Oszustwa finansowe na skalę przemysłową

Nasi badacze wykryli kolejna kampanię phishingową, której celem jest kradzież pieniędzy z kont firmowych. Tym razem przestępcy są zainteresowani głównie firmami z branży produkcyjnej. