08.03.2016

V ključnem trenutku prodaje  se nato vrinejo v komunikacijo med prodajalcem in kupcem ter izplačevanje denarnih sredstev preusmerijo na svoje račune. Ko podjetja opazijo nepravilnost, je praviloma že prepozno.

V svetu so že nekaj let razširjeni ciljani vdori in zlorabe elektronske komunikacije, njihove posledice sedaj spoznava tudi slovensko podjetniško okolje. Samo v zadnjem času smo na SI-CERT prejeli več prijav zlorab elektronske komunikacije med slovenskimi podjetji in njihovimi poslovnimi partnerji iz tujine. Ne gre za pravilo, a na udaru so predvsem podjetja, ki poslujejo s tujino v velikih zneskih, napadalci lahko podatke o podjetjih enostavno pridobijo iz javno dostopnih evidenc.

Napadalci vdirajo v e-poštne sisteme podjetij, od koder lahko spremljajo njihovo elektronsko komunikacijo s strankami. Ko pridobijo dovolj pomembnih informacij o poslovnih procesih, lahko v ključnem trenutku aktivno posežejo v komunikacijo in kupcu pošljejo lažno sporočilo o spremembi transakcijskega računa. Tako preusmerijo plačevanje računov in drugih stroškov na svoje lažne bančne račune. Do trenutka, ko podjetja ugotovijo, da je nekaj narobe, hitro nastane velika škoda, od nekaj 1000 do več 10000 EUR.

 

Kako pride do vdora?

Cilj hekerjev je pridobiti vpogled v komunikacijo podjetja, to pa lahko naredijo na različne načine. Lahko vdrejo v nadzorno ploščo pri ponudniku poštnih storitev ter preusmerijo pošiljanje pošte na svoj e-naslov, od koder neopaženo spremljajo komunikacijo podjetja. Lahko celo okužijo računalnik enega od zaposlenih ali pa se do gesla za dostop do e-pošte dokopljejo s pomočjo ciljanega phishing napada. Običajni phishing napadi so razposlani na veliko število naslovov in poštni strežniki jih bolj kot neuspešno filtrirajo v vsiljeno pošto. Za razliko od teh pa so ciljani napadi izvedeni veliko bolj sofisticirano: napadalec izbrani žrtvi pošlje personalizirano sporočilo, ki se izogne poštnim filtrom in obenem deluje bolj verodostojno, zaradi česar je takšen napad tudi bolj ‘uspešen’.

Razlika med običajnim in ciljanim prhishing napadom
V običajnih phishing sporočilih iz različnih razlogov zahtevajo, da se ponovno vpišete v vaš poštni predal. Če ne, ne boste mogli več dostopati do vaše pošte. Čeprav so vsi razlogi izmišljeni in niso možni niti teoretično, je že grožnja dovolj, da nekateri uporabniki svoje uporabniško geslo in ime vpišejo v lažno phishing stran. V primeru ciljanih napadov pa je napadalčevo sporočilo napisano za točno določenega naslovnika. Ker se vsebina sporočila dejansko navezuje na njegove aktivnosti je veliko bolj verjetno, da bo naslovnik takšnemu sporočilu tudi nasedel.

 

 

Ko napadalci pridobijo dostop do e-pošte podjetja, nastavijo posredovanje pošte na svoj e-naslov, ki so ga za ta namen kreirali pri enem od brezplačnih ponudnikov (gmail, yahoo, hotmail). Brezplačne ponudnika so izbrali premišljeno in s tem zakrili svoje sledi. Nekaj časa nato spremljajo celotno komunikacijo da ugotovijo na kakšen način poteka poslovanje, plačevanje, najdejo največje stranke. V ključnem trenutku, na primer pred plačilom nekega večjega računa, aktivno posežejo v komunikacijo. Pri enem od brezplačnih ponudnikov registrirajo elektronski naslov z imenom in priimkom zaposlenega v podjetju in žrtvi v njegovem imenu pošljejo podatke o spremenjenem TRR računu za nakazilo (npr. janez.novak@podjetje.si kar naenkrat postane janez.novak@gmail.com ). Denarna nakazila tako preusmerijo na svoje TRR račune, na njihove elektronske račune se preusmeri tudi komunikacija s stranko. Ker uporabniki običajno nismo pozorni na el. naslov sogovornika, žrtev redko opazi spremembo.

 

Za primer vzemimo Janeza Novaka. Do sedaj vam je pisal iz e-naslova janez.novak@podjetje.si, potem pa se naslov spremeni v janez.novak@gmail.com. Ste pozorni dovolj, da bi ta sprememba vzbudila sum?
Za primer vzemimo Janeza Novaka. Do sedaj vam je pisal iz e-naslova janez.novak@podjetje.si, potem pa se naslov spremeni v janez.novak@gmail.com. Ste pozorni dovolj, da bi ta sprememba vzbudila sum?

