2015.09.18 12:29 Whocares

    A co, jak włamywacz to znajomy dyrektora lub któregoś z pracowników?

    Odpowiedz
  • 2015.09.18 16:16 kot

    Kleptowaluta :D

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak przez prosty phishing firma straciła dwa miliony dolarów

Komentarze