Эксперты Check Point рассказали об интересном случае: мошенники «заработали» миллион долларов, незаметно внедрившись с переписку двух неназванных компаний (израильского стартапа и китайской венчурной фирмы).
«Представьте, что вы владелец стартапа и ждете начального раунда финансирования в размере миллиона долларов, только деньги так не появляются на вашем банковском счете. Или представьте, что вы глава венчурной компании, которая считает, что перевела инвестиционные средства одному из стартапов в своем портфеле, однако эти средства так и не доходят до другой стороны», — описывают случившееся исследователи.
Так, в молодом израильском стартапе обнаружили, что по какой-то причине они не получили свое начальное финансирование, и миллион долларов куда-то пропал. Начавшееся расследование быстро помогло представителям стартапа и их инвесторам выявить нечто странное: электронные письма, которыми обменивались стороны, оказались изменены, а некоторые из них вообще были написаны посторонними лицами. На этом этапе к делу подключились киберкриминалисты, изучившие все доступные логи, письма и компьютеры сотрудников.
Как оказалось, в данном случае специалисты имели дело с не совсем классическим мошенничеством с деловой перепиской (business email compromise, BEC). Неизвестные злоумышленники сумели скомпрометировать учетную запись одного из сотрудников стартапа и, еще за несколько месяцев до совершения денежной транзакции, обнаружили переписку, речь в которой шла предстоящих многомиллионных инвестициях. Вместо того чтобы начать отслеживать электронные письма, создав правило для автоматической пересылки писем (как обычно и поступают BEC-мошенники), атакующие зарегистрировали два новых домена, почти совпадавшие с настоящими доменами целевых компаний.
Первый домен был практически идентичен домену израильского стартапа, но с дополнительной буквой «S» в конце. Второй домен был похож на домен китайской венчурной компании, но тоже имел дополнительную букву «S».
Используя эти домены, злоумышленники отправили своим жертвам два письма с тем же заголовком, что был найден ими в исходном послании: в одном сообщении они выдавали себя за генерального директора стартапа, а во втором за менеджера по работе с клиентами из венчурной фирмы. Таким образом мошенники внедрились в переписку, осуществив атаку man in the middle («человек по средине»), то есть обе стороны теперь переписывались с хакерами.
Переписка вышла весьма долгой и обстоятельной. В общей сложности злоумышленники отправили 18 писем китайской венчурной фирме и 14 посланий израильскому стартапу, и только после этого был совершен денежный перевод: инвестиции отправились на счет, любезно предоставленный мошенниками.
Более того, в какой-то момент менеджер по работе с клиентами из венчурной фирмы и генеральный директор стартапа запланировали встречу в Шанхае, тем самым поставив под угрозу всю операцию злоумышленников. Но хакеры не растерялись и отправили обеим сторонам письма, в каждом случае придумав правдоподобные поводы и оправдания для отмены грядущей встречи.
Интересно, что успешно похитив миллион долларов, хакеры не отступились и продолжили атаку, поддерживая контакт и якобы ожидая очередного раунда инвестиций. Так, исследователи рассказывают, что финансовый директор израильского стартапа до сих пор получает как минимум одно письмо в месяц, направленное с поддельной учетной записи генерального директора, где его просят совершить еще одну транзакцию.
Исследователям до сих пор не удалось ничего узнать о преступниках, не считая того, что они, вероятно, находятся в Гонконге. Эксперты Check Point напоминают, что защититься от подобных атак вовсе нетрудно: достаточно хотя бы иногда созваниваться и встречаться с партнерами, а также стоит вести журналы аудита и доступа для обеспечения целостности почтовой инфраструктуры.