 

 

Kot razlog za spremembo bančnega računa navedejo različne izgovore, od tega, da imajo težave s svojo banko, da bo plačilo hitreje sprovedeno, če plačajo na račun v bližnji državi, da raje nakažite na račun njihovega lokalnega zastopnika ipd. V vseh obravnavanih primerih je šlo za bančne račune fizičnih oseb v lasti t.i. denarnih mul, ki nakazan znesek takoj dvignejo in po neki drugi denarni poti, ponavadi z nakazilom preko sistema Western Union, nakažejo naprej goljufom. Na ta način se sled za denarjem zelo hitro izgubi.

 

*Za pomoč pri dvigovanju in prenakazovanju denarnih sredstev sumljivega izvora kriminalci uporabijo denarne mule, v svojo mrežo jih zvabijo s pomočjo raznih zvijač, da pogosto še same ne vedo, s čim imajo opravka. Se spomnite oglasov za dobro plačano delo od doma; nekaj v stilu ‘Kako slovenska mama samohranilka zasluži 20.000 € z delom od doma? Preveri tukaj!’ Tipično so v angleškem jeziku, na njih pa naletimo med brskanjem po kakšni pogrošni spletni strani. Ti oglasi so lep primer prikritega oglaševanja dela denarne mule – sicer bogato plačanega, a z visokim rizikom – velik delež jih odkrijejo, pogosto morajo zaradi vpletenosti v kaznivo dejanje svoj del kazni odsedeti.

 

Svetujemo

  1. Če poslujete s tujino, bodite še posebej pozorni na morebitna nenadna odstopanja od utečenih praks. Vsako spremembo občutljivih podatkov, sploh tistih za nakazilo denarja, preverite na različne načine, tudi preko telefona, faksa, skypa ipd.
  2. Preverjajte el. naslove vaših partnerjev. Nekateri programi za el. pošto kot pošiljatelja prikažejo zgolj ime in priimek, ki pa si ju lahko vsakdo nastavi po svoje. Če pa se z miško postavimo na ime, se nam prikaže tudi el. naslov. Je ta morda spremenjen? Se namesto naslova ime.priimek@podjetje.com kar naenkrat pojavi ime.priimek@gmail.com? To je že lahko znak za alarm
  3. V nastavitvah vašega el. računa redno preverjajte, ali se vaša el. pošta preusmerja na kakšen neznan el. naslov. V Gmailu to preverite v nastavitvah pod zavihkoma »Filtri« in »Posredovanje«, če uporabljate el. pošto drugega ponudnika se pri njem pozanimajte, kje najdete to nastavitev (preverite posredovanje in filtre)

    Se vaša e-pošta preusmerja na neznan naslov?
    Se vaša e-pošta preusmerja na neznan naslov?
  4. Če vam vaš ponudnik el. pošte omogoča dostop do vpogleda, iz katerih IP naslovov je bilo dostopano do vašega predala, redno preverjajte te podatke. Na podlagi IP naslova lahko ugotovimo, kateremu ponudniku dostopa pripada, v nekaterih primerih pa tudi približno lokacijo. V primeru kazenskega pregona pa se lahko na podlagi IP naslova ter točnega časa prijave pridobi tudi podatke o uporabniku tega IP naslova.
  5. Ne zanemarjajte morebitnih obvestil o sumljivem dogajanju v el. računu, ki vam jih pošilja vaš ponudnik. Vsako tako obvestilo je potrebno analizirati in ugotoviti vzroke, zakaj je do tega prišlo (pri tem morate paziti, da prepoznate lažna, phishing sporočila, ki na prvi pogled izgledajo, kot da vam jih je poslal vaš ponudnik)
  6. Eden najpogostejših načinov kraje gesel so phishing sporočila, ko svoje geslo in up. ime napadalcem posredujemo kar sami. Razširjeni pa so tudi ‘trojanci’, ki prestrezajo shranjena in vpisana gesla. Trojanci se na računalnik naselijo, ko odpremo okuženo priponko v elektronski pošti, ali pa iz spleta prenašamo sumljive vsebine. Je možno, da ste v preteklosti naredili kakšno od teh napak?
  7. Kakšna je politika gesel v vašem podjetju? Uporabljajte kompleksna gesla in nikoli naj istega gesla ne uporablja več uporabnikov. Posebej skrbno ravnajte z geslom za dostop do nadzorne plošče za el. pošto vašega podjetja. Kraja enega gesla ima lahko za posledico zlorabo prav vseh el. predalov. Zato za dostop do nadzorne plošče uporabljajte 2-faktorsko avtentikacijo , če vam vaš ponudnik to omogoča.
Vsebine, ki vam lahko pomagajo
3

Podjetja pozor: neobičajna sporočila o nakazilu denarja v tujino

Slovenska podjetja in organizacije so v teh dneh zopet tarča goljufov. Iz direktorjevega elektronskega naslova na računovodstva podjetij prihajajo nenavadna elektronska sporočila z navodili o hitrem nakazilu med 10.000 in 15.000 EUR na TRR račun v tujini.   Elektronski naslov direktorja je ponarejen, za poslanim sporočilom pa stojijo goljufi, ki…

Vaš komentar

Vaš e-naslov ne bo nikoli objavljen ali posredovan tretjim osebam.
Obvezna polja so označena z *