Około czterech milionów złotych straciła duża polska firma, ponieważ ktoś przysłał e-maila (lub dwa). W e-mailu była informacja o zmianie rachunku, na który miał pójść przelew. To nie pierwszy i nie jedyny taki incydent w Polsce. Opowiemy Wam o kilku innych.
Dzisiaj RMF FM ogłosił, że Polska Grupa Zbrojeniowa, a konkretnie jej spółka Cenzin, straciła 4 miliony złotych wysłane na konto przestępców. Nie było włamania, nie było hakowania serwerów, nie było przejmowania SMS-ów, był po prostu e-mail od dostawcy. I wystarczyło. Tak, to takie proste. I często działa. Opowiadamy o takich atakach na naszych wykładach i może czas także o kilku z nich napisać na stronie.
E-mail wart miliony
Kilka dni temu Puls Biznesu nagrywał mnie do swojego podcastu. Opowiedziałem tam o paru najczęściej spotykanych scenariuszach ataków na firmy. Dzisiaj podcast ujrzał światło dzienne – kilka godzin przed newsem o ataku na Cenzin według jednego z opisywanych przeze mnie w podcaście scenariuszy.
Scenariusz ataku jest tak prosty, że aż trudno uwierzyć. Kroków jest 5.
- Przestępca uzyskuje dostęp do skrzynki ofiary pierwszego poziomu. Jak? Najczęściej jest to trywialny phishing. „Skończyło Ci się miejsce w skrzynce, kliknij tutaj, by się zalogować i ją powiększyć”. „Wymagana aktualizacja hasła, wejdź na tego linka, by je potwierdzić”. „Usuwamy nieaktywne skrzynki, kliknij tu, by nie usunięto Twojej”. Czasem te ataki są nawet animowane – przykład poniżej.
- Przestępcy przejmują hasła do setek firmowych skrzynek i szukają tych, które należą do osób obsługujących kwestie płatności. Pilnie analizują historię korespondencji z kontrahentami. Wybierają ofiary i podszywając się pod pracowników firmy, której pocztę przejęli, piszą do ofiary drugiego poziomu – ich dostawców, partnerów biznesowych czy innych kontrahentów.
- Kontrahent dostaje e-maila np. o zmianie kanału płatności, konta w banku, zaległej fakturze. Wiadomość jest super wiarygodna, ponieważ:
- przychodzi z tego konta e-mail co zawsze,
- układa się w skrzynce odbiorcy w wątku, który ma dwa lata i 200 e-maili, a ten jest po prostu 201,
- zgadza się język, stopka, podpis, e-mail wyszedł z oryginalnego serwera,
- sprawa dotyczy faktycznie realizowanych kontraktów, faktycznie wystawionych faktur, faktycznie wysłanych dostaw, faktycznie zaległych płatności.
- Kontrahent (ofiara drugiego poziomu) wysyła pieniądze nie tam, gdzie powinien.
- Przestępca powtarza sztuczkę z kolejnym kontrahentem swojej ofiary tak długo, jak długo ma dostęp do jej poczty.
Przykład animowanego phishingu:
https://www.youtube.com/watch?v=RfiRV-1vnpc
Czy to działa? Jeszcze jak! Najciekawsze jest to, że najczęściej firma faktycznie ponosząca koszty finansowe ataku nie jest hakowana, jej poczta jest bezpieczna, nikt się do niej nie włamał. Do włamania doszło u ofiary pierwszego poziomu – która oprócz konieczności zmiany hasła do poczty i przeszkolenia pracowników nie ponosi faktycznych kosztów ataku.
Przykładowe ataki z Polski
Na zlecenie naszych klientów analizowaliśmy takich ataków kilkanaście, o wielu innych słyszeliśmy w kuluarach. Oczywiście albo obowiązują nas klauzule umowne, albo osoby, przekazujące informacje, prosiły o zachowanie w tajemnicy nazw firm, które zostały w ten sposób oszukane. My te prośby szanujemy, dlatego poniżej opiszemy tylko okoliczności kilku przykładowych wydarzeń. Część z nich łączy element „oszustwa na kontrahenta” z „oszustwem na prezesa”.
