Chińska firma Venture Capital zamierzała dokonać przelewu o wartości miliona dolarów na konto izraelskiego startupu. Pieniądze nigdy nie dotarły do celu. Późniejsze dochodzenie wykazało, że doszło do ataku man-in-the-middle.

Pieniądze miały stanowić fundusz zalążkowy, przeznaczony na sfinansowanie początkowego etapu działalności firmy. Gdy przelew nie dotarł na wskazane konto, obie strony zwróciły się z prośbą o zbadanie sprawy do firmy Check Point, zajmującej się ochroną bezpieczeństwa w internecie. Eksperci zdołali ustalić, że środki zostały przejęte przez chińskich hakerów, którzy dokonali ataku man-in-the-middle. Jego przeprowadzenie wymaga od sprawcy podsłuchania i modyfikacji wiadomości przesyłanych między dwiema stronami bez ich wiedzy.

Specjaliści Check Point, po przeanalizowaniu logów serwerów, e-maili i danych komputerów, przez które prowadzono korespondencję, odkryli, że niektóre e-maile zostały zmodyfikowane, a inne nie zostały napisane przez żadnego z kontrahentów. Okazało się, że hakerzy przystąpili do ataku, tworząc dwie fałszywe domeny, które były łudząco podobne do adresu, z którego korzystały obie firmy – w obu dodano „s” na końcu nazwy. Z „podrobionych” adresów hakerzy wysyłali dwa e-maile z takimi samymi nagłówkami jak w oryginalnej korespondencji. W listach oszuści podali swoje dane bankowe. W sumie z firmą VC wymienili 18 e-mail, a ze startupem – 14.

W pewnym momencie acount manager firmy VC próbował zorganizować spotkanie w Szanghaju, co w oczywisty sposób zagrażało przedsięwzięciu. Hakerzy wysłali zatem e-maile do obu kontrahentów, wymyślając różne wymówki, by wytłumaczyć odwołanie spotkania. Zdaniem Check Point o sukcesie oszustów zadecydowały „cierpliwość, dbałość o szczegóły i dobry research”, którego dokonali przed rozpoczęciem ataku.

Eksperci doradzają, że firmy mogą uniknąć podobnej sytuacji na kilka sposobów. Przede wszystkim przez zastosowanie drugiego poziomu weryfikacji. W tym przypadku mógłby to być np. telefon do osoby, która prosiła o przelew. Warto również przeprowadzać audyty bezpieczeństwa, sprawdzać logi, by upewnić się co do bezpieczeństwa infrastruktury e-mailowej, wykorzystywać dostępne narzędzia do identyfikacji duplikatów domen, a w przypadku kontaktu z domniemanymi hakerami zachowywać możliwie największą ilość dowodów, która pomogłaby naprowadzić na trop sprawców.

Tagi: Check Point, cyberprzestępczość, hakerzy, man-in-the-middle, Venture Capital, wyłudzenie danych