Делимся опытом

История одного письма стоимостью 60 000 евро

18 августа, 2020
  1. Главная
  2. »
  3. Делимся опытом
  4. »
  5. История одного письма стоимостью 60 000 евро

Оглавление

1.  Философское вступление

2.  Нам письмо прислали. Интересно, кто?

3.  Ведется следствие

3.1.  Подбор пароля?

3.2.  Взломали сервер?

3.3.  Имеется удаленный доступ к компьютеру менеджера?

3.4.  Имеется удаленный доступ к почте покупателя?

4.  Вектор атаки установлен

4.1. Интересно, что это за домен — vln2010.ru?

5.  Восстановим хронологию событий

6.  Что такое Business Email Compromise?

7.  Эпилог

Философское вступление

Описание самого происшествия начинается здесь. Вступление можно смело пропустить.

Многие события и явления происходят как бы параллельно нашей жизни, и верится что с нами-то такого уж точно не случится. 

Есть хорошее — кто-то выиграл в лотерею, побывал на Луне, родился английским принцем крови. 

Но если что-то хорошее (как правило) является результатом направленных усилий, то плохое обычно случается само по себе. Конечно, частенько для этого тоже прилагаются усилия. Например, некто одержим различными пороками и вполне закономерный результат в виде красочной, но короткой жизни нельзя назвать чем-то неожиданным. Вряд ли сам человек сознательно создает себе проблемы, скорее он просто не хочет признавать саму возможность негативных последствий. Но тут можно хотя бы мудро и сочувственно покивать, мол, сам виноват.

И все же, самые неприятные обстоятельства обычно настигают нас таким образом, что только и остается ошалело трясти головой и разводить руками — ну надо же, какая напасть!

Непросто удивить врачей скорой помощи, полицейских — вот кто поистине видит неприятную изнанку жизни и знает, что зарекаться от несчастных случаев нельзя. В каком то смысле мы с ними коллеги — к нам обращаются в трудные моменты, когда бизнес сталкивается с негативной стороной ИТ. Одной такой историей хочу поделиться сегодня.

 

Нам письмо прислали. Интересно, кто?

 Итак, вводная: наш клиент (поставщик) занимается поставками за границу. Контракты, счета и прочая деловая документация ходят через электронную почту. 

В середине процесса сделки к поставщику по телефону обращается его контрагент (покупатель), чтобы на всякий случай подтвердить неожиданное изменение. 

Оказывается, от поставщика пришло электронное письмо с вложением,  дополнительным соглашением к контракту, в котором изменяются платежные реквизиты. Вместо привычного казахстанского банка указывается какая-то мутная контора оффшорного вида. Электронное письмо выглядит так же, как обычно — правильный адрес отправителя, подпись, фирменный стиль. Сам допик во вложении правда какой-то корявый, с разнобойными шрифтами и криво прилепленной печатью.

Смысл письма простой — стойте, не платите туда, платите сюда, срочно, важно!

То самое дополнительное соглашение. Персональные данные закрашены. Общий уровень подделки все равно виден.
То самое дополнительное соглашение. Персональные данные закрашены. Общий уровень подделки все равно виден.

Происходит замешательство — как такое может быть? Ведь email выглядит так, как будет его собственноручно писал менеджер поставщика. В тексте отсылки на действующих сотрудников, обсуждение точных деталей контракта и вообще все очень вовремя. Если бы бухгалтер покупателя не решила уточнить лично в телефонном разговоре, что это такое происходит, немаленькая сумма в десятки тысяч у.е. улетела бы в неизвестном направлении. Сам менеджер, от имени которого якобы пришло письмо, уже готовится делать харакири.

Пройдя вся эмоциональные стадии принятия неизбежного (гнев — отрицание — торг и т.п.), первая рабочая версия самого поставщика — «да, нас сломали, злоумышленники видят всю переписку и более того, могут писать легитимные письма от лица компании». Мы экстренно начинаем расследование.