Przykład pierwszy: średniej wielkości firma otrzymuje niespodziewane zamówienie od klienta. Niespodziewane, bo z reguły klient kupuje 2 razy do roku. Ale ma pilne zlecenie, potrzebuje towaru szybciej niż zwykle. Tym razem bez przedpłaty, bo ma problem z płynnością. Klient znany od 12 lat, z kraju na drugim końcu świata, marnie mówi w jakimkolwiek języku oprócz własnego, którego nie zna dostawca. Kontaktują się e-mailem i łamanym angielskim. Klient zaufany, więc firma produkuje towar, wysyła. Dokumenty dostawy przekazuje klientowi. W tym samym czasie klient otrzymuje e-maila od dostawcy, że prezes zachorował, trzeba mu kupić lekarstwo, lekarstwo można kupić tylko w Chinach, jest bardzo drogie. Dostawca prosi o przyjęcie wcześniejszej dostawy i zapłatę za nią za pomocą Western Union bezpośrednio do Chin. Klient widzi, że dostawa płynie, lubi swojego dostawcę, zgadza się. Przelewa pieniądze do Chin. Przestępca dostaje kilkadziesiąt tysięcy dolarów, bo przejął kontrolę nad skrzynką dostawcy, przeczytał historię współpracy i korespondował sobie z oboma stronami transakcji. Próbował także oszukać dwóch innych klientów, wtedy oszustwo wyszło na jaw.
Przykład drugi: Firma dostaje informację z centrali, że będzie duża inwestycja w Polsce. Wszyscy się cieszą, przyjmują zaproszenie na telekonferencję. Odbywa się telekonferencja z korporacją, bierze w niej udział nowy dyrektor finansowy z ramienia korporacji (zatrudniony niedawno), kilku prawników i innych pracowników korporacji – oraz kierownictwo polskiego oddziału. Potem przychodzi umowa zakupu zakładu produkcyjnego konkurencji, trzeba jeszcze tylko zapłacić za transakcję. Pierwsza rata – milion złotych. Dwa dni później – druga rata, dwa miliony. Dwa dni później – trzecia, jeszcze cztery miliony. Czwartej nie płacą, bo skończyły się środki na rachunku, informują o tym korporację, która w ten sposób dowiaduje się o oszustwie. W całej historii prawdziwe było tylko polskie kierownictwo i przelewy, które wysłali złodziejom.
Przykład trzeci: Firma dostaje ponaglenie od kontrahenta, który od paru tygodni przypomina o zapłacie za zaległą fakturę. W końcu postanawia zapłacić, a kontrahent prosi, by przelew poszedł na inny rachunek niż zwykle. Firma wysyła tam, gdzie prosił kontrahent. Nieduża kwota, kilkadziesiąt tysięcy złotych. Po paru dniach okazuje się, że kontrahent nie wie o żadnych e-mailach. Faktura faktycznie była zaległa, ale płatność poszła na konto złodzieja.
Przykład czwarty: Bardzo duża i znana polska firma kupuje bardzo drogi sprzęt od zagranicznego dostawcy. Spłaca go w regularnych ratach. Każda rata to setki tysięcy złotych. Przychodzi informacja o tym, by kolejną ratę wysłać na inny numer rachunku. Firma radośnie wysyła, koniec historii.
Te historie często brzmią jak wymyślone, wyssane z palca. Niestety są prawdziwe. Tak, to takie proste. Najczęściej wystarcza dostęp do jednej skrzynki, by przeprowadzić całą operację. Oczywiście, nie wszystkie tego rodzaju ataki się udają. Pewnie udaje się 1 na 100 czy 1 na 1000. Ale to w zupełności przestępcom wystarczy, bo koszty ich przeprowadzania są bliskie zera.
