Spear фишинг

През последните години е констатирано увеличение на еднотипни случаи, касаещи финансови измами, извършвани в интернет пространството. Установените до момента измами са извършени посредством масово неправомерно проникване в официалните електронни пощенски кутии на български фирми от средния бизнес.


      В хода на работата по регистрираните случаи в ГДБОП-МВР е установен използвания от хакерите престъпен механизъм на действие, който е изграден на пирамидален принцип и от него произтича високата степен на опасност за всички останали български фирми.


      Опасността се поражда от следното:


      До определена фирма или организация се изпраща нарочно подготвено електронно съобщение, на което е придаден специфичен вид, че е с доверен източник. Съобщенията претендират, че са от банкова, международна или друга престижна организация. Често съобщенията са уж изпратени от фирма контрагент, с която българската фирма е в договорни или близки отношения.

    Като резултат, служителите на атакуваната фирма занижават своята бдителност и последват линкове или изпълняват файлове от тези съобщения, върху своите компютърни конфигурации. По този начин, престъпниците получават достъп до заразения компютър на фирмата или до важни потребителски имена и пароли.


    Тази престъпна дейност е известна с английската дума Spearfishing, заради специфичната подготовка на измамното съобщение за конкретна организация, отдел или служител. Терминът идва от английската дума spear - копие, харпун. При обикновенните фишинг и СПАМ съобщения се таргетират широк кръг от интернет потребители, без мейлите да съдържат конкретни данни за получателя или неговата дейност. Те съдържат послания и реклами на средства за отслабване,  съобщения от социални мрежи за предстоящо деактивиране на профили, съобщения с печалби от лотарии, дарения, наследства и тн. Те могат да се оприличат на риболова с големи мрежи. При "фишинга с харпун/копие", отново съобщението е измамно, но в него са посочени конкретни имена, действия или минали и бъдещи събития. Целта е занижаване на бдителността на крайния получател и въвеждането му в заблуждение, че изпращача е легитимен бизнес партньор или контрагент. Оприличават се на опитен гмуркач с харпун, преследващ екзотична/конкретна риба. Множество от случаите на подобен нерегламентиран достъп до важни служебни пощенски кутии са в резултат на "обикновени" СПАМ - най-често с привидно съобщение от администратора, че обема на пощенската кутия намалява, ще бъдат изгубени важни данни, като е необходимо последването на линк/препратка и отстраняване на проблема. При последване на тези препратки се достига до временно създадени web страници, привидно изглеждащи легитимно, където жертвата се подмава да въведе своя мейл и парола. По този "елементарен" начин хакерите научават Вашата парола...самата пощенска кутия често е налична при търсене в Гугъл.


    Веднъж проникнали в една пощенска кутия или ресурс на фирма, хакерите започват да следят цялостната кореспонденция, водена от въпросната организация с всички други нейни партньори. По този начин хакерите се запознават с електронните пощенски адреси и на други фирми, в които също проникват по гореописания път и започват да следят тяхната кореспонденция, съответно и всички контактуващи с тях. След пробиването на определена пощенска кутия, хакерите „наблюдават” фирмената кореспонденция с месеци, без да съществува каквото и да било съмнение, че някой е запознат с целия работен процес на фирмата - процес при който хакерите се сдобиват с цялата фирмена информация, която може да бъде използвана и предоставена на конкурентни фирми, както и да бъде използвана за създаване на „черен PR” и други. Най-често хакерите използват информацията, за да се откраднат големи финансови средства при разплащане по банков път, осъществено между две или повече фирми.


      По време на нерегламентираното „наблюдение” хакерите разбират какви са банковите сметки на шпионираната от тях фирма, кога предстои да бъдат извършвани сделки с други фирми и най-важното – кога предстои да бъде извършено разплащането и дали ще е по банков път. По този начин IT престъпниците избират коя ще е най-подходящата сделка, при която да подменят банковата сметка, изписвана във фактурата на контролираната от тях фирма с друга сметка. Подмяната става, в момент, в който „потърпевшата фирма” изпраща на свой партньор електронно писмо, съдържащо фактура - инвойс, в която е банковата сметка на атакуваните. Посочената банкова сметка от „потърпевшата фирма”, е тази по която отсрещната страна трябва да преведе дължимата сума за предоставената услуга. Точно в този момент – когато писмото се изпраща, хакерите осъществяват престъплението и фалшифицират сканираната фактура като променят банковата сметка, по която трябва да бъде преведена сумата. От своя страна служителите на фирмата, които трябва да извършат нареждането по предоставената сметка директно нареждат сумата, без дори да бъде проведен контролен разговор по телефона със служители на фирмата, която трябва да получи парите. До този момент хакерите „стоят в сянка” - единственото, което осъществяват е прочит на водената кореспонденция, поради което няма как да бъдат породени съмнения за нерегламентирания достъп.


      Хакерите, „наблюдавайки” с месеци фирмените кореспонденции, анализират степента на доверие между страните по бъдещото разплащане на база на водената периодична кореспонденция. При наличието на показатели за изградено доверие между контактуващите фирми – когато информацията от електронните писма от двете страни се приема и предава без съмнение, че може някой друг да наблюдава процеса и да го манипулира, хакерите решават, че измамата ще бъде успешно осъществена и тогава пристъпват към активно действие. По този начин фирмата, която извършва дължимия паричен превод директно превежда дължимата сума, без дори да се свърже по телефона с фирмата контрагент, за да потвърди за предоставената банкова сметка, която в случая вече е подменената от хакерите и измамата бива осъществена успешно.


      Непосредствено след като парите бъдат преведени на променената от хакерите банкова сметка, която най-често е в трета държава, парите веднага биват изтеглени или наредени, в следствие на което средствата не могат да бъдат възстановени по съществуващите банкови канали и тяхното проследяване става изключително сложно.


      В хода на извършваните проверки по случаите е констатирано, че проникването в пощенските кутии на българските фирми е осъществявано предимно от интернет протокол адреси от Нигерия и Южна Африка. До момента, от извършените престъпления са настъпили вреди за български фирми в особено големи размери. Пострадалите фирми са от различни области на страната. Съществува вероятност и други български фирми да станат жертва на гореописаната измама.


      Осъществяваната измама оказва негативно влияние в няколко аспекта:

       - претърпяват се финансови загуби в големи размери;

      - посредством компроментираната пощенска кутия на пострадалата фирма, хакерите достигат до електронните адреси на нейните партньори и разширяват обхвата на своето незаконно действие;

    - фирмите, пострадали от измамата прекратяват изградените взаимоотношения с бизнес партньорите си поради съмнение за съучастие в измамата.


    За да се предпазите от гореописаните заплахи е необходимо да следвате няколко прости принципа:

1. Използвайте съвременни операционни системи и антивирусни решения;

2. Регулярно променяйте своите пароли за достъп;

3. Не отваряйте съобщения от непознат източник;

4. Изберете няколко независими канала за комуникация с Вашите контрагенти;

5. Редовно следете банковите си наличности;

6. Запознайте се подробно с разделите ни "Как да се защитя" в секцията "Заплахи в интернет"! 

7. Сигнализирайте своевременно органите на МВР.