Ведется следствие

Первым делом просим прислать это самое пресловутое письмо к нам. Действительно, если верить глазам, менеджер поставщика внезапно сошел с ума и просит перевести деньги на свой офшорный счет. Сравниваем с другими письмами от этого менеджера — очень похоже. Даже не так — ну просто не отличить. Первая наша версия: подобрали пароль.

Подбор пароля?

Может быть, злоумышленники узнали пароль о почты менеджера поставщика? Проверяем журналы отправки сообщений на сервере. Сервер у поставщика свой, все ходы записаны. Пароли такие, что каждый раз при вводе плакать хочется — по 12 символов, адской сложности, с закорючками, скобками и апострофами. Судя по журналам:
  • Доступ к ящику был только с офисного компьютера, никаких левых адресов, только один правильный локальный;
  • Искомое письмо с сервера не отправлялось.
Предопалагаем худшее:

Взломали сервер?

Пробуем понять вектор атаки. Даже если попали на сервер, пока не важно, как, то письмо все равно нужно было отправить через почтовый клиент. Злоумышленнику пришлось бы пойти сложным путем: получить доступ к почтовому ящику менеджера, внимательно следить за перепиской, подготовить поддельный скан (очень быстро), отправить письмо от менеджера, поменяв пароль, удалить все записи в журналах, удалить отправленное письмо с сервера, поменять пароль обратно. 
Удалить все записи в журналах непросто — их несколько (журнал доступа к почте, журнал отправки сообщений, журнал доступа к системе). Сделать это так, чтобы остались нетронутыми все остальные данные — наверное, можно, но крайне непросто и требует хорошего знания именно нашей системы.
Продолжаем разбираться, но на первый взгляд все чисто. Попробуем найти более логичное объяснение.
Вероятный, но совсем уж странный и неудобный способ:

Имеется удаленный доступ к компьютеру менеджера?

Предположим, наш бедолага-менеджер поймал какой-нибудь вирус-троян, который позволяет управлять его компьютером удаленно. Таким образом, злоумышленник видит какие-то действия и даже может их совершать.
Возвращаемся обратно — тогда мы увидим все действия по отправке в журналах сервера. Боги, но может быть злоумышленник имеет доступ вообще ко всей системе? Отправляет письма со компьютера менеджера, редактирует журналы на сервере?
Атака такого уровня требует:
а) мощной координации;
б) хорошего знания всей системы нашего заказчика;
в) отличной инженерной подготовки.
Инсайд. Он частично объясняет некоторые моменты с получением доступа. А что, если кто-то из сотрудников нашего заказчика хулиганит? Или, что еще хуже, кто-то из наших?
Тут мощным волевым усилием мы подавляем приступ совсем уж параноидальных предположений.
Давайте зайдем с другой стороны. Сразу это не очевидно, ведь письмо-то от нас, и искать надо вроде как здесь же. Тем не менее:

 

Имеется доступ к почте Покупателя?

Сгоряча начинаем ковырять поддельное письмо, которое нам переслали для разбирательства. Смотрим служебные заголовки. Все ок, почтовый ящик на mail.ru. Стоп, нам не нужны служебные заголовки пересланного письма, они теряются в процессе переписки. Нам нужна служебная информация, извлеченная из самого поддельного письма!
На mail.ru есть возможность посмотреть требуемую информацию, отправляем инструкцию, как это сделать:
Как посмотреть служебные заголовки электронного письма
Как посмотреть служебные заголовки электронного письма

Есть ответ. Судя по результату, мы точно письмо не отправляли. Это сделано с другого сервера:

 

Служебные заголовки поддельного письма
Служебные заголовки поддельного письма

Вектор атаки установлен

Пришло время спокойно выдохнуть и разобраться с полученными данными.

