11:51
7/8/2015

Ubiquiti to firma znana głównie z dobrych, a przede wszystkim tańszych od konkurencji access pointów. Firma właśnie ogłosiła swoje wyniki finansowe, dodając przy okazji, że jej oddział w Hong-Kongu padł ofiarą oszustwa, w wyniku którego z kont bankowych firmy zniknęło 46,7 milionów dolarów.

ubiquiti

Nie było to klasyczne włamanie

Informacje o incydencie pochodzą z raportu finansowego firmy, który (tłumacząc się dobrem śledztwa) nie ujawnia wielu szczegółów technicznych dotyczących oszustwa, poza wysokością strat. Oświadczenie uspokaja inwestorów, że zewnętrzni audytorzy potwierdzili brak śladów jakiegokolwiek włamania i wycieku danych. Ustalono jednak, że kontrola nad operacjami finansowymi firmy wymaga poprawy. Co oznaczają te enigmatyczne zwroty?

Wiemy, że atak nie polegał na włamaniu do systemów finansowych firmy. Nie zainfekowano także pracowników działu finansów złośliwym oprogramowaniem podmieniających numery rachunków bankowych (tzw. bankerem). Atakujący nie prowadzili “seksownych” kampanii APT — nie wykradli żadnych danych, nie szantażowali firmy i nie spalili ani jednego 0day’a aby przełamać zabezpieczenia firmowej sieci. Zaatakowali to, co najprościej i najtaniej można zaatakować — człowieka.

Atak z użyciem socjotechniki

Jak możemy wyczytać w oświadczeniu firmy, nastąpiło “podszycie się pod pracownika” i fałszywa prośba o transfer środków finansowych od firmy zewnętrznej. O oszustwach tego typu informowaliśmy już wielokrotnie zarówno na łamach Niebezpiecznika jak i podczas branżowych konferencji.

Atak z reguły wygląda tak:

  1. Faza rekonesansu. Ustalanie z kim “ofiara” prowadzi interesy, kiedy następują płatności, którzy z pracowników je obsługują oraz jak wyglądają wzory dokumentów czy też firmowy “workflow” akceptacji kosztów.
  2. Atak. Wysłanie fałszywego e-maila z “lewą fakturą”. W grę wchodzi zarówno spoofing adresu e-mail (przez bramki pozwalające ustawić dowolny adres nadawcy wiadomości) jak i zakup domeny łudząco podobnej do domeny kontrahenta.
  3. Dojenie. Jeśli ofiara “klepnie” przelew, czym potwierdzi swoją naiwność i brak czujności, a pieniądze dotrą na konto słupa, to przestępcy:
      a) szybko dzielą otrzymane środki i przelewają na kolejne konta, często nieświadomych udziału w przestępstwie osób (najprawdopodobniej i tak było w przypadku Ubiquiti, bo w oświadczeniu wyczytać możemy, że na skutek szybkiej reakcji pracowników firmy odzyskano 8,1 miliona i zamrożono dodatkowe 6.8 — to oznacza, że albo przelewów było kilka, albo z konta słupa zostały one rozprowadzone do innych banków, z których część zdążyła zareagować blokadą środków)

      b) pod różnymi pretekstami proszą o kolejne wpłaty. Dopłacić trzeba, bo nie uwzględniono np. transportu, albo nastąpiła awaria i przestój, albo wpłata zaliczki już teraz za kolejną transakcję da rabat 20%.

Do niedawna “rekordzistą” wśród ofiar był Ryanair, z którego wyłudzono 5 milionów dolarów.

china-bank-money

Jak to wygląda w Polsce?

Wśród naszych klientów mamy 3 firmy z Polski, które w analogiczny sposób straciły łącznie ponad 3 miliony złotych, a z tego co informuje PAP, co tydzień jakaś polska firma pada ofiarą chińskiego gangu wymuszającego fałszywe płatności. Z głośniejszych spraw warto przytoczyć Zarząd Dróg Wojewódzkich, który przelał 3,7 miliona złotych na podstawione konto bankowe, bo pracownicy uwierzyli w fałszywe pismo lub warszawskie metro, które straciło 560 000 PLN w ten sam sposób.

Tzw. ataki socjotechniczne wykorzystywane są zresztą nie tylko do wyłudzenia przelewów za fałszywe faktury, ale do zatrudniania się na stanowiskach, na które nie ma się kompetencji (por. Podrobił e-maila aby dostać pracę w TVP).

Socjotechnika poważnym zagrożeniem w polskich firmach

Niestety, ataki socjotechniczne działają, a polskie firmy nie są na nie gotowe — dobrze pokazują to nie tylko triki stosowane przez osoby rozsyłające trojany bankowe pod pozorem “fałszywych powiadomień”, ale także nasze własne doświadczenia. Podczas wykonywania przez nas testów penetracyjnych, jeśli klient dopuści także ataki socjotechniczne, to nasz zespół bezpieczeństwa zawsze osiąga 100% skuteczność w uzyskaniu dostępu do nieautoryzowanych danych firmowych.

Ataki z reguły zaczynają się od podstawienia fałszywego serwisu imitującego firmowego webmaila, albo inny z systemów, z których korzystają pracownicy audytowanej firmy. Potem następuje rozesłanie zespoofowanego e-maila i przejęcie haseł od tych z pracowników, którzy nie zauważą różnicy pomiędzy “domeną” a “dorneną”. Kiedy pozyskamy dostęp do skrzynki e-mail, praktycznie zawsze jesteśmy w stanie nie tylko znaleźć “wrażliwe” dokumenty, ale również precyzyjnie zmapować strukturę zatrudnienia w firmie i następnie wykorzystać ją do eskalacji ataku na kolejne osoby. Tym razem nie musimy już “spoofować” e-maili. W eskalacji ataku często pomaga nam wykorzystywanie przez pracowników tych samych haseł do wielu systemów …i zmęczenie (rozkojarzenie) ofiar. Większość ataków celowo wykonujemy tuż przed końcem dnia pracy, kiedy czujność jest niższa, a ewentualna wpadka spowoduje, że dział bezpieczeństwa będzie miał olbrzymi problem, aby wszystkich skutecznie powiadomić. Nie wszyscy przecież mają telefony służbowe, albo — jeśli je mają — odbierają je po godzinach pracy. W trakcie prowadzonych przez nas ataków, nie tylko wykradaliśmy dane ze skrzynek e-mailowych kadry zarządzającej, ale również obchodziliśmy systemy dwuskładnikowego uwierzytelnienia, pozyskiwaliśmy dane z systemów finansowo księgowych i sami podstawialiśmy fałszywe faktury.

P.S. Jeśli myślisz nad tym jak podnieść świadomość Twoich współpracowników pod kątem socjotechniki, zapraszamy do kontaktu — w swojej ofercie mamy:

  • testy penetracyjne wykorzystujące socjotechnikę. Ich przeprowadzenie umożliwi ci poznanie słabych stron nie tylko firmowej sieci, ale przede wszystkim personelu. Poza sama odpornością pracowników na ataki typu phishing i spoofing, w praktyce weryfikujemy też procedury, zwłaszcza te, które powinny w poprawny sposób obsłużyć incydent po jego wykryciu. Prawie zawsze coś pójdzie niezgodnie z planem — lepiej wychwycić to w ramach “kontrolowanego” ataku, a nie podczas realnego incydentu ;)
  • szkolenie Bezpieczny Pracownik, podnoszące świadomość personelu w zakresie socjotechniki i bezpieczeństwa (m.in. korzystania z internetu; przeglądarki, e-maila, pakietu biurowego czy VPN-a). Szkolenie realizujemy w 3 wariantach — dla tzw. “pań Halinek”, managerów i działów IT. Szkolenie możemy oprzeć nie tylko na “znanych przykładach z innych firm”, ale także na konkretnym case study bazującym na wynikach ataku na twoją firmę.

Przeczytaj także:

1 komentarz

Dodaj komentarz
  1. Najlepszymi znawcami ataku socjotechnicznego są… Dzieci! Tak, dzieci ! Starczy za przykład wziąć to co one potrafią zrobić żeby od rodziców wyłudzić chociażby 5 zł albo super zabawkę w sklepie. Ciekawe czy dam radę tym sposobem wyłudzić pieniądze od Niebezpiecznika. Spróbuje metody na Panu Koniecznym a metodą tą będzie niekontrolowany płacz. Trzymajcie za mnie kciuki :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.