Skoči na vsebino
Varni na internetu
Prevara

Hekerji vdirajo v elektronsko pošto slovenskih podjetij!

Napadalci vdirajo v e-poštne sisteme podjetij, od koder lahko spremljajo njihovo elektronsko komunikacijo s strankami.

V ključnem trenutku prodaje se vrinejo v komunikacijo med prodajalcem in kupcem ter izplačevanje denarnih sredstev preusmerijo na svoje račune. Ko podjetja opazijo nepravilnost, je praviloma že prepozno.

Vrivanje v poslovno komunikacijo ali BEC prevara (Business Email Compromise)

V svetu so že nekaj let razširjeni ciljani vdori in zlorabe elektronske komunikacije. Njihove posledice sedaj spoznava tudi slovensko podjetniško okolje. Na SI-CERT smo prejeli več prijav zlorab elektronske komunikacije med slovenskimi podjetji in njihovimi poslovnimi partnerji iz tujine. Ne gre za pravilo, a na udaru so predvsem podjetja, ki poslujejo s tujino v velikih zneskih. Napadalci lahko podatke o podjetjih enostavno pridobijo iz javno dostopnih evidenc.

Napadalci vdirajo v e-poštne sisteme podjetij, od koder lahko spremljajo njihovo elektronsko komunikacijo s strankami. Ko pridobijo dovolj pomembnih informacij o poslovnih procesih, lahko v ključnem trenutku aktivno posežejo v komunikacijo in kupcu pošljejo lažno sporočilo o spremembi transakcijskega računa. Tako preusmerijo plačevanje računov in drugih stroškov na svoje lažne bančne račune. Do trenutka, ko podjetja ugotovijo, da je nekaj narobe, hitro nastane velika škoda, od nekaj 1000 do več 10.000 EUR.

Kako pride do vdora?

Cilj hekerjev je pridobiti vpogled v komunikacijo podjetja, to pa lahko naredijo na različne načine. Lahko vdrejo v nadzorno ploščo pri ponudniku poštnih storitev ter preusmerijo pošiljanje pošte na svoj e-naslov, od koder neopaženo spremljajo komunikacijo podjetja. Lahko celo okužijo računalnik enega od zaposlenih. Do gesla za dostop do e-pošte se lahko dokopljejo tudi s pomočjo ciljanega phishing napada. Običajni phishing napadi so razposlani na veliko število naslovov in poštni strežniki jih bolj kot neuspešno filtrirajo v vsiljeno pošto. Za razliko od teh so ciljani napadi izvedeni veliko bolj sofisticirano: napadalec izbrani žrtvi pošlje personalizirano sporočilo, ki se izogne poštnim filtrom in obenem deluje bolj verodostojno. Zato je takšen napad tudi bolj ‘uspešen’.

V običajnih phishing sporočilih iz različnih razlogov zahtevajo, da se ponovno vpišete v vaš poštni predal. Če ne, ne boste mogli več dostopati do vaše pošte. Čeprav so vsi razlogi izmišljeni in niso možni niti teoretično, je že grožnja dovolj, da nekateri uporabniki svoje uporabniško geslo in ime vpišejo v lažno phishing stran. V primeru ciljanih napadov pa je napadalčevo sporočilo napisano za točno določenega naslovnika. Ker se vsebina sporočila dejansko navezuje na njegove aktivnosti je veliko bolj verjetno, da bo naslovnik takšnemu sporočilu tudi nasedel.
Prikazana je razlika med običajnim in ciljanim phishing napadom. V običajnih phishing sporočilih iz različnih razlogov zahtevajo, da se ponovno vpišete v vaš poštni predal. Če ne, ne boste mogli več dostopati do vaše pošte. Čeprav so vsi razlogi izmišljeni in niso možni niti teoretično, je že grožnja dovolj, da nekateri uporabniki svoje uporabniško geslo in ime vpišejo v lažno phishing stran. V primeru ciljanih napadov pa je napadalčevo sporočilo napisano za točno določenega naslovnika. Ker se vsebina sporočila dejansko navezuje na njegove aktivnosti je veliko bolj verjetno, da bo naslovnik takšnemu sporočilu tudi nasedel.V običajnih phishing sporočilih iz različnih razlogov zahtevajo, da se ponovno vpišete v vaš poštni predal. Če ne, ne boste mogli več dostopati do vaše pošte. Čeprav so vsi razlogi izmišljeni in niso možni niti teoretično, je že grožnja dovolj, da nekateri uporabniki svoje uporabniško geslo in ime vpišejo v lažno phishing stran. V primeru ciljanih napadov pa je napadalčevo sporočilo napisano za točno določenega naslovnika. Ker se vsebina sporočila dejansko navezuje na njegove aktivnosti je veliko bolj verjetno, da bo naslovnik takšnemu sporočilu tudi nasedel.

