Jak ukraść kilka milionów z polskiej firmy – przykłady udanych scenariuszy

dodał 8 lutego 2019 o 18:28 w kategorii Socjo  z tagami:
Jak ukraść kilka milionów z polskiej firmy – przykłady udanych scenariuszy

Około czterech milionów złotych straciła duża polska firma, ponieważ ktoś przysłał e-maila (lub dwa). W e-mailu była informacja o zmianie rachunku, na który miał pójść przelew. To nie pierwszy i nie jedyny taki incydent w Polsce. Opowiemy Wam o kilku innych.

Dzisiaj RMF FM ogłosił, że Polska Grupa Zbrojeniowa, a konkretnie jej spółka Cenzin, straciła 4 miliony złotych wysłane na konto przestępców. Nie było włamania, nie było hakowania serwerów, nie było przejmowania SMS-ów, był po prostu e-mail od dostawcy. I wystarczyło. Tak, to takie proste. I często działa. Opowiadamy o takich atakach na naszych wykładach i może czas także o kilku z nich napisać na stronie.

E-mail wart miliony

Kilka dni temu Puls Biznesu nagrywał mnie do swojego podcastu. Opowiedziałem tam o paru najczęściej spotykanych scenariuszach ataków na firmy. Dzisiaj podcast ujrzał światło dzienne – kilka godzin przed newsem o ataku na Cenzin według jednego z opisywanych przeze mnie w podcaście scenariuszy.

Scenariusz ataku jest tak prosty, że aż trudno uwierzyć. Kroków jest 5.

  1. Przestępca uzyskuje dostęp do skrzynki ofiary pierwszego poziomu. Jak? Najczęściej jest to trywialny phishing. „Skończyło Ci się miejsce w skrzynce, kliknij tutaj, by się zalogować i ją powiększyć”. „Wymagana aktualizacja hasła, wejdź na tego linka, by je potwierdzić”. „Usuwamy nieaktywne skrzynki, kliknij tu, by nie usunięto Twojej”. Czasem te ataki są nawet animowane – przykład poniżej.
  2. Przestępcy przejmują hasła do setek firmowych skrzynek i szukają tych, które należą do osób obsługujących kwestie płatności. Pilnie analizują historię korespondencji z kontrahentami. Wybierają ofiary i podszywając się pod pracowników firmy, której pocztę przejęli, piszą do ofiary drugiego poziomu – ich dostawców, partnerów biznesowych czy innych kontrahentów.
  3. Kontrahent dostaje e-maila np. o zmianie kanału płatności, konta w banku, zaległej fakturze. Wiadomość jest super wiarygodna, ponieważ:
    • przychodzi z tego konta e-mail co zawsze,
    • układa się w skrzynce odbiorcy w wątku, który ma dwa lata i 200 e-maili, a ten jest po prostu 201,
    • zgadza się język, stopka, podpis, e-mail wyszedł z oryginalnego serwera,
    • sprawa dotyczy faktycznie realizowanych kontraktów, faktycznie wystawionych faktur, faktycznie wysłanych dostaw, faktycznie zaległych płatności.
  4. Kontrahent (ofiara drugiego poziomu) wysyła pieniądze nie tam, gdzie powinien.
  5. Przestępca powtarza sztuczkę z kolejnym kontrahentem swojej ofiary tak długo, jak długo ma dostęp do jej poczty.

Przykład animowanego phishingu:

Czy to działa? Jeszcze jak! Najciekawsze jest to, że najczęściej firma faktycznie ponosząca koszty finansowe ataku nie jest hakowana, jej poczta jest bezpieczna, nikt się do niej nie włamał. Do włamania doszło u ofiary pierwszego poziomu – która oprócz konieczności zmiany hasła do poczty i przeszkolenia pracowników nie ponosi faktycznych kosztów ataku.

Przykładowe ataki z Polski

Na zlecenie naszych klientów analizowaliśmy takich ataków kilkanaście, o wielu innych słyszeliśmy w kuluarach. Oczywiście albo obowiązują nas klauzule umowne, albo osoby, przekazujące informacje, prosiły o zachowanie w tajemnicy nazw firm, które zostały w ten sposób oszukane. My te prośby szanujemy, dlatego poniżej opiszemy tylko okoliczności kilku przykładowych wydarzeń. Część z nich łączy element „oszustwa na kontrahenta” z „oszustwem na prezesa”.

Przykład pierwszy: średniej wielkości firma otrzymuje niespodziewane zamówienie od klienta. Niespodziewane, bo z reguły klient kupuje 2 razy do roku. Ale ma pilne zlecenie, potrzebuje towaru szybciej niż zwykle. Tym razem bez przedpłaty, bo ma problem z płynnością. Klient znany od 12 lat, z kraju na drugim końcu świata, marnie mówi w jakimkolwiek języku oprócz własnego, którego nie zna dostawca. Kontaktują się e-mailem i łamanym angielskim. Klient zaufany, więc firma produkuje towar, wysyła. Dokumenty dostawy przekazuje klientowi. W tym samym czasie klient otrzymuje e-maila od dostawcy, że prezes zachorował, trzeba mu kupić lekarstwo, lekarstwo można kupić tylko w Chinach, jest bardzo drogie. Dostawca prosi o przyjęcie wcześniejszej dostawy i zapłatę za nią za pomocą Western Union bezpośrednio do Chin. Klient widzi, że dostawa płynie, lubi swojego dostawcę, zgadza się. Przelewa pieniądze do Chin. Przestępca dostaje kilkadziesiąt tysięcy dolarów, bo przejął kontrolę nad skrzynką dostawcy, przeczytał historię współpracy i korespondował sobie z oboma stronami transakcji. Próbował także oszukać dwóch innych klientów, wtedy oszustwo wyszło na jaw.

