Злоумышленники при помощи четырех транзакций попытались вывести на сторонние счета сумму в размере 1,1 миллиона фунтов стерлингов. Из них удалось вернуть только 570 тысяч фунтов, говорится в результатах исследования киберинцидента компанией Check Point Software Technologies Ltd., поставщика решений в области кибербезопасности.

Ранее группа CPIRT исследовала похожий случай. Хакерам удалось похитить $1 миллион со счета китайской венчурной компании, которые предназначались для израильского стартапа.

В своем исследовании специалисты Check Point раскрывают историю группы киберпреступников, которой дали название "Флорентийский банкир". Целью группировки стали четыре крупные компании финансового сектора из Великобритании и Израиля. Эти компании еженедельно проводят значительные суммы денег новым партнерам и сторонним организациям. Кроме того, все они используют почтовый сервис Office 365.

В качестве метода атаки мошенники выбрали таргетированную фишинговую рассылку. Письма приходили топ-менеджерам компаний — генеральным или финансовым директорам, которые отвечали за денежные операции.

В этом случае злоумышленники выбрали двух сотрудников для отправки им фишинговых писем, один из которых предоставил необходимые данные. Одна фишинговая кампания может длиться неделями или месяцами, пока мошенники не получат полное представление о всей финансовой активности компаний. Для успешной реализации злоумышленники используют различные тактики, чередуют методы и меняют списки получателей.

После тщательного изучения внутриорганизационных процессов мошенники начинали изолировать жертву от коммуникации как с третьими лицами, так и с коллегами, создавая определенные правила для почтового ящика. Эти правила направляют любые электронные письма с интересующими хакеров данными в папку, за которой они следят, реализуя тип атаки "Человек посередине". Так, например, если в письмах упоминались такие слова, как "счет-фактура", "возвращено" или "отказано", они перемещались в папку, которая не используется жертвой.

Следующий шаг злоумышленников — создание фальшивых доменов, которые визуально практически идентичны доменам партнеров и третьих лиц, с которыми жертва ведет коммуникацию по почте. После этого мошенники рассылали жертвам письма с фальшивых доменов, продолжая либо уже существующую переписку, либо создавая новую. Например, если коммуникация проходит между доменами finance-firm.com и banking-service.com, хакеры могут использовать очень похожие на них вариации finance-firms.com и banking-services.com. Злоумышленники начинают отправлять электронные письма, для чего либо создают новую ветку писем, либо продолжают диалог в прежней. Таким образом им удается обмануть жертву, которая предполагает, что по-прежнему общается с легитимным представителем компании.

Далее мошенники вели беседу, пока третье лицо не утвердит новые банковские реквизиты и не подтвердит транзакцию. Если банк отклоняет транзакцию из-за несоответствия в валюте счета, имени получателя или по любой другой причине, злоумышленники исправляют отклонения, пока деньги не попадут в их собственные руки.

Так произошла и в этот раз. Злоумышленники следили за перепиской с банковским контактом, вносили необходимые исправления и сумели заставить стороны совершить транзакцию на свой мошеннический счет. В ходе этой атаки группе хакеров удалось перехватить три операции и безвозвратно перевести себе 600 тысяч фунтов стерлингов.

Происхождение группы "Флорентийский банкир":

  • В ходе расследования были обнаружены улики, которые могут помочь определить местонахождение группировки.
  • Все письма и транзакции, перехваченные мошенниками, были на английском языке.
  • В течение двух месяцев, которые хакеры провели в среде компании-жертвы, они работали с понедельника по пятницу.
  • Банковские счета мошенников находились в Гонконге и Англии.
  • Некоторые электронные письма на иврите содержали потенциально полезные сведения, которые не были использованы злоумышленниками. Это позволяет сделать вывод, что они не владеют данным языком.
  • Для осуществления банковских переводов было использовано имя одной из гонконгских компании, которая была либо поддельной, либо ранее зарегистрированной, но не действующей.

Методы, которые использовала группировка "Флорентийский банкир", особенно техника двойных доменов, представляют серьезную угрозу не только для скомпрометированной компании, но и для ее партнеров. Даже после обнаружения и удаления хакеров из сети компании-жертвы злоумышленники могут продолжить использовать организации партнеров, клиентов или банков жертвы в своих целях.

Источник: Вести.Экономика

Больше новостей

Читайте также...

Австралия: треть жалоб по COVID-19 связана со спорами в общем…

28-05-2020 Просмотров:66

Австралия: треть жалоб по COVID-19 связана со спорами в общем страховании

Австралийское управление по финансовым жалобам (AFCA) недавно объявило, что оно получило более...

В марте количество работников в отпуске по болезни в Германии…

28-05-2020 Просмотров:115

В марте количество работников в отпуске по болезни в Германии достигло рекордного уровня

Федеральный фонд медицинского страхования Германии Techniker Krankenkasse (TK) заявил, что 6,84% всех...

Ураганы и пандемии «не очень хорошая смесь», предупреждает KCC

28-05-2020 Просмотров:60

Ураганы и пандемии «не очень хорошая смесь», предупреждает KCC

В целом, как потери, так и расходы по урегулированию убытков от ураганов...

Swiss Re Corporate Solutions запускает параметрическое решение по страхованию от…

28-05-2020 Просмотров:78

Swiss Re Corporate Solutions запускает параметрическое решение по страхованию от града

Swiss Re Corporate Solutions (SRCS), коммерческое страховое подразделение перестраховщика Swiss Re, объявило...

Николай Галушин: кризисные явления для страхового бизнеса в РФ проявятся…

28-05-2020 Просмотров:63

Николай Галушин: кризисные явления для страхового бизнеса в РФ проявятся во втором полугодии 2020 года - начале 2021 года

Кризисные явления для страхового бизнеса начались с периодом нерабочих дней и будут...

Перестраховщики не смогут заработать стоимость капитала в 2020 году, что…

28-05-2020 Просмотров:95

Перестраховщики не смогут заработать стоимость капитала в 2020 году, что приведет к росту ставок: Fitch

По словам Fitch Ratings, глобальные перестраховщики не смогут заработать свою стоимость капитала...

Австралия: при нынешнем подходе к страхованию от пожара к 2100…

28-05-2020 Просмотров:56

Австралия: при нынешнем подходе к страхованию от пожара к 2100 году 1 из 20 домов может быть не застрахован

Австралия больше не может управлять своим режимом страхования от лесных пожаров, основанным...

Передача бизнеса Ллойда в ЕС прогрессирует после утверждения стратегии Высоким…

28-05-2020 Просмотров:69

Передача бизнеса Ллойда в ЕС прогрессирует после утверждения стратегии Высоким судом Англии

Специализированный рынок пере /страхования Ллойда в Лондоне получил одобрение Высокого суда Англии...