Как киберпреступники украли $15 млн у одной из американских компаний

Вт 6 Октябрь 2020 13:15

Опытные киберпреступники похитили $15 млн у одной из американских компаний в результате тщательно подготовленной мошеннической операции, продолжавшейся в течение двух месяцев.

Как сообщает портал BleepingComputer, кибератаку с уверенностью можно назвать ювелирной работой. Сначала злоумышленники получили доступ к электронной переписке о переводе денежных средств, а затем внедрились в переговоры и переадресовали платежи на подложные счета. При этом им удалось достаточно долго скрывать факт хищения и успеть вывести краденые деньги.

Хотя проводившие расследование инцидента специалисты компании Mitiga изучили только данный конкретный случай, они обнаружили свидетельства того, что список жертв киберпреступников насчитывает десятки предприятий, в том числе архитектурных бюро, финансовых организаций и юридических фирм.

По словам специалистов, никакого вредоносного ПО в сетях пострадавшей компании обнаружено не было, зато был выявлен факт компрометации учетных данных электронной почты. Однако одного лишь доступа к электронному ящику киберпреступникам было мало, поскольку они могли лишиться его в любой момент. В связи с этим злоумышленники создали правила переадресации писем с целью получения всех входящих писем из нужного ящика.

С помощью сервиса электронной почты Microsoft Office 365 киберпреступники подделали домены двух сторон, участвовавших в транзакции. Использование Microsoft Office 365 позволило им сделать письма не вызывающими подозрений и способными обходить защитные решения. Кроме того, через регистратора доменов GoDaddy злоумышленники зарегистрировали два домена, очень похожие на домены, принадлежащие настоящим компаниям.

В течение четырех недель киберпреступники методично следовали разработанному плану, используя информацию, собранную из перехваченных электронных писем высшего руководства атакуемой компании. Когда дело дошло до обсуждения перевода денег, они «вклинились» в беседу с поддельного домена, похожего на домен одной из сторон переговоров, и предоставили подложные банковские реквизиты.

Банки могут блокировать денежные транзакции, если средства переводятся на неправильный счет, и киберпреступники заранее к этому подготовились. Для того чтобы скрыть кражу, они перевели деньги на счета в зарубежных банках и запутали след. Злоумышленники также создали правила фильтрации, согласно которым письма с определенных электронных адресов попадали в скрытую папку. Поэтому легитимные владельцы электронных ящиков не видели писем с обсуждением перевода денег. Таким образом, за две недели злоумышленники «заработали» $15 млн.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 255 дней 17 часов 47 минут 24 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.