Работающая в Эстонии сеть магазинов одежды – одна из трех последних потерпевших, ставших жертвами невероятно простой, но в действительности очень хитроумной схемы кибермошенничества и заплативших преступникам крупные суммы, пишет Postimees.
Эстонская фирма стала жертвой кибермошенников и заплатила хакерам внушительную сумму
На основании случаев, зарегистрированных в Эстонии, предприятия и государственные учреждения пополнили карманы хакеров на сумму почти в полмиллиона евро. По оценке руководителя государственного учреждения по кибербезопасности CERT-EE Тыну Таммера, это лишь верхушка айсберга, и обычно сообщать о таких случаях не торопятся.
Эстонская фирма получила болезненный урок. «Теперь я думаю, что главный урок заключается в том, что осторожность лишней не бывает. При возникновении подозрений нужно искать контакты всех бывших с вами когда-либо на связи сотрудников фирмы, которой вы переводите деньги, писать им, звонить», - рассказал пожелавший сохранить анонимность руководитель предприятия.
Что же произошло? Эксперт по кибербезопасности CERT-EE Янно Арнек рассказал, что из финансовых мошенничеств, при которых используется система электронной почты, в данный момент распространены два: одно основано на массовости, а второе – на доверии.
Первая известная, до пошлости простая схема, это когда с электронной почты руководителя фирмы на почту бухгалтера отправляется письмо с требованием произвести срочный перевод денег. Письмо может быть написано на грамотном эстонском языке, и с получателем денег на первый взгляд все может быть в порядке – кроме того, что банковский счет находится в каком-то незнакомом зарубежном банке. В письме может быть и вопрос: достаточно ли у нас денег, чтобы произвести этот перевод?
Только на прошлой неделе руководитель опорной службы Департамента государственной инфосистемы (RIA) получил электронное письмо от гендиректора учреждения Таймара Петеркопа с вопросом: «Ли, можете 5000 евро международный перевод сегодня делать? Пожалуйста, сообщите мне, тогда могу отправить вам данные сейчас. Таймар Петеркоп».
Текст явно был переведен в Google Translate. Кроме того, мошенники не учли, что в государственных учреждениях деньги просто так не переводят и что руководитель RIA сейчас находится в отцовском отпуске.
Неразрешимое непонимание
До сих пор остается непонятным, откуда хакеры узнают имена бухгалтеров одного или другого предприятия – часто их нет в открытом доступе на сайтах. «Прямого взлома здесь нет, скорее адреса выясняются из каких-то переписок или при создании аккаунтов в службах за пределами учреждения»,- считает Арнек.
«Более сложная, длинная и в последние месяцы набравшая особую популярность схема заключается в том, что ключевое управление движением денег не происходит внутри фирмы, а используется личность зарубежного партнера»,- продолжает Арнек.
Случай, произошедший всего две недели назад, 19 октября, с эстонской сетью магазинов одежды относится как раз к этой схеме. У предприятия есть партнер в Китае, с которым в течение долгого времени общались при помощи электронной почты. Говорили о покупке новой серии товара и ее поставке на рынок Эстонии. Киберпреступники получили доступ к почтовому серверу китайского партнера и сначала просто наблюдали за обсуждением сделки.
«За перепиской обеих сторон следили, пока в нужный момент не начали или направлять нас на свои адреса, или дописывать выгодную для себя информацию. Когда разговор пошел о переводе денег, то всю, исходящую из Эстонии переписку, направили на свои серверы и для китайцев разговор был словно завершен», - описал происходившее Янно Арнек.
В то же время от имени китайской фирмы для оплаты счетов из Эстонии, хакеры отправили данные своих банковских счетов и деньги – почти 80 000 евро – ушли в никуда.
После обнаружения произошедшего эстонская фирма обратилась и в полицию, и в местный банк, чтобы аннулировать сделку, но к тому времени деньги уже ушли на неправильный счет, оттуда были переведены на другой счет и обналичены во многих местах.
«Эти схемы весьма сложные, и эстонское предприятие до самого конца не могло понять, что произошло в действительности – даже того, что в какой-то момент общались с преступниками. Письма же по-прежнему поступали с тех же адресов и под теми же именами», - объяснил Арнек.
Нужно быть внимательными
Конечно, возникает вопрос, что именно и действительно ли эстонская фирма в этой истории сделала не так? А ничего – эстонский же сервер никто не взламывал. Но стоит обратить внимание на одно обстоятельство: хотя имя китайского партнера по переписке не изменилось, к концу его адреса в какой-то момент добавилось gmail.com.
