Компрометация корпоративной почты как способ потерять миллионы

За последний год было обнаружено много различных схем злоумышленников, которые пытаются завладеть учетными записями сотрудников компаний. Захваченный почтовый ящик может быть использован для самых неприятных вещей, к примеру, целевой атаки с применением компрометации корпоративной почты. В прошлом месяце в результате такой атаки пострадала одна из дочерних фирм Toyota, ущерб оценивается более чем в $37 млн.
Управляющий директор «Лаборатории Касперского» в Казахстане, Центральной Азии и Монголии

За последний год было обнаружено много различных схем злоумышленников, которые пытаются завладеть учетными записями сотрудников компаний. Захваченный почтовый ящик может быть использован для самых неприятных вещей, к примеру, целевой атаки с применением компрометации корпоративной почты. В прошлом месяце в результате такой атаки пострадала одна из дочерних фирм Toyota, ущерб оценивается более чем в $37 млн.

Инцидент с Toyota

Согласно официальному заявлению компании, опубликованному 6 сентября, а также новостным публикациям, неизвестные злоумышленники атаковали именно с применением компрометации корпоративной почты, а причиной потери денег стали мошеннические указания по банковскому переводу, воспринятые кем-то в компании как легитимные. Вскоре после перевода эксперты по безопасности из Toyota поняли, что финансы ушли на посторонние счета, однако остановить перевод не удалось. 

Детали атаки

На самом деле, такая атака далеко не всегда связана именно с захватом чужих почтовых ящиков, иногда злоумышленники пытаются выдать себя за высокопоставленных сотрудников компании или партнеров, общаясь с совершенно посторонних ящиков. Однако использование чужой корпоративной почты делает эту схему гораздо проще – письмо, пришедшее от человека, с которым вы действительно неоднократно переписывались, вызывает гораздо меньше подозрений.

Разумеется, для успешной атаки преступник должен хорошо владеть навыками социальной инженерии. Ведь выдать себя за другого человека и убедить собеседника сделать что-то в интересах мошенника не так-то просто. Тут опять же захваченный почтовый ящик облегчает задачу атакующего – изучив переписку в папках «Входящие» и «Отправленные», он сможет убедительнее имитировать стиль своего «персонажа». Не обязательно целью атаки является именно перевод финансовых средств, злоумышленников могут интересовать и конфиденциальные данные.

Под угрозой – все 

Toyota – далеко не первый пример такой атаки. В начале года некие злоумышленники обманули футбольный клуб, вступив в переписку по поводу перевода футболиста. А в прошлом месяце мошенники пытались выудить $2,9 млн из Портлендского округа муниципальных школ. В июле округ Кабаррус, находящийся в штате Северная Каролина, потерял $1,7 млн, точно так же получив инструкции по почте. Причем изначально они перевели $2,5 млн якобы на строительство нового учебного заведения, но потом часть средств удалось вернуть.

Для тех, кто не фанат и не в курсе подробностей, напомним очень поучительную историю с футболом. В январе мировые спортивные издания с удовольствием сообщили о трансфере Леандро Паредеса из «Зенита» в «Пари Сен-Жермен». Цена вопроса – около 40 млн евро (за 4,5 сезона). А «Бока Хуниорс» – это «родной» клуб футболиста, и ему положен определенный процент от сделки, если точнее, 1 299 377,48 евро.

«Пари Сен-Жермен» и «Бока Хуниорс» договорились о том, что в общей сложности будет три транша. Первый – 519 750,99 евро – должен был пройти 6 марта. Второй (259 875,50 евро) запланирован на август. А оставшуюся сумму должны перевести в августе следующего года. Вроде бы, на первый взгляд, все хорошо. Если бы не одно «но». Первые почти 520 тыс. евро аргентинцам так и не пришли. Детали сделки стороны начали обсуждать почти сразу же, в январе. Но 12 марта (когда первый транш уже шесть дней как должен был быть на счетах аргентинского футбольного клуба) деньги так и не поступили, и в «Бока Хуниорс» решили, что пора уточнить у французских коллег причину задержки.

18 марта парижане ответили, что платеж ушел. 22 марта они прислали подтверждение, приложив к письму платежку. По их прикидкам, максимум через неделю аргентинский клуб должен был увидеть свои деньги. Время идет. Клубы вяло ведут переписку на тему «Где деньги?». Аргентинцы угрожают жалобой в FIFA. Французы говорят, что деньги были переведены в строгом соответствии со всеми договоренностями, и более того – есть подтверждение, что они уже поступили на счет. 17 апреля «Бока Хуниорс» опять пишет в «Пари Сен-Жермен», чтобы сказать, что денег нет, и просит предоставить более подробную информацию. Через неделю французский клуб высылает аргентинцам всю имеющуюся переписку и документацию по траншу. Письмо производит эффект разорвавшейся бомбы. 

«Бока Хуниорс» выясняет, что их деньги сначала ушли на банковский счет некоей мексиканской фирмы Vector Casa de Bolsa в Нью-Йорке, а оттуда перекочевали в Мексику, на счет, принадлежащий компании под названием OM IT Solutions S. A de CV. Стоит ли говорить о том, что представители клуба в первый раз в жизни услышали о существовании этих фирм?

Как такое может быть? Оказалось, что часть писем от якобы сотрудников «Бока Хуниорс» приходила в «Пари Сен-Жермен» с посторонних адресов. Причем заметить разницу было не так уж просто. По сообщению аргентинского новостного портала Infobae, получившего доступ к документации по этому делу, вместо адресов на bocajuniors.com.ar мошенники использовали адреса на другом домене, название которого отличалось всего на одну букву. Разумеется, в этих письмах были инструкции по переводу денег, благодаря которым 520 млн евро и ушли на подставные счета.

Клуб «Бока Хуниорс» обратился с заявлением в прокуратуру. На данный момент следствие продолжается. По одной из версий, хакерам удалось получить несанкционированный доступ к почте кого-то из сотрудников аргентинского клуба и, таким образом, заполучить информацию, которая и помогла им настолько успешно воспользоваться методами социальной инженерии.

Как не стать жертвой

Для защиты от методов социальной инженерии одних технических средств не хватит. Особенно если злоумышленник действует профессионально и имеет доступ к реальному почтовому ящику человека, за которого он пытается себя выдать. Поэтому для того, чтобы не стать жертвой мошенников, мы советуем:

•    четко прописать процедуру банковского перевода финансовых средств, чтобы ни у кого из сотрудников не было возможности бесконтрольно перевести их на сторонние счета;
•    разумно сделать так, чтобы переводы крупных сумм авторизовывались несколькими менеджерами;
•    обучить сотрудников основам кибербезопасности и научить скептически относиться к входящим письмам;
•    предотвратить захват корпоративных почтовых учетных записей при помощи антифишинговой защиты на уровне почтового сервера.