Jeden dobře podvržený mail a 40 milionů eur je pryč

6. říjen 2016 četba na 6 minut
Ilustrační foto - hackeři, podvodné emaily, phishing.

Ilustrační foto - hackeři, podvodné emaily, phishing.

Foto: Shutterstock

Německého výrobce kabelů, resp. jeho rumunskou pobočku připravili hackeři o 40 milionů eur, stačil jim k tomu jediný podvržený phishingový e-mail. Těžko pochopitelná záležitost zajímavá i tím, že se kdesi v příběhu objevuje Česká republika. Hlavní roli zde ale hraje vlastně obyčejný phishing a podvržený e-mail.

Obtížně se představuje, že někomu pošlete podvržený e-mail žadající převedení 40 milionů eur a příjemce, finanční ředitel, si vůbec nic neověří a prostě peníze pošle. Všechno to ale prozatím vypadá, že přesně k tomu došlo na konci srpna ve společnosti Leoni AG. Jednoho z největších výrobců kabelů na světě.

Na grafu je patrný pokles akcií Leoni v důsledku oznámení zprávy o ztrátě 40 mil. eur v důsledku podvodu.Na grafu je patrný pokles akcií Leoni po oznámení zprávy o ztrátě 40 mil. eur v důsledku podvodu.Autor: Google Finance

Pokyny vedení

Stačilo k tomu velmi málo, neznámí útočnicí vytvořili falešný e-mail, který byl adresován finanční ředitelce pobočky společnosti v Rumunsku. Ta „nezaváhala" a peníze, skoro 40 milionů eur, převedla podle pokynů v e-mailu.

Není úplně jasné, jestli šlo o jednu částku, či více, každopádně peníze byly převedeny na zahraniční účet, aniž by útočníci jakkoliv napadli společnost jako takovou.

V zahraničních médiích se řeší to, že by společnosti měly u e-mailu používat digitální podpisy, možná by ale bohatě stačilo, dodržovat nějaká základní a zásadní pravidla, která se týkají převodů peněz.

Představa, že finanční ředitelce přijde požadavek na převod čtyřiceti milionů eur a ta si neověří ani požadavek, ani číslo účtu, kam je pošle, je dost zvláštní. Stejně jako to, že tak velká částka nejspíš ani nepodléhala schválení a kontrole více lidmi.

Na obranu „postižené" nutno podotknout, že instrukce vedení z Německa byla natolik přesvědčivá, že k tomu nenašla důvod. Hackeři velmi pravděpodobně kompromitovali a sledovali interní postupy firmy pro schvalování a převádění finančních prostředků.

Nadřízeným se neodmlouvá

Něco takového ale bohužel zdaleka není výjimečné, počátkem roku Mattel přišel podobným způsobem o tři miliony dolarů (více si o tom přečtěte zde). Stejně jako v dalších případech i tady šlo o podvržené e-maily a vedle podvrhu zde „dobře" funguje i to, že původci e-mailů bývají nadřízení, často nejvýše postavení lidé ze společnosti.

Vybrané případy tzv. BEC podvodů. Osa X ukazuje jejich výši v mil. USD, na ose Y jsou pak data. Vybrané případy největších tzv. BEC podvodů u firem. Osa X ukazuje výši ztráty v mil. USD, na ose Y jsou pak data. Zdroj: Cloudmark

Jejich podřízený pak zjevně ve snaze co nejrychleji vyhovět přestane přemýšlet a slepě vykonává pokyny.

Podvodům pomáhá i to, že se útočníkům většinou podařilo předem zjistit potřebné informace nejenom o organizační struktuře, ale také postupech. Nejzajímavější na celém případu je, že vyšetřovatelé zmiňují, že peníze byly poslány na účty do České republiky.

Business Email Compromise

Pojem Business Email Compromise (BEC), jak se dnes tato část podvodů a útoků nazývá, není nic neznámého ani malého.

Podle FBI je tento druh podvodů spojený s více než třemi miliardami dolarů ztrát od loňského ledna do současnosti a podvodníci pracují velmi cíleně ve stovkách zemí. (Oficiální zpráva FBI je ZDE.) A podle odhadů FBI bude tato částka narůstat.

3,086 mld. USD

je celková odhadovaná výše ztrát od ledna 2015 do května 2016 v souvislosti s tzv. BEC podvody – podobnými jako v Leoni –, k nimž došlo u více než 22 obětí na celém světě. (Zdroj: FBI)

Přehlížená legitimita mailů

Často dochází k napadení účtu některého z vedoucích pracovníků a poté využití k zaslání e-mailů přímo z těchto účtů. Snadný je i podvrh e-mailu, příjemci si málokdy dokážou všimnout, že mail není legitimní.

U výše popsaného případu Leoni podvržené e-maily přišly z freemailových služeb, útočníci si prostě vystačili s tím, že v „odesílateli" bylo jméno a příjmení a samotný text odpovídal zvyklostem.

Pokročilejší phishingová schémata využívají ale i registrací domén, které na první pohled vypadají jako skutečná doména. A nezkušený příjemce nemá moc šancí rozdíl rozpoznat.

Zásadní roli u takovýchto aktivit hraje dobrá znalost prostředí, struktury, toho jak vypadají firemní e-maily i postupy. Není vyloučeno, že u větších podvodů předchází samotné aktivitě důkladné seznámení se s chodem ve firmě.

Jak něčemu takovému předcházet

Pokud by v Leoni AG měli nastavené odpovídající kontrolní mechanismy, tak by podvržený e-mail dokázali včas zastavit. Zejména v okamžiku, kdy šlo o převod tak vysoké částky.

Právě kontrolní mechanismy, ověřování požadavků, dostatečná podezíravost mohou hodně pomoci. Stejně jako důsledné dodržování používání pouze firemních e-mailů (firemních domén) pro cokoliv, co se týká firmy.

Dá se tak předejít těm jednoduchým či středně sofistikovaným útokům, ale těm opravdu na vysoké úrovni nikoliv. Co by v takovýchto případech mělo pomoci, jsou digitální podpisy, které by měly být vyžadovány vždy. A když už ne pro všechny zprávy, tak alespoň pro takové, které jsou zásadní, jako třeba převod financí.

Tam, kde dojde k napadení e-mailů či on-line účtů, je zjevné, že byly ignorovány nejenom základní bezpečnostní opatření.

Tam, kde dojde k napadení e-mailů či on-line účtů, je zjevné, že byly ignorovány nejenom základní bezpečnostní opatření (silná hesla), ale nedošlo k použití ani dalších dostupných nástrojů – certifikátů, virtuálních privátních sítí, dvoufaktorového ověřování zejména.

Autor působí jako internetový publicista, mj. vymyslel a vytvořil kolektivní weblog Prostý Občasník Originálního Humoru (Pooh.cz).