Pošljejo e-mail v imenu zaposlenega v podjetju

Ko napadalci pridobijo dostop do e-pošte podjetja, nastavijo posredovanje pošte na svoj e-naslov, ki so ga za ta namen kreirali pri enem od brezplačnih ponudnikov (gmail, yahoo, hotmail). Brezplačne ponudnika so izbrali premišljeno in s tem zakrili svoje sledi. Nekaj časa nato spremljajo celotno komunikacijo, da ugotovijo na kakšen način poteka poslovanje, plačevanje, najdejo največje stranke. V ključnem trenutku, na primer pred plačilom nekega večjega računa, aktivno posežejo v komunikacijo. Pri enem od brezplačnih ponudnikov registrirajo elektronski naslov z imenom in priimkom zaposlenega v podjetju (npr. janez.novak@podjetje.si kar naenkrat postane janez.novak@gmail.com).

Žrtvi potem v njegovem imenu pošljejo podatke o spremenjenem TRR računu za nakazilo. Denarna nakazila tako preusmerijo na svoje TRR račune, na njihove elektronske račune se preusmeri tudi komunikacija s stranko. Ker uporabniki običajno nismo pozorni na elektronski naslov sogovornika, žrtev redko opazi spremembo.

Za primer vzemimo Janeza Novaka. Do sedaj vam je pisal iz e-naslova janez.novak@podjetje.si, potem pa se naslov spremeni v janez.novak@gmail.com. Ste pozorni dovolj, da bi ta sprememba vzbudila sum?
Za primer vzemimo Janeza Novaka. Do sedaj vam je pisal iz e-naslova janez.novak@podjetje.si, potem pa se naslov spremeni v janez.novak@gmail.com. Ste pozorni dovolj, da bi ta sprememba vzbudila sum?

Kot razlog za spremembo bančnega računa navedejo različne razloge, od tega, da imajo težave s svojo banko, da bo plačilo hitreje sprovedeno, če plačajo na račun v bližnji državi, da raje nakažite na račun njihovega lokalnega zastopnika ipd. V vseh obravnavanih primerih je šlo za bančne račune fizičnih oseb v lasti t. i. denarnih mul. Te nakazan znesek takoj po prejemu dvignejo in po neki drugi poti, ponavadi z nakazilom preko sistema Western Union, nakažejo naprej goljufom. Na ta način se sled za denarjem zelo hitro izgubi.

Za pomoč pri dvigovanju in prenakazovanju denarnih sredstev sumljivega izvora kriminalci uporabijo denarne mule. V svojo mrežo jih zvabijo s pomočjo raznih zvijač, da pogosto še same ne vedo, s čim imajo opravka. Se spomnite oglasov za dobro plačano delo od doma, nekaj v stilu ‘Kako slovenska mama samohranilka zasluži 20.000 € z delom od doma? Preveri tukaj!’ Ti oglasi so lep primer prikritega oglaševanja dela denarne mule. Sicer bogato plačanega, a zelo tveganega – velik delež jih odkrijejo, pogosto morajo zaradi vpletenosti v kaznivo dejanje svoj del kazni odsedeti.

Na kratko o prevari

Kako pride do vdora v komunikacijo?

Lahko vdrejo v nadzorno ploščo ponudnika poštnih storitev in preusmerijo pošiljanje pošte na svoj e-naslov, okužijo računalnik enega od zaposlenih, ali pridobijo geslo za dostop do e-pošte s pomočjo ciljanega phishing napada.

Kaj je ciljan phishing napad?

Ciljani napadi so, za razliko od klasičnih, izvedeni veliko bolj sofisticirano: napadalčevo sporočilo napisano za točno določenega naslovnika in se tako izogne poštnim filtrom in obenem deluje bolj verodostojno. Zato je takšen napad tudi bolj ‘uspešen’.

Kako pride do oškodovanja?

Odgovorni osebi (npr. računovodstvu) v imenu zaposlenega pošljejo podatke o spremenjenem TRR računu za nakazilo. Denarna nakazila tako preusmerijo na svoje TRR račune, na njihove elektronske račune se preusmeri tudi komunikacija s stranko.

Kdo so lastniki teh bančnih računov?

V vseh obravnavanih primerih je šlo za bančne račune fizičnih oseb v lasti t. i. denarnih mul, ki nakazan znesek takoj po prejemu dvignejo in po neki drugi poti, ponavadi z nakazilom preko sistema Western Union, nakažejo naprej goljufom. Na ta način se sled za denarjem zelo hitro izgubi.

Zakaj se sled za denarjem izgubi?

Za pomoč pri dvigovanju in prenakazovanju denarnih sredstev sumljivega izvora kriminalci uporabijo denarne mule. V svojo mrežo jih zvabijo s pomočjo raznih zvijač, da pogosto še same ne vedo, s čim imajo opravka.

