Мошеник бе хванат, защото случайно зарази собствения си компютър

Наука ОFFNews Последна промяна на 10 август 2016 в 11:00 28832 1

Поради небрежност на компютърните мошеници, експерти по безопасност от компанията SecureWorks са открили нова схема за измами с разбиване на бизнес поща. Схемата е съвсем проста и много ефективна. 

Така наречените "нигерийски" мошеници масово изпращат спам с линкове към уеб страница, където се стартира експлойт пакет или се залепва троянски кон от приложените файлове към писмото. Тяхната цел е да завладеят компютър с електронна корпоративна поща на някой високопоставен мениджър. Целта се постиг на няколко етапа. Например на първия етап е достатъчно да се зарази компютъра мениджър от по-ниско ниво или секретар, който в имейл листа си има по-високопоставен служител. И така нататък нагоре по стълбицата. 

Когато измамниците успеят да инсталират троянски на компютъра на някой старши мениджър ("продавач" в диаграмата), влиза в сила следната схема:


Илюстрация: SecureWorks

Ето какви са стъпките на измамата под името Wire Wire, показана на инфографики:

  1. Компрометация на пощенската кутия на продавача с помощта на фишинг или зловреден софтуер. Както беше казано, може да се постигне чрез служители на по-ниско ниво.
  2. Мошеникът проучва пощенската кутия на продавача, търсейки скъпи договори, които са на предварителен етап (например, купувачът е поискал цена).
  3. Мошеникът установява редирект (пренасочване) в пощенската кутия на продавача, за да подправи бъдещите съобщения от електронната поща от купувача.
  4. Купувачът изпраща на продавача поръчка за доставка на стоки, а документът се пренасочва към мошеника.
  5. Мошеникът "клонира" имейл адреса на купувача (като се използва подобен домейн) и пренасочва документа на продавача вече от този адрес, като по този начин създава канал за комуникация през себе си (MiTM атака).
  6. Продавачът отговаря на "купувача" (на клонирания адрес, който се контролира от хакера) с фактура, съдържаща инструкции за плащане. .
  7. Мошеникът променя банковите данни, посочени във фактурата и препраща подправения документ на купувача.
  8. Купувачът прехвърля парите в банковата сметка, която е под контрола на мошеника. 

Интересното е, че за да могат от SecureWorks да изучат в детайли новата схема е помогнало това, че един измамник случайно заразява своя компютър с собсвения си троянски кон RAT, който използва в работата си (казват, че това се случва изненадващо често). Скриншотове от неговия екран и логове на натисканията на клавиши постоянно се зареждали в отворена папка на уеб сървъра. Всъщност точно тази папка открили следователите в началото на разследването.Скриншотовете и логовете се превърнали в ценен източник на информация за дейността на групата от около 30 мошеника, за които този човек (наричат ​​го г-н X) е ключова фигура. След това бяха намерени скрийншотове и логове на заразените PC на четирима други измамници.

Експертите работили няколко месеца по случая и открили още много интересни подробности.

Например, не всички мошеници в общността Wire Wire са били опитни. Някои едвам разбирали как работи зловредния софтуер  и как се открива от антивирусните програми. Господин X им оказвал техническа помощ.

Изследователите видели колко неумело са подправяни фактурите, където шрифтът във фалшивите реквизити силно се различавал от оригинала, а банковата сметка, принадлежи на съвсем несвързан бизнес и се намира в страна, различна от тази на продавача. Въпреки това атаката на бизнес пощата се оказа много ефективна в редица случаи.

Например експертите са наблюдавали как мошениците са компрометирани пощата на служител на индийска химическа компания. Той използвал уеб-базиран интерфейс, така че за влизане в пощенската кутия се изисква само потребителско име и парола. Нападателите са видели възможност, когато към индийската компания дошло предложение за покупка на химикали на стойност $400 000 от американската компания, също в областта на химическата промишленост. След получаване на фактура от продавача, измамниците модифицирали IBAN-а (номера на сметката), името и адреса на банката, SWIFT / BIC кода на банката - и изпратили фактурата на купувача. Американската компания, без да подозира прехвърля към измамниците 400 000 щатски долара.

Изследователите казват, че групата не е имала ясна йерархия. Всички са плащали на X за обучение и поддръжка, а също и процент от приходите си. Повечето от членовете на групата живее в един и същ регион на Нигерия и се познават помежду си лично.

Членовете на бандата са на възраст около 40 години, предпочитат да работят от дома си, в социалните мрежи изглеждат почтени, никога не парадират с благосъстоянието си и почти всички са много набожни хора, които ходят редовно на църква. Проучването на техните профили в социалните мрежи установява, че те често са семейни, уважавани хора с висока репутация. Участвали са в схема Wire Wire, защото е нямало друг начин да получат прилична заплата и да помогнат на близките си. 

Членовете на бандата са получавали доход средно 3 милиона годишно. А изследователите са наблюдавани фалшиви фактури в размер на $ 5000 до $ 250 000, а средният размер на щетите за фирмите варира от $ 30 000 до $ 60 000.

Експертите на SecureWorks споделиха резултатите от своите наблюдения на хакерската конференция Black Hat. Разкритието е чист късмет - ако мошеникът не бе заразил компютъра си с RAT, много трудно щеше да бъде да се заловят престъпниците.

Купувачът на стоката обикновено чака дълго време, а след това решава, че продавачът го е измамил.

За резултатите от своята работа експертите Джеймс Бетке и Джо Стюарт информират Комисията по икономически и финансови престъпления на Нигерия и техния доклад е довел поне до едно разследване.

Бетке и Стюарт публикуваха в GitHub програмата pdfxpose, която регистрира подозрителни изменения на PDF файлове, което би предотвратило атака от компрометирана електронна поща.

Най-важното
Всички новини
За писането на коментар е необходима регистрация.
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!

12005

1

Панайот

12.09 2016 в 17:18

И вашия сайт го бяха думнали преди известно време :) ! Кофтиии !