Przypadek Cenzinu
Opisywany przez RMF FM przypadek Cenzinu świetnie się wpisuje w powyższe scenariusze.
Do spółki przyszło kilka e-maili od osoby lub osób podszywających się pod czeskiego dostawcę broni. W korespondencji poinformowano o zmianie konta, na które Cenzin ma wpłacać pieniądze za dostawy.
Możliwości są dwie – albo ktoś czytał pocztę Cenzinu po stronie dostawcy i wiedział o kontrakcie i płatnościach, albo czytał ją po stronie Cenzinu. Efekt ten sam.
Cenzin wykrył oszustwo pod koniec roku – oznacza to, że ten proceder trwał kilka miesięcy. W kilku transzach przelano na fałszywe konto 4 miliony złotych.
Faktycznie, znamy wiele przypadków, gdzie atak był wykrywany po wielu przelewach i wielu miesiącach, dopiero gdy dostawca zaczynał upominać się o przelewy (a czasem i te wiadomości były ukrywane przez przestępców i oszustwo trwało nadal, dopóki dostawca nie zadzwonił z pytaniem o brak odpowiedzi na e-maile).
Na razie wiadomo, że Cenzin padł ofiarą międzynarodowych oszustów, którzy w podobny sposób nabrali też między innymi jedną z ukraińskich spółek zbrojeniowych.
Co skłania do wariantu włamania na pocztę dostawcy – skoro inna firma została poszkodowana w podobny sposób. Także częsty scenariusz.
Jak się bronić przed takimi atakami
Po pierwsze dobrą obroną są firmowe procedury. Każda zmiana w procesie płatności musi przechodzić drobiazgową kontrolę, łącznie z weryfikacją niezależnymi kanałami. Nowy kanał płatności czy nowy numer rachunku, otrzymany e-mailem, nie może być potwierdzany tym samym e-mailem. Należy na przykład zadzwonić (i lepiej nie na numer ze stopki e-maila, bo były przypadki, gdzie ktoś odebrał i potwierdził – a był to złodziej).
Po drugie dobrą obroną jest kultura organizacyjna. Firmy, w których pracownicy nie mogą kwestionować decyzji prezesa, często padają ofiarą tego rodzaju ataków. Firmy, gdzie każdy podwładny może wejść do gabinetu prezesa i zapytać, dlaczego mają zapłacić fakturę niezgodnie z procedurami, są dużo bardziej odporne na tę kategorię ataków.
Uczymy, jak identyfikować takie ataki i przed nimi się bronić
Od kilku lat opowiadamy o atakach tego rodzaju na naszych szkoleniach. Dużo obszerniej przedstawiamy ich przebieg, omawiamy wiele różnych scenariuszy i uczymy, jak rozpoznać działania przestępców i jak poprawić firmowe procesy, by sprawniej stawić czoła oszustom. Można nas zaprosić na wykład – chętnie podzielimy się swoją wiedzą i doświadczeniem. Nazw poszkodowanych polskich firm dalej nie podamy – ale pomożemy, by Wasza nie znalazła się na tej liście.
Komentarze
osoba która zatwierdziła zmianę numeru konta dostanie dużą działkę, a nie odpowie karnie bo może grać idiotę który dał się oszukać
To jakiś wałek jest, z wewnętrzną robotą. Albo akcja służb.
Kaczyński musi uregulować faktury :)
Ty też, misiu pluszowy, masz sporo za uszami :)
Ja tam obstawiam ,że to Antoni i Misiek wyprowadzili gotówkę :-D
W normalnych firmach są procedury, konieczność dostarczenia dokumentu o zmianie konta przez osobę kontaktową. Mailowe wysysłanie zmian konta to chyba tylko w ustawkach są możliwe.
I po trzecie, sprawdź czy twoja firma ma ustawione SPF(Sender Policy Framework). Bo jeśli nie, to każy przestępca może się pod nią podszyć, bez żadnych włamań na skrzynkę.