Ukrepi

  1. Če poslujete s tujino, bodite še posebej pozorni na morebitna nenadna odstopanja od utečenih praks. Vsako spremembo občutljivih podatkov, sploh tistih za nakazilo denarja, preverite na različne načine, tudi prek telefona, faksa, skypa ipd.

  2. Preverjajte elektronske naslove vaših partnerjev. Nekateri programi za elektronsko pošto kot pošiljatelja prikažejo zgolj ime in priimek, ki pa si ju lahko vsakdo nastavi po svoje. Če pa se z miško postavimo na ime, se nam prikaže celoten elektronski naslov. Je ta morda spremenjen? Se namesto naslova ime.priimek@podjetje.com kar naenkrat pojavi ime.priimek@gmail.com? To je že lahko znak za alarm.

  3. V nastavitvah vašega elektronskega računa redno preverjajte, ali se vaša pošta preusmerja na kakšen neznan elektronski naslov. V Gmailu to preverite v nastavitvah pod zavihkoma »Filtri« in »Posredovanje«, če uporabljate elektronsko  pošto drugega ponudnika, se pri njem pozanimajte, kje najdete to nastavitev (preverite posredovanje in filtre).

    Se vaša e-pošta preusmerja na neznan naslov?
    Se vaša e-pošta preusmerja na neznan naslov?

  4. Če vam vaš ponudnik elektronske pošte omogoča dostop do vpogleda, iz katerih IP naslovov je bilo dostopano do vašega predala, redno preverjajte te podatke. Na podlagi IP naslova lahko ugotovimo, kateremu ponudniku dostopa pripada, v nekaterih primerih pa tudi približno lokacijo. V primeru kazenskega pregona pa se lahko na podlagi IP naslova ter točnega časa prijave pridobi tudi podatke o uporabniku tega IP naslova.

  5. Ne zanemarjajte morebitnih obvestil o sumljivem dogajanju v elektronskem računu, ki vam jih pošilja vaš ponudnik. Vsako tako obvestilo je potrebno analizirati in ugotoviti vzroke, zakaj je do tega prišlo (pri tem morate paziti, da prepoznate lažna, phishing sporočila, ki na prvi pogled izgledajo, kot da vam jih je poslal vaš ponudnik)

  6. Eden najpogostejših načinov kraje gesel so phishing sporočila, ko svoje geslo in uporabniško ime napadalcem posredujemo kar sami. Razširjeni pa so tudi ‘trojanci’, ki prestrezajo shranjena in vpisana gesla. Trojanci se na računalnik naselijo, ko odpremo okuženo priponko v elektronski pošti ali pa iz spleta prenašamo sumljive vsebine. Je možno, da ste v preteklosti naredili katero od teh napak?

  7. Kakšna je politika gesel v vašem podjetju? Uporabljajte kompleksna gesla in nikoli naj istega gesla ne uporablja več uporabnikov. Posebej skrbno ravnajte z geslom za dostop do nadzorne plošče za elektronsko pošto vašega podjetja. Kraja enega gesla ima lahko za posledico zlorabo prav vseh elektronskih predalov. Zato za dostop do nadzorne plošče uporabljajte 2-faktorsko avtentikacijo , če vam vaš ponudnik to omogoča.

Primeri prevar

Primer prevare

Nov val “European business number” pisem

Slovenske podjetnike zopet opozarjamo na zavajajočo pošto iz tujine, ki vabi k vpisu podjetij v poslovne imenike z zvenečimi imeni, npr. European business number, World business list ipd.

Kako prevara poteka
Primer prevare

Podjetja pozor: neobičajna sporočila o nakazilu denarja v tujino

Slovenska podjetja in organizacije so v teh dneh zopet tarča goljufov. Iz direktorjevega elektronskega naslova na računovodstva podjetij prihajajo nenavadna elektronska sporočila z navodili o hitrem nakazilu med 10.000 in …

Kako prevara poteka
Primer prevare

Težki časi in mamljive poslovne ponudbe

Vsi smo že kdaj slišali floskulo, kako je čas gospodarske krize lahko tudi priložnost. Za spletne goljufe pa dejansko tudi je.

Kako prevara poteka

Komentarji / 1

Pred objavo na portalu bo vaš komentar odobren s strani uredništva.
Preberite pravila komentiranja na portalu.
Vaš e-naslov ne bo nikoli objavljen ali posredovan tretjim osebam.

  1. Ali lahko danes plačamo 47.900 EUR? – Varni na internetu /

    […] Enostavno ga izbrišite. Proti tovrstnim goljufijam se je najbolje boriti z osveščanjem uporabnikov, zato o goljufiji obvestite tudi svoje kolege, da jo bodo znali pravočasno prepoznati. Pri poslovanju velja splošno pravilo: vsako neobičajno spremembo pri plačilih nujno preverite na nek drug, neodvisen način, npr. osebno, preko telefona ali telefaksa. To velja še posebej, če poslujete s tujino! […]

    Odgovori