E-maile warte milion dolarów

E-maile i dwie fałszywe domeny wystarczyły, by okraść chińskiego inwestora. W przypadku zbadanym przez specjalistów z Check Point chiński haker podszywał się jednocześnie pod dwie współpracujące ze sobą firmy. Jedną był inwestor z rodzimego rynku, drugą izraelski startup ubiegający się o finansowanie, właśnie ze strony inwestora. Haker działał niczym switch, zgrabnie żonglując informacjami przesyłanymi między inwestorem a startupem. I dbając o to, by strony nie spotkały się osobiście.
Sylwia Zimowska
12.12.2019|Przeczytasz w 2 minuty
e-maile
e-maile

Oszustwo wyszło na jaw, gdy inwestor przelał milion dolarów na – jak mu się wydawało – konto startupu. Startup upomniał się o obiecane pieniądze. I dopiero wówczas doszło do rozmowy telefonicznej, w trakcie której obie strony zrozumiały, że padły ofiarą wyrafinowanego oszustwa.

Coś, co wydawało się na początku oszustwem typu BEC (Business Email Compromise – naruszenie korespondencji biznesowej) szybko okazało się skomplikowaną operacją. Zespół Check Point Incidence Response Team przeanalizował wszystkie loginy, e-maile i zawartość komputerów osób zamieszanych w sprawę. Po niełatwym śledztwie okazało się, że oszustwo planowane było od kilku miesięcy. Atakujący dostrzegł najpierw wątek mailowy (eksperci z oczywistych przyczyn nie wyjaśniają na czym owo dostrzeżenie polegało), w którym pojawiła się zapowiedź finansowego wsparcia startupu. Ale zamiast ograniczyć się jedynie do monitorowania e-maili, co ma najczęściej miejsce w zwykłych BEC, haker zarejestrował dwie domeny o podobnych nazwach.

Następnie atakujący wysłał dwa maile z identycznym nagłówkiem jak ten w oryginalnym wątku. W jednym z nich podał się za CEO startupu, w drugim za menedżera chińskiej spółki odpowiadającej za finansowanie. W ten sposób przygotował sobie grunt pod oszustwo typu Man-In-The-Middle (z ang. człowiek-w-środku).

Checkpoint
(źr. Check Point)

Od tej pory każdy e-mail wysłany przez obie strony, był tak naprawdę wysyłany przez atakującego. Haker decydował, którą część listu zmodyfikować i następnie wysyłał ze swojej fałszywej domeny do prawdziwego adresata. W sumie do przejęcia miliona dolarów wystarczyło mu wysłanie 18 maili do chińskiej strony i 14 do izraelskiej. Atakujący wpadłby wcześniej, ale udało mu się odwołać spotkania przedstawicieli obydwu firm zaplanowane w Szanghaju.

Jak uniknąć oszustwa?

Hakera nie udało się złapać, a ma przy tym jeszcze tyle tupetu, by w dalszym ciągu wysyłać e-maile z pytaniem, o kolejne raty finansowania.

Email z potwierdzeniem otrzymania funduszy
Czas na kolejny przelew. (źr. Check Point)

Check Point przypomina, by w przypadku wykonywania płatności na czyjąś prośbę, zawsze dodatkowo weryfikować informacje choćby poprzez kontakt telefoniczny. Warto także przechowywać informacje o logowaniach i e-maile przez co najmniej sześć miesięcy. | CHIP

WARTO PRZECZYTAĆ:

Jak Carbanag ukradł 1 miliard dolarów

Więcej:cyberbezpieczeństwohaker
UdostępnijTwitter