„piszą do ofiary drugiego poziomu – ich dostawców”
Raczej odbiorców.
Sprawdźcie sobie jak działa Generator Płatności (projekty finansowania EU) … WAAR czy COP bez problemu przyjmie zmianę nr. konta w swoim systemie. Nie dbają o interesy wnioskodawcy, „pieniądze wyrzucają przez okno w reklamówce na dźwięk domofonu”.
kiedyś służby specjalne finansowały swoją ukrytą działalność handlem bronią i narkotykami, teraz wystarczy jeden przelew ze spółki
Pamietajcie że bity i bajty sie nie starzeją i kopia zawsze bedzie identyczna z oryginalem. W swiecie cyfrowym spreparowac mozna wszystko wystarczy znac klucze prywatne (o ile w ogóle z nich korzystano). Mozna jako zabezpieczenie stosowac procedury ale za chwile zabraknie drugiego faktora/kanalu do potwierdzania. Za sprawa smartfonow i tej wychwalanej przez VIP mobilnosci trudno oznac telefon czy sms za wystarczajacy. Wszyscy potrzebujemy zaufanej cyfrowej tozsamosci ale pomimo dostepnych rozwiazan nie sa one powszechne.
Ja rozumiem budżetówkę bo to zawsze było i będzie 20 lat wstecz. Ale, że prywatne firmy na to się nabierają? Podbnie próbowali podejść dziewczyny z finansów w mojej firmie, w której kiedyś pracowałem. Dupne korpo. Zakład przejmował inną spółkę za granicą i Prezes – oczywiście w delegacji do kraju z którego spólka pochodzila – pisał, żeby robić przelew pierwszej transzy już, już teraz! Bo jak nie wyjdzie najbliższym elixirem to wg przepisów lokalnego prawa deal będzie nie ważny i nie kupimy nic.
Procedura:
1. pracownik działu finansów może zrobić samodzielnie przelew w wysokości do 3kPLN bez zatwierdzania przez nikogo. Tak samo pracownik działu zakupów może do tej kwoty samodzielnie wysłać zamówienie. Musi choćby było post factum tylko przesłać info do kierownika działu, że dokonał takiej operacji. Ale na tym poziomie autoryzacji ma uprawnienia, żeby to zrobić i system to puści bez żadnych dodatkowych kroków od ręki.
2. Powyżej kwoty 3kPLN choćby była wyższa o 1 grosz system tak zatwierdzony przelew w szczeblu najniższym posyła do potwierdzenia przez Kierownika działu, który na swoim konkretnym loginie ma uprawnienia do autoryzacji operacji do wartości 100kPLN. Więc druga osoba musi się zalogować do systemu, potwirdzić wszystkie szczegóły operacji i klepnąć to dalej. Inaczej nie pójdzie.
3. Powyżej wartości 100kPLN do wartości 500kPLN wymagane jest dodatkowe zatwierdzenie Głównego Księgowego.
4. 500kPLN do trzech milionów – Dyrektora Finansowego.
5. Od 3 do 10 milionów dodatkowo Dyrektora Zakładu.
6. 10 milionów w górę dochodzi 'Finance Manager for Europe’ oraz Prokurent zakładu. Czyli już armia ludzi niejednokrotnie w różnych strefach czasowych musi się zalogować i potwierdzić dokonanie przelewu. Takie same szczebelki są w Dziale Zakupów.
Dopiero wtedy laska z punktu 1, która ma uprawnienia do danych logowania w Banku może przelew zlecić i dane do przelewu wyjdą z systemu a i tak powyżej 3kPLN token jest u Głównej Księgowej, która to jeszcze musi raz sprawdzić i potwierdzić. U nas zadziałało, bo w tej samej delegacji z Preziem było w pizdu luda w tym też Prokurent i spytał, halo? Ale jakie nie będzie dealu? I sprawa się rypła.
W jaki sposób po przejęciu konta pracownika ktoś uzyskuje dostęp do skrzynki szefa?