Przykład drugi: Firma dostaje informację z centrali, że będzie duża inwestycja w Polsce. Wszyscy się cieszą, przyjmują zaproszenie na telekonferencję. Odbywa się telekonferencja z korporacją, bierze w niej udział nowy dyrektor finansowy z ramienia korporacji (zatrudniony niedawno), kilku prawników i innych pracowników korporacji – oraz kierownictwo polskiego oddziału. Potem przychodzi umowa zakupu zakładu produkcyjnego konkurencji, trzeba jeszcze tylko zapłacić za transakcję. Pierwsza rata – milion złotych. Dwa dni później – druga rata, dwa miliony. Dwa dni później – trzecia, jeszcze cztery miliony. Czwartej nie płacą, bo skończyły się środki na rachunku, informują o tym korporację, która w ten sposób dowiaduje się o oszustwie. W całej historii prawdziwe było tylko polskie kierownictwo i przelewy, które wysłali złodziejom.

Przykład trzeci: Firma dostaje ponaglenie od kontrahenta, który od paru tygodni przypomina o zapłacie za zaległą fakturę. W końcu postanawia zapłacić, a kontrahent prosi, by przelew poszedł na inny rachunek niż zwykle. Firma wysyła tam, gdzie prosił kontrahent. Nieduża kwota, kilkadziesiąt tysięcy złotych. Po paru dniach okazuje się, że kontrahent nie wie o żadnych e-mailach. Faktura faktycznie była zaległa, ale płatność poszła na konto złodzieja.

Przykład czwarty: Bardzo duża i znana polska firma kupuje bardzo drogi sprzęt od zagranicznego dostawcy. Spłaca go w regularnych ratach. Każda rata to setki tysięcy złotych. Przychodzi informacja o tym, by kolejną ratę wysłać na inny numer rachunku. Firma radośnie wysyła, koniec historii.

Te historie często brzmią jak wymyślone, wyssane z palca. Niestety są prawdziwe. Tak, to takie proste. Najczęściej wystarcza dostęp do jednej skrzynki, by przeprowadzić całą operację. Oczywiście, nie wszystkie tego rodzaju ataki się udają. Pewnie udaje się 1 na 100 czy 1 na 1000. Ale to w zupełności przestępcom wystarczy, bo koszty ich przeprowadzania są bliskie zera.

Slajd z naszej prezentacji, pokazujący listę ofiar podobnych ataków

Przypadek Cenzinu

Opisywany przez RMF FM przypadek Cenzinu świetnie się wpisuje w powyższe scenariusze.

Do spółki przyszło kilka e-maili od osoby lub osób podszywających się pod czeskiego dostawcę broni. W korespondencji poinformowano o zmianie konta, na które Cenzin ma wpłacać pieniądze za dostawy.

Możliwości są dwie – albo ktoś czytał pocztę Cenzinu po stronie dostawcy i wiedział o kontrakcie i płatnościach, albo czytał ją po stronie Cenzinu. Efekt ten sam.

Cenzin wykrył oszustwo pod koniec roku – oznacza to, że ten proceder trwał kilka miesięcy. W kilku transzach przelano na fałszywe konto 4 miliony złotych.

Faktycznie, znamy wiele przypadków, gdzie atak był wykrywany po wielu przelewach i wielu miesiącach, dopiero gdy dostawca zaczynał upominać się o przelewy (a czasem i te wiadomości były ukrywane przez przestępców i oszustwo trwało nadal, dopóki dostawca nie zadzwonił z pytaniem o brak odpowiedzi na e-maile).

Na razie wiadomo, że Cenzin padł ofiarą międzynarodowych oszustów, którzy w podobny sposób nabrali też między innymi jedną z ukraińskich spółek zbrojeniowych.

Co skłania do wariantu włamania na pocztę dostawcy – skoro inna firma została poszkodowana w podobny sposób. Także częsty scenariusz.

Jak się bronić przed takimi atakami

Po pierwsze dobrą obroną są firmowe procedury. Każda zmiana w procesie płatności musi przechodzić drobiazgową kontrolę, łącznie z weryfikacją niezależnymi kanałami. Nowy kanał płatności czy nowy numer rachunku, otrzymany e-mailem, nie może być potwierdzany tym samym e-mailem. Należy na przykład zadzwonić (i lepiej nie na numer ze stopki e-maila, bo były przypadki, gdzie ktoś odebrał i potwierdził – a był to złodziej).

Po drugie dobrą obroną jest kultura organizacyjna. Firmy, w których pracownicy nie mogą kwestionować decyzji prezesa, często padają ofiarą tego rodzaju ataków. Firmy, gdzie każdy podwładny może wejść do gabinetu prezesa i zapytać, dlaczego mają zapłacić fakturę niezgodnie z procedurami, są dużo bardziej odporne na tę kategorię ataków.

Uczymy, jak identyfikować takie ataki i przed nimi się bronić

Od kilku lat opowiadamy o atakach tego rodzaju na naszych szkoleniach. Dużo obszerniej przedstawiamy ich przebieg, omawiamy wiele różnych scenariuszy i uczymy, jak rozpoznać działania przestępców i jak poprawić firmowe procesy, by sprawniej stawić czoła oszustom. Można nas zaprosić na wykład – chętnie podzielimy się swoją wiedzą i doświadczeniem. Nazw poszkodowanych polskich firm dalej nie podamy – ale pomożemy, by Wasza nie znalazła się na tej liście.