Изощренные атаки с использованием корпоративной электронной почты набирают популярность, о чем свидетельствует предупреждение ФБР от 13 апреля 2021 года: в данной статье я расскажу об этом, дополню материал, представленный IC3, а также опишу реальные мошеннические схемы максимально подробно, чтобы каждый мог на 100% разобраться в этом вопросе и понять, как же это работает, а главное – почему работает?
Центр рассмотрения жалоб на преступления в сети Интернет (Internet Crime Complaint Center, IC3) получает все больше жалоб от жертв мошенничества, средства которых направляются для конвертации в криптовалюту и, впоследствии, мошенникам. Обратим внимание на следующий факт: за 2020 год CI3 обработал более 791 790 заявлений, что превысило этот же показатель в 2019 году на 69% и стало рекордной отметкой. 19 369 жалобы были связаны с проблемой компрометации почтовых ящиков корпоративных пользователей: люди потеряли более 1,8 млрд долларов, что куда больше, чем при иных формах мошенничества. Самым грустным в этой истории является то, что данная тенденция в 2021 году не только сохранится, но и будет усиливаться.
Почему крипто кошельки?
Главная особенность криптовалютной системы – анонимность, которая может использоваться как для защиты своих персональных данных, так и для способа мошенничества. Во-первых, злоумышленник может иметь несколько кошельков и создавать для каждой транзакции отдельный адрес, используя его только один раз, а также скрытый адрес: например, такие криптовалюты как Monero, DASH, Zcash не предоставляет видимого указания отправителя, получателя и транзакций на своем блокчейне. Во-вторых, информация о совершенных транзакциях общедоступна, но она никогда не содержит персональные данные (ПНд). Наконец, единственное, что отражается в сети при проведении транзакции, это адрес кошелька. Таким образом, использование криптографии в целях защиты связи и финансовых транзакций обеспечивает очень высокую степени анонимности.
«Я же не собирался переводить криптовалюту, как это вышло?»
Существует 2 основных схемы проведения атак с использованием корпоративных адресов, нацеленных на организации, которые сотрудничают с иностранными партнерами и регулярно осуществляют электронные переводы в крупных суммах. Обе схемы в общих чертах описаны в предупреждении ФБР, но в данной статье я опишу их максимально подробно и дополню материал, представленный IC3, чтобы каждый мог на 100% разобраться в этом вопросе и понять, как же это работает, а главное – почему работает?
- Прямая передача
Под прицел, как правило, попадают бизнесы, имеющие налаженные и длительные отношения с поставщиками. Киберпреступник компрометирует электронную почту представителя компании или же взламывает учетную запись почты, после чего отправляет жертве поддельное письмо с подробными инструкциями для перевода средств. Звучит как обычный фишинг, не так ли? Тем не менее, данные атаки гораздо сложнее: они находятся на стыке технологических и социальных методов мошенничества и имеют много особенностей. Давайте разберемся подробнее.
Вернемся к похищению средств: запрашиваемый мошенником перевод направляется в традиционное финансовое учреждение, в котором у криптовалютной биржи имеется кастодиальный счет. Кастодиальные счета (или депо счета) существуют в целях упрощенной торговли или обмена. Крипто кошелек, куда с депо счета биржи будут автоматически сконвертированы средства из фиата в криптовалюту, киберпреступник создает и настраивает заранее.
Основные шаги при проведении такой схемы следующие:
- злоумышленник связывается с жертвой, используя поддельную электронной почту, и отправляет письмо с подробной информацией по проведению перевода в привычный (!) для плательщика финансовый институт (банк)
- в банке имеется счет депо, который принадлежит бирже и предназначен для облегчения перевода финансовой наличности в криптовалюту и упрощения обмена между пользователями
- при переводе жертвой средств на данный счет, деньги (фиат) автоматически конвертируются в криптовалюту
- криптовалюта уходит на биржу на счет злоумышленника
Адрес крипто кошелька для перевода средств никакой киберпреступник отправлять не будет (разве что очень неопытный киберпреступник) – было бы слишком подозрительно, не так ли? При «прямой передаче» жертвы с трудом могут распознать обман, такая схема настолько идентична реальной сделке, что ее практически невозможно обнаружить.
- Передача «второго перехода»
Здесь социальная инженерия играет особую роль. Вымогательство, шантаж, романтические аферы и «поддельная» техподдержка – на этом строится передача второго перехода. В целом это просто дополненная первая схема, но, тем не менее, с помощью нее злоумышленниками могут совершаться куда большие похищения.
Разберем основные шаги:
- киберпреступник взаимодействует с жертвой №1, тем самым вынуждая человека предоставить свои персональные данные: удостоверение личности (паспорт/водительские права), получает доступ к счету жертвы №1
- мошенник пишет жертве №2, используя поддельную электронной почту или взломанную почту жертвы №1, и отправляет письмо с подробной информацией по проведению перевода на счет в банке, который теперь принадлежит жертве №1
- при переводе жертвой №2 средств на данный счет, деньги (фиат) автоматически конвертируются в криптовалюту
- с помощью полученных ПНд посредством шантажа мошенник открывает крипто кошелек на имя жертвы №1, куда с кастодиального счета банка уходят средства, ранее переведенные в криптовалюту
- имея доступ к крипто кошельку жертвы №1, киберпреступник совершает перевод средств с данного кошелька на свой
Как не стать жертвой?
IC3 в своей рекомендации приводит несколько способов защиты от вышеописанных схем. С моей точки зрения, гарантировать вашу безопасность может выполнение следующих действий:
- Самое главное - я рекомендую использовать двухфакторную идентификацию везде, где это только возможно, а также создавать уникальные пароли для каждой из своих учетных записей, регулярно проверяйте учетную запись вашей корпоративной почты на наличие изменений.
- Избегайте предоставления своих ПНд по электронной почте. Используйте защищенные каналы связи!
- Использование VPN или TOR браузер: предотвратите утечку своих ПНд до того, как они утекут.
- Уделяйте особое внимание «приказам от руководителя» или же «письмам от юриста». В юридической практике часто происходят ситуации, когда ответы на подобные письма действительно требуют 100% срочности и могут являться коммерческой тайной: посыл у них один – совершить перевод средств тайно/ предоставить конфиденциальную информацию.
- На устройствах ваших сотрудников, как и на ваших, обязательно должны работать настойки, с помощью которых они смогут посмотреть полные расширения электронной почты.
- Всегда обращайте внимание на имя домена в гиперссылках – подставной домен может отличаться одной маленькой и незначительной деталью, что свидетельствует о фиктивности контрагента, проверяйте URL-адреса
- И, конечно же, помните о давно известных всем правилах защиты от фишинга.
- Sourse: https://obmenoff.cc/