Эстонская фирма стала жертвой кибермошенников и заплатила хакерам внушительную сумму

На основании случаев, зарегистрированных в Эстонии, предприятия и государственные учреждения пополнили карманы хакеров на сумму почти в полмиллиона евро. По оценке руководителя государственного учреждения по кибербезопасности CERT-EE Тыну Таммера, это лишь верхушка айсберга, и обычно сообщать о таких случаях не торопятся.

Эстонская фирма получила болезненный урок. «Теперь я думаю, что главный урок заключается в том, что осторожность лишней не бывает. При возникновении подозрений нужно искать контакты всех бывших с вами когда-либо на связи сотрудников фирмы, которой вы переводите деньги, писать им, звонить», - рассказал пожелавший сохранить анонимность руководитель предприятия.

Что же произошло? Эксперт по кибербезопасности CERT-EE Янно Арнек рассказал, что из финансовых мошенничеств, при которых используется система электронной почты, в данный момент распространены два: одно основано на массовости, а второе – на доверии.

Первая известная, до пошлости простая схема, это когда с электронной почты руководителя фирмы на почту бухгалтера отправляется письмо с требованием произвести срочный перевод денег. Письмо может быть написано на грамотном эстонском языке, и с получателем денег на первый взгляд все может быть в порядке – кроме того, что банковский счет находится в каком-то незнакомом зарубежном банке. В письме может быть и вопрос: достаточно ли у нас денег, чтобы произвести этот перевод?

Только на прошлой неделе руководитель опорной службы Департамента государственной  инфосистемы (RIA) получил электронное письмо от гендиректора учреждения Таймара Петеркопа с вопросом: «Ли, можете 5000 евро международный перевод сегодня делать? Пожалуйста, сообщите мне, тогда могу отправить вам данные сейчас. Таймар Петеркоп».

Текст явно был переведен в Google Translate. Кроме того, мошенники не учли, что в государственных учреждениях деньги просто так не переводят и что руководитель RIA сейчас находится в отцовском отпуске.

Неразрешимое непонимание

До сих пор остается непонятным, откуда хакеры узнают имена бухгалтеров одного или другого предприятия – часто их нет в открытом доступе на сайтах. «Прямого взлома здесь нет, скорее адреса выясняются из каких-то переписок или при создании аккаунтов в службах за пределами учреждения»,- считает Арнек.

«Более сложная, длинная и в последние месяцы набравшая особую популярность схема заключается в том, что ключевое управление движением денег не происходит внутри фирмы, а используется личность зарубежного партнера»,- продолжает Арнек.

Случай, произошедший всего две недели назад, 19 октября, с эстонской сетью магазинов одежды относится как раз к этой схеме. У предприятия есть партнер в Китае, с которым в течение долгого времени общались при помощи электронной почты. Говорили о покупке новой серии товара и ее поставке на рынок Эстонии. Киберпреступники получили доступ к почтовому серверу китайского партнера и сначала просто наблюдали за обсуждением сделки.

«За перепиской обеих сторон следили, пока в нужный момент не начали или направлять нас на свои адреса, или дописывать выгодную для себя информацию. Когда разговор пошел о переводе денег, то всю, исходящую из Эстонии переписку, направили на свои серверы и для китайцев разговор был словно завершен», - описал происходившее Янно Арнек.

В то же время от имени китайской фирмы для оплаты счетов из Эстонии, хакеры отправили данные своих банковских счетов и деньги – почти 80 000 евро – ушли в никуда.

После обнаружения произошедшего эстонская фирма обратилась и в полицию, и в местный банк, чтобы аннулировать сделку, но к тому времени деньги уже ушли на неправильный счет, оттуда были переведены на другой счет и обналичены во многих местах.

«Эти схемы весьма сложные, и эстонское предприятие до самого конца не могло понять, что произошло в действительности – даже того, что в какой-то момент общались с преступниками. Письма же по-прежнему поступали с тех же адресов и под теми же именами», - объяснил Арнек.

Нужно быть внимательными

Конечно, возникает вопрос, что именно и действительно ли эстонская фирма в этой истории сделала не так? А ничего – эстонский же сервер никто не взламывал. Но стоит обратить внимание на одно обстоятельство: хотя имя китайского партнера по переписке не изменилось, к концу его адреса в какой-то момент добавилось gmail.com.

«У нас только один совет: если ведете международный бизнес, договоритесь о нескольких каналах общения и не ограничивайтесь электронной почтой. Почему бы, например, предварительно не обсудить сделку  по телефону? – объяснил Арнек. – Нужно быть внимательными, нет ничего плохого в лишних предосторожностях».

Кроме того, всегда стоит проверить, тот ли это номер банковского счета партнера, который фигурировал до сих пор, и находится ли он в той стране, где работает предприятие.

А что думает руководство предприятия, ставшего жертвой обмана? «Мы совершили ошибку, сочтя заслуживающими доверия те обстоятельства, что сам номер счета и дополнительная информация о товаре пришли с первоначального э-мейла, и таким образом нам не показалось значительным, что в какой-то момент использовали и адрес в Gmail», - сказал руководитель фирмы.

Кроме того, по его словам, нужно было обязательно следить за тем, чтобы не было изменений в адресах, а если такое произошло, то попытаться связаться с партнером по другому каналу, хотя бы по Skype, телефону или какому-то другому адресу, по которому общались раньше.

«На эти темы нужно чаще говорить. Думаю, что мы бы и сами были настроены более скептически, если бы раньше слышали о таких историях или схемах», - сказал он.

Дьявол кроется в деталях

Но этот случай не единственный, произошедший за последнее время. Руководитель CERT-EE привел пример, как эстонское предприятие общалось с одной итальянской фирмой и, совершив сделку, также перевело на ее счет несколько десятков тысяч евро. Когда выяснилось, что деньги не дошли до адресата, начали выяснять, и оказалось, что адрес партнера оканчивался на -.it, но в какой-то момент он изменился на -.in.

«И уже с этого адреса пришел номер счета, на который ушли деньги, а потом продолжился разговор с -.it. В числе прочего письма из Эстонии частично поступали не с адреса, заканчивающегося на -.ee, а с адреса с концовкой -.eu. То есть при необходимости мошенники играли обе роли»,- рассказал Таммер.

По его словам, в данном случае эстонская сторона недостаточно использовала такое решение для почтового пространства, как SPF, которое проверяет, чтобы письма от имени конкретного учреждения точно оправлялись только с назначенных серверов.

«Чем больше эстонские фирмы оставляют лазеек, тем больше вероятность, что их электронной идентичностью кто-то просто начнет злоупотреблять», - сказал Таммер.

Несмотря на то, что используемые в мошеннических схемах эстонский язык местами кажется весьма приличным, у официальных властей нет информации о том, что с ними могут быть связаны хакеры из Тюри или Антсла. Но известно, что кроме эстонских фирм в результате такой схемы один раз киберпреступникам сумму в 40 000 евро перевело и учреждение, оказывающее услуги одному из наших самоуправлений.

«Если собрать воедино всю поступившую к нам информацию, то без преувеличения можно сказать, что попавшая в руки почтовых мошенников сумма достигает полумиллиона евро. Только в октябре они получили около 100 000 евро, - сказал Таммер. – Это касается лишь тех случаев, о которых нам известно. В действительности суммы могут быть во много раз больше».