Киберпреступники все чаще крадут деньги через корпоративную почту

Mega Metals – семейный бизнес по переработке лома с 30-летней историей, в котором занято три десятка человек. В апреле этого года компания отправила платеж на $100 000 немецкому контрагенту в уплату за 18-тонный контейнер титановой стружки. Каждую неделю компания покупает по 3–4 контейнера лома у различных поставщиков из Европы и Азии, платя за каждый от $50 000 до $5 млн. Титан промывается, перемалывается и продается другим компаниям как готовое сырье. Но в тот раз платеж до немецкого контрагента не дошел. Кто-то взломал почту брокера, работающего с Mega Metals. В итоге в письме оказались неверные реквизиты счета: «Мы отправили деньги бог знает куда», – говорит Дэвид Мегдал, вице-президент Mega Metals.

Этот случай расследовала компания по кибербезопасности CrowdStrike. Ее гендиректор Джордж Куртц считает, что компьютер брокера был инфицирован вирусом, который собрал пароли, в том числе от электронной почты, после чего был подделан счет: «Украденные деньги были не раз переведены со счета на счет, надежды на их возврат нет». «Похоже, хакеры добрались до нашей электронной почты и изменили информацию», – признает владелец итальянского брокера Co.se.tra Sri Джампьеро д’Анджело, который выступал посредником между Mega Metals и немецкой компанией. Сам брокер ввел более жесткую процедуру верификации, чтобы избежать подобных конфузов в будущем.

В прошлом году ряд страховщиков стал страховать защиту от «фрода с использованием социального инжиниринга» (fraud – мошенничество в сфере IT). Речь идет о случаях, когда введенные в заблуждение с помощью электронных писем, факсов, телефонных звонков сотрудники отправляют платежи злоумышленникам. «Это можно назвать новой проблемой из-за всплеска количества таких мошенничеств и объема потерь, – рассуждает Стивен Балмер, менеджер по социальной инженерии TravelersCos. – Крупные компании считаются более защищенными благодаря отлаженным внутренним процедурам и системе контроля. Но подобные страховки пользуются большим спросом у малого и среднего бизнеса, осознавшего степень риска».

Не всегда возникает нужда во взломе почты. ФБР недавно заявила, что ее подразделение в Далласе сумело идентифицировать шестерых граждан Нигерии, возможно работающих в одной команде, которые атаковали 25 далласских компаний. Им удалось обмануть американцев на $100 млн. Они рассылали письма от лица топ-менеджмента атакуемой компании. На самом деле письма шли не с адреса начальства, а с сайта, домен которого был похож на адрес компании. Например, в феврале финансовый директор Infront Consulting Group со штатом 38 человек, работающей в Торонто и Лас-Вегасе, получил письмо якобы от гендиректора с просьбой провести платеж на $169 705. Прилагающаяся инструкция гласила, что деньги должны быть перечислены через банк Northern Trust на счет компании Cat Financial Power Investment во Флориде.

К счастью, гендиректор Infront Consulting Group Рори Маккау как раз в то время позвонил своему финансовому директору по какому-то другому вопросу, а та на всякий случай поинтересовалась странным счетом. Дальнейшее расследование показало, что адрес электронной почты был полностью идентичен адресу гендиректора за малым исключением: в слове «consulting» не хватало буквы «i». «Мы бы этого не заметили, нам просто повезло», – радуется Маккау. Об инциденте он заявил в полицию Лексингтона (Массачусетс), поскольку похожий на сайт его компании домен был зарегистрирован именно в этом штате.

Но полицейские Лексингтона не стали проводить расследование, ведь деньги не были украдены, так что им было трудно найти повод для возбуждения дела, оправдывается шеф местной полиции Марк Корр. Кроме того, продолжает Корр, мелким полицейским департаментам крайне трудно расследовать подобные виды мошенничества.

Пресс-секретарь Northern Trust заявила, что после сообщения Маккау служба безопасности банка провела проверку и не обнаружила в реестре юрлиц Флориды никакой компании Cat Financial Power Investment.

Чем больше транзакций переводится онлайн, тем большее распространение получают подобные обманные схемы, констатирует Стивен Баллитт, помощник спецагента далласского офиса Секретной службы (это агентство изначально занималось борьбой с фальшивомонетчиками). Злоумышленникам часто достаточно изучить соцсети, сайт компании и другие общедоступные ресурсы, чтобы составить письмо, которое трудно отличить от настоящего.

Порой банк обманутой компании может вернуть всю сумму или часть, если вовремя оповестит банк-получатель платежа о том, что проводка была совершена в результате мошеннических действий. Вовремя – это промежуток от нескольких часов до считанных дней. Если перевод был сделан более чем 72 часа назад, с деньгами скорее всего можно распрощаться, констатирует Патрик Фэллон из криминально-следственного отдела (Criminal Investigative Division, CID). В Mega Metals теперь сверяют реквизиты всех платежек по телефону. Причем телефонный номер берут не из письма, а из других источников. Потеря $100 000 была весьма дорогостоящим уроком, говорит Мегдал, но, по крайней мере, ценой этой ошибки не стала вся карьера.

WSJ, 29.07.2015, Антон Осипов