(P) Cum poate fi o companie pacalita cu 40 milioane eur?

In 1973, Robert Redford a avut un succes rasunator cu filmul „Cacialmaua” in care, alaturi de cativa tovarasi, organizeaza o casa de pariuri falsa si pacaleste un om de afaceri cu o suma considerabila. Redford si asociatii pregatesc totul pana la cele mai mici detalii, iar punerea in scena este perfecta.

In 2016, filiala din Bistrita a unui companii germane mari anunta ca a fost pacalita cu 40 de milioane euro in urma unei excrocherii de amploare. Directorul financiar al companiei are o corespondenta falsa cu CEO-ul din Germania si face o serie de transferuri bancare catre un cont fals dintr-o alta tara. Nu este un film din pacate ci un caz real, finalizat insa tot in urma unui scenariu extrem de meticulos. Cum a fost posibil ca o companie sa fie pacalita cu 40 milioane de euro? Este o intrebare care persista in mai toate discutiile offline si online, insa statisticile arata o situatie mult mai grava.

Ce este „CEO fraud”?

Schema prin care a fost pacalita compania din Bistrita este deja clasica si se numeste Business Email Compromise sau CEO fraud. Acest gen de infractiune a avut in 2016 o crestere de 270% conform unui raport recent al FBI. ( https://www.fbi.gov/file.../email-compromise_508.pdf ) Tinta atacurilor o reprezinta in general companii mari, cu filiale si operatiuni internationale care deruleaza in mod frecvent tranzactii financiare in relatie cu parteneri si furnizorii. Cazurile de frauda sunt numeroase (22.000 la nivel global, dintre care insa 14.000 din USA), iar sumele deloc neglijabile. Pagubele generate, in ultimii 2-3 ani, au atins valoarea de 2.3 miliarde USD, conform aceluiasi raport FBI, sau chiar 3 miliarde USD conform altor surse. Cele mai notorii exemple sunt companii ca Mattel (producator de jucarii) - 3 milioane USD, Ubiquity Networks - 46 milioane USD, Primaria din Brisbane Australia - 450.000 dolari australieni, SS&C Technology - 6 milioane USD. Pe lista se mai afla si nume precum Seagate, Snapchat, Sprouts Farmer’s Market sau Pivotal Software, pentru care sumele pierdute nu au fost facute publice. Ca observatie, companiile pagubite sunt in general din tari cu un nivel ridicat al PIB-ului si poate ca din acest motiv piata locala a fost mai ferita, pana acum.

Cum functioneaza?

Business Email Compromise nu este un atac bazat pe tehnologii complexe ci pe simularea unei corespondente reale, legitime intre diverse persoane dintr-o organizatie. Majoritatea utilizatorilor primesc mesaje de tip spam cu solicitari de ajutor sau transfer de bani, insa de cele mai multe ori sunt mesaje stangace, pline de greseli si usor de demascat. In cazul Business Email Compromise , lucrurile sunt mult mai evoluate, atacatorii analizeaza foarte bine tinta, obiceiurile, organizarea interna, fluxurile de aprobari, scheme de personal etc. Mesajele sunt foarte bine lucrate, extrem de credibile si trimise chiar din conturile expeditorilor reali. Atacurile sunt de mare finete si au la baza luni de social mining pe toate canalele disponibile (site-uri, social media, evenimente) si poate chiar informatii din interior, livrate voluntar sau involuntar. De multe ori, hackerii vizeaza companii unde au avut loc schimbari la nivel de top management, sau executivi care sunt in mod curent intr-o calatorie sau in vacanta etc.

Schema poate avea atat o finalitate financiara (transfer de fonduri) cat si obtinerea de informatii, ca etapa a unui atac mai larg. Din analizele FBI, mesajele care se inscriu la BEC au urmatoarele caracteristici:

1) Contin la nivel de subiect termeni precum: ceo, cto, cfo, coo, office, work, dir, director, executive,exec, chief, central, chairman, president, vp, vice,private, official, md, managing, managed, chief,accountant, admin, workmail, gmo etc

2) In corpul mesajului apar termeni precum:

(Transfer|Request|response|Verification|Payment|Update|Wire|Initiate|Instructions|Bank

detail|international|finance

department|urgent|remit|remittance|Attention|Attached|Outstanding|confidential|desk|office).

3) Subiectele sunt in general scurte (3-4 cuvinte) iar copul mesajului este TXT+ HTML in peste 60% din cazuri. Pentru ca in mod invariabil aceste mesaje copiaza stilul si adresarea reala din organizatie, aplicatiile traditionale nu au capacitatea sa le diferentieze fata de corespondenta legitima si sa le blocheze. O analiza realizata de Trend Micro arata ca pozitiile de CEO sunt exploatate in 31% din cazuri, cele de Presedinte in 17%, iar cele de Managing Director in 15%. Ca destinatie sunt vizate cu precadere pozitiile cu responsabilitati financiare, CFO (Chief Financial Office) in 40% din cazuri si Director Financiar in doar 9.5%.

Ce este de facut?

Rapoartele FBI arata ca veriga slaba in tot acest proces au fost aproape de fiecare data angajatii si nerespectarea normelor interne ale companiilor, coroborate cu lipsa unor solutii complexe de securitate. In etapele premergatoare atacului, hackerii exploateaza diverse brese se securitate pentru a obtine informatii prin compromiterea unor echipamente, conturi de email, servere de fisiere etc.

Specialistii de la Trend Micro au definit o lista cu masuri care pot oferi protectie in fata atacurilor de tip CEO Fraud:

  • Filtrarea cu atentie a corespondentei si analiza atenta a mesajelor care nu se inscriu intr-un tipar, chiar daca vin din partea colegilor de munca sau mai ales a superiorilor. Atentia mai mare celor care solicita actiuni urgente, de orice natura, mai ales celor de natura financiara.
  • Definirea unor proceduri de lucru, dar mai ales respectarea acestora. Angajatii trebuie educati permanent in.aceasta directie.
  • Verificarea permanenta a schimbarilor aparute in ecosistemul de parteneri si furnizori, cu precadere a datelor, adreselor / sediilor si conturilor aferente schimburilor comerciale
  • Informarea constanta a angajatilor asupra oricarei schimbari care apare in comportamentul unui client/furnizor
  • Confirmari telefonice pentru operatiunile atipice, ca parte a unui proces de autentificare duala. Folosirea exclusiva a unor numere de telefon cunoscute/oficiale si nu a celor furnizate in corespondenta potential ilegitima.

In mod evident, aceste masuri trebuie completate cu utilizarea unor solutii complexe de securitate, care sa monitorizeze permanent traficul web si sa sesizeze orice anomalii fata de tiparele obisnuite ale activitatii. Conform analizelor Trend Micro, de fiecare data, schemele de tip Business Email Compromise sunt precedate de atacuri cu diverse forme de malware (backdoors, e-mail crawlers, file scanners, keyloggers etc) prin care hackerii incearca sa obtina informatii si sa compromita conturile de e-mail ale persoanelor vizate.

CEO Fraud este doar o varianta a Business Email Compromise. Companiile mai sunt pacalite prin trimiterea catre plata a unor facturi contrafacute (The Bogus Invoice Scheme), modalitate care implica de obicei relatii cu parteneri externi. Clientii sunt contactati de fraudatori prin telefon, fax sau email cerand ca plata facturii sa fie facuta intr-un cont alternativ.

Fondurile mai pot fi exfiltrate si prin compromiterea conturilor (Account Compromise), prin asumarea identitatii unui avocat sau a unei persoane de la departamentul financiar (Attorney Impersonation) sau prin furtul de date (Data Theft).

Solutiile Trend Micro pentru User Protection si Network Defense au capacitatea de a bloca mesajele de email folosite in atacurile de tip Business Email Compromise. Mai mult decat atat, InterScan Messaging Security Virtual Appliance, parte a solutiilor Trend Micro User Protection ofera protectie avansata impotriva atacurilor de social-engineering prin email, folosite in BEC.

Cum va puteti proteja impotriva Business Email Compromise aflati de la Veracomp, distribuitor in Romania al solutiilor Trend Micro. Puteti solicita acum consultanta gratuita.

Setari Cookie-uri