«У нас только один совет: если ведете международный бизнес, договоритесь о нескольких каналах общения и не ограничивайтесь электронной почтой. Почему бы, например, предварительно не обсудить сделку по телефону? – объяснил Арнек. – Нужно быть внимательными, нет ничего плохого в лишних предосторожностях».
Кроме того, всегда стоит проверить, тот ли это номер банковского счета партнера, который фигурировал до сих пор, и находится ли он в той стране, где работает предприятие.
А что думает руководство предприятия, ставшего жертвой обмана? «Мы совершили ошибку, сочтя заслуживающими доверия те обстоятельства, что сам номер счета и дополнительная информация о товаре пришли с первоначального э-мейла, и таким образом нам не показалось значительным, что в какой-то момент использовали и адрес в Gmail», - сказал руководитель фирмы.
Кроме того, по его словам, нужно было обязательно следить за тем, чтобы не было изменений в адресах, а если такое произошло, то попытаться связаться с партнером по другому каналу, хотя бы по Skype, телефону или какому-то другому адресу, по которому общались раньше.
«На эти темы нужно чаще говорить. Думаю, что мы бы и сами были настроены более скептически, если бы раньше слышали о таких историях или схемах», - сказал он.
Дьявол кроется в деталях
Но этот случай не единственный, произошедший за последнее время. Руководитель CERT-EE привел пример, как эстонское предприятие общалось с одной итальянской фирмой и, совершив сделку, также перевело на ее счет несколько десятков тысяч евро. Когда выяснилось, что деньги не дошли до адресата, начали выяснять, и оказалось, что адрес партнера оканчивался на -.it, но в какой-то момент он изменился на -.in.
«И уже с этого адреса пришел номер счета, на который ушли деньги, а потом продолжился разговор с -.it. В числе прочего письма из Эстонии частично поступали не с адреса, заканчивающегося на -.ee, а с адреса с концовкой -.eu. То есть при необходимости мошенники играли обе роли»,- рассказал Таммер.
По его словам, в данном случае эстонская сторона недостаточно использовала такое решение для почтового пространства, как SPF, которое проверяет, чтобы письма от имени конкретного учреждения точно оправлялись только с назначенных серверов.
«Чем больше эстонские фирмы оставляют лазеек, тем больше вероятность, что их электронной идентичностью кто-то просто начнет злоупотреблять», - сказал Таммер.
Несмотря на то, что используемые в мошеннических схемах эстонский язык местами кажется весьма приличным, у официальных властей нет информации о том, что с ними могут быть связаны хакеры из Тюри или Антсла. Но известно, что кроме эстонских фирм в результате такой схемы один раз киберпреступникам сумму в 40 000 евро перевело и учреждение, оказывающее услуги одному из наших самоуправлений.
«Если собрать воедино всю поступившую к нам информацию, то без преувеличения можно сказать, что попавшая в руки почтовых мошенников сумма достигает полумиллиона евро. Только в октябре они получили около 100 000 евро, - сказал Таммер. – Это касается лишь тех случаев, о которых нам известно. В действительности суммы могут быть во много раз больше».
Банк нужно как можно быстрее проинформировать
Тоомас Викс, руководитель по рискам области киберрисков банка Swedbank:
В случае подозрения на мошенничество важно как можно быстрее проинформировать банк о случившемся. Чем быстрее информация попадет в банк, тем больше вероятность того, что банк сможет договориться с банком получателя платежа об отзыве денег или блокировке.
Также сразу нужно проинформировать полицию, поскольку предварительным условием отзыва платежа может быть и официальное производство по уголовному делу.
Времени – два дня
Прийт Рум, пресс-секретарь банка LHV:
Если речь идет о платеже, идущем из европейского банка, то платежи SEPA мы можем аннулировать до наложения клиринга. Если платеж уже ушел из банка, его можно отозвать, но лишь в том случае, если получатель даст на это свое согласие.
Например, в случае платежа, отправленного в Китай, речь идет о зарубежном платеже. Если зарубежный платеж подтвержден, сообщение о нем отправляется в банк-корреспондент и для отзыва мы должны отправить сообщение в банк-корреспондент.
Если отзыв платежа происходит до определенного дня (в случае обычного платежа он наступает через два дня), есть много шансов вернуть деньги.
Если платеж из банка-корреспондента уже ушел и деньги поступили получателю, то действует принцип, в соответствии с которым получатель должен дать согласие на возврат платежа. Таким образом, о неправильном платеже нужно сообщить как можно быстрее.