Расшифруем (на скриншоте выделено цифрами):

1. Письмо отправлено с почтового сервера, который размещается в российской компании masterhost

2,4 Злоумышленник оптравлял письмо через web-интерфейс. Видимо, есть некий сервер, на котором настроено всё для деятельности такого рода

3. Злоумышленник использует почтовый адрес office@vln2010.ru. Любопытно.

5. На сервере есть возможность проверки на фишинг, но она отключена. Это важно, ниже по тексту объясним, почему.

 

Интересно, что это за домен — vln2010.ru?

Регистрация была осуществлена аж в феврале 2011 года. Данных почти нет — ни административного контакта, ни технического. Скорее всего, домен уже давно используется для неблаговидных целей.

Данные по домену, с которого было отправлено поддельное письмо
Данные по домену, с которого было отправлено поддельное письмо

На данном адресе даже есть сайт, для прикрытия. Сайт корявый, наскоро сляпанный из скриншотов. Маловероятно, что это живая организация.

Восстановим хронологию событий

Итак, наш клиент чист — почтовая служба не взломана и никто не использовал наши легитимные механизмы для рассылки поддельных писем. Но что же случилось?
 
Почтовый ящик Покупателя, на который пришло поддельное письмо, был взломан. Каким способом — мы уже не узнаем, благо способов существует множество. Почтовый аккаунт находится на сервисе mail.ru, и получить на него доступ является скорее делом техники. Вполне вероятно, что жертва выбиралась адресно и велась специальная подготовка.
Злоумышленник проанализировал содержимое ящика и увидел, что через него ведется бизнес-переписка, с том числе пересылаются договора и финансовые документы. Периодически отслеживая активность, стало понятно, что готовится новая сделка. Мошенник заранее подделал страничку договора, вставив необходимые печати и подписи из ранних документов, и стал ждать.
В тот момент, когда был выставлен счет на оплату, мошенник отправил поддельное соглашение с другими банковскими реквизитами. Он использовал в качестве отправителя адрес менеджера Поставщика, воспроизвел внешний вид писем и подписей. В принципе, это является разновидностью фишинга, когда жертве предлагается совершить действие в знакомой обстановке, которая на самом деле только имитирует настоящую. Заменить адрес отправителя несложно, существуют специальные программы и онлайновые сервисы (это называется спуфинг email).
 
Участников сделки спасла только бдительность бухгалтера, которая попросила подтвердить изменения по телефону.
 
Как мы уже писали ранее в статье про телефонный скам, все уже давно придумано на Западе. Наш клиент и его партнер стали жертвой атаки Business Email Compromise (BEC), или компрометации деловой переписки.

Что такое Business Email Compromise?

Процитируем статью корпорации Trend Micro, которая специализируется на киберезопасности:

Киберпреступники изобрели множество вариантов кибератак, отличающихся по сложности технической реализации и эффективности. Среди них особое место занимает атака, которая удивительна своей технической простотой и результативностью, — Business Email Compromise (BEC), или атака с использованием компрометации деловой переписки. Она не требует глубоких технических знаний, имеет высочайшую эффективность, защититься от неё традиционными средствами практически невозможно. По данным ФБР ущерб от таких атак в 2018 году составил более 1,2 млрд долларов США.

Trend Micro

Эпилог

Выходит, что копилка мошенников на этот раз не пополнилась очередными неправедно нажитыми деньгами благодаря единственному способу — быть внимательным и не доверять своим глазам, когда речь идет о финансах.

Технически мы не смогли бы обеспечить безопасность, поскольку кибератака была на стороне покупателя. Последствиями стали бы сорванный контракт и неприятные разбирательства. Понятно, что объективно наш заказчик ни в чем не виноват.

Тем не менее, мы сыграли свою роль в расследовании и восстановили репутацию клиента, установив точную причину и хронологию инцидента.

Закажите IT-аудит прямо сейчас

Оставьте свои контакты, или пообщайтесь с нашим AI помощником – он проконсультирует и запишет к специалисту!