Злоумышленники не использовали вредоносное ПО, а «всего лишь» похитили учетные данные электронной почты.
Опытные киберпреступники похитили $15 млн у одной из американских компаний в результате тщательно подготовленной мошеннической операции, продолжавшейся в течение двух месяцев.
Как сообщает портал BleepingComputer, кибератаку с уверенностью можно назвать ювелирной работой. Сначала злоумышленники получили доступ к электронной переписке о переводе денежных средств, а затем внедрились в переговоры и переадресовали платежи на подложные счета. При этом им удалось достаточно долго скрывать факт хищения и успеть вывести краденые деньги.
Хотя проводившие расследование инцидента специалисты компании Mitiga изучили только данный конкретный случай, они обнаружили свидетельства того, что список жертв киберпреступников насчитывает десятки предприятий, в том числе архитектурных бюро, финансовых организаций и юридических фирм.
По словам специалистов, никакого вредоносного ПО в сетях пострадавшей компании обнаружено не было, зато был выявлен факт компрометации учетных данных электронной почты. Однако одного лишь доступа к электронному ящику киберпреступникам было мало, поскольку они могли лишиться его в любой момент. В связи с этим злоумышленники создали правила переадресации писем с целью получения всех входящих писем из нужного ящика.
С помощью сервиса электронной почты Microsoft Office 365 киберпреступники подделали домены двух сторон, участвовавших в транзакции. Использование Microsoft Office 365 позволило им сделать письма не вызывающими подозрений и способными обходить защитные решения. Кроме того, через регистратора доменов GoDaddy злоумышленники зарегистрировали два домена, очень похожие на домены, принадлежащие настоящим компаниям.
В течение четырех недель киберпреступники методично следовали разработанному плану, используя информацию, собранную из перехваченных электронных писем высшего руководства атакуемой компании. Когда дело дошло до обсуждения перевода денег, они «вклинились» в беседу с поддельного домена, похожего на домен одной из сторон переговоров, и предоставили подложные банковские реквизиты.
Банки могут блокировать денежные транзакции, если средства переводятся на неправильный счет, и киберпреступники заранее к этому подготовились. Для того чтобы скрыть кражу, они перевели деньги на счета в зарубежных банках и запутали след. Злоумышленники также создали правила фильтрации, согласно которым письма с определенных электронных адресов попадали в скрытую папку. Поэтому легитимные владельцы электронных ящиков не видели писем с обсуждением перевода денег. Таким образом, за две недели злоумышленники «заработали» $15 млн.
01-04-2025, 09:32 AM
Linear Mode
