Благодаря неосторожности преступника специалисты SecureWorks раскрыли новую схему мошенничества
Специалисты по безопасности SecureWorks провели отличная работа и полностью раскрыл мошенничество с компрометацией деловой электронной почты.
Схема довольно простая и, как оказалось, очень эффективная.
Так называемые «нигерийские» мошенники массово рассылали спам со ссылками на веб-страницы, где был запущен эксплойт-пак, или прикрепляли к письму трояна.
Их целью было завладеть компьютером с корпоративной электронной почтой какого-то высокопоставленного менеджера.
Цель была достигнута в несколько этапов.
Например, на первом этапе достаточно заразить компьютер менеджера низшего звена или секретаря, у которого в электронных контактах есть более высокопоставленный сотрудник.
И так вверх по лестнице.
Когда мошенникам удалось установить трояна на компьютер высокопоставленного менеджера («продавец» на схеме), в дело вступила следующая схема.
Иллюстрация: SecureWorks
Суть мошенничества под названием Wire Wire показана в инфографике.
Давайте продублируем шаги еще раз для ясности:
- Компрометация почтового ящика продавца с помощью фишинга или вредоносного ПО.
Как уже говорилось, цели могут быть достигнуты за счет сотрудников более низкого звена.
- Злоумышленник сканирует почтовый ящик продавца на наличие дорогих контрактов, находящихся на предварительной стадии (например, покупатель запросил цену).
- Злоумышленник настраивает перенаправление в почтовом ящике продавца, чтобы подделать будущие электронные письма от покупателя.
- Покупатель отправляет продавцу заказ на покупку, а документ передается злоумышленнику.
- Злоумышленник «клонирует» адрес электронной почты покупателя (используя аналогичный домен) и перенаправляет документ продавцу с этого адреса, таким образом устанавливая канал связи через себя (атака MiTM).
- Продавец отправляет «покупателю» (на клонированный адрес, контролируемый злоумышленником) счет-фактуру с инструкциями по оплате.
- Злоумышленник меняет банковские реквизиты в счете-фактуре и перенаправляет измененный документ покупателю.
- Покупатель переводит деньги на банковский счет, который находится под контролем злоумышленника.
Скриншоты его экрана и журналы нажатий клавиш постоянно загружались в открытую папку на веб-сервере.
На самом деле эту папку следователи обнаружили еще в начале расследования.
Скриншоты и логи стали ценным источником информации о деятельности группы мошенников из примерно 30 человек, для которой этот человек (его звали Мистер Икс) был ключевой фигурой.
Затем были найдены скриншоты и логи с зараженных компьютеров еще четырех мошенников.
Несколько месяцев эксперты изучали скриншоты и все нажатия клавиш.
За это время нам удалось узнать много интересных подробностей.
Например, не все мошенники в сообществе Wire Wire имели опыт. Некоторым было трудно понять, как работает вредоносное ПО и как оно распознается антивирусами.
Г-н Х предоставил техническую помощь и инфраструктуру, которые позволили группе работать эффективно.
Исследователи видели неуклюже измененные счета-фактуры, где шрифт фальшивых реквизитов сильно отличается от оригинала, а банковский счет принадлежит совершенно не связанному бизнесу и находится в другой стране, чем продавец.
Однако во многих случаях атака компрометации деловой электронной почты оказалась весьма эффективной.
Например, в самом крупном деле о мошенничестве эксперты наблюдали, как злоумышленники скомпрометировали электронную почту сотрудника индийской химической компании.
Он использовал веб-интерфейс, поэтому для входа в свой почтовый ящик ему требовались только логин и пароль.
Злоумышленники увидели возможность для бизнеса, когда индийская компания получила предложение о покупке химикатов на сумму 400 000 долларов от американской компании, также работающей в химической промышленности.
Получив счет от продавца, мошенники изменили IBAN (номер счета), название и адрес банка, SWIFT/BIC-код банка – и переправили счет покупателю.
Американская компания по незнанию перевела мошенникам 400 тысяч долларов.
Исследователи говорят, что внутри группы не было четкой иерархии.
Вместо этого все платили мистеру X за обучение и обслуживание, а также выплачивали ему процент от своего дохода.
Большинство участников группы проживают в одном районе Нигерии и знают друг друга лично.
Авторы доклада также отмечают, что члены группы Wire Wire отличаются от типичных западноафриканских мошенников.
Типичными мошенниками обычно являются молодые парни до 29 лет, которые тусуются в компьютерных клубах, ведут себя экстравагантно и публикуют в социальных сетях свои фотографии с пачками купюр и модными автомобилями.
Хороший профиль этих парней (Yahoo Boys) в свое время.
В отличие от Yahoo Boys, члены группы Wire Wire старше, им меньше 40 лет, предпочитают работать из дома, выглядят респектабельно в социальных сетях, но никогда не хвастаются пачками счетов или модными автомобилями и почти все очень набожны.
люди, посещающие церковь.
Исследование их профилей в социальных сетях также показало, что они зачастую семейные, уважаемые люди с высокой репутацией.
Они чувствуют себя обязанными помочь своим родственникам, что часто означает участие в схеме Wire Wire, поскольку других способов достойно зарабатывать в стране нет. Исследование счетов-фактур и заказов на поставку товаров показало, что члены преступной группы получали в среднем доход в $3 млн за год своей деятельности.
Исследователи обнаружили фальшивые счета на сумму от 5000 до 250 000 долларов США, хотя средние потери компаний варьировались от 30 000 до 60 000 долларов США.
Специалисты SecureWorks поделились результатами своих наблюдений на хакерской конференции Черная шляпа .
Надо сказать, им повезло.
Если бы мошенник не заразил свой компьютер RAT, преступников было бы очень сложно найти.
Покупатель долго ждал товар, а потом обычно приходил к выводу, что продавец его обманул.
Эксперты рассказывают о результатах своей работы Джеймс Боттке И Джо Стюарт информированный Комиссия Нигерии по экономическим и финансовым преступлениям , и их отчет уже привел как минимум к одному расследованию.
Беттке и Стюарт также разместили программу на GitHub. pdfxpose , который обнаруживает подозрительные изменения в PDF-файлах и предотвращает атаки, компрометирующие электронную почту.
Теги: #IT Finance #мошенничество #bec #wire-wire #поддельный счет #pdfxpose
-
Актант
19 Oct, 24 -
Кросс-Репликация Между Postgresql И Mysql
19 Oct, 24 -
Встреча Startuppers В Вашем Городе
19 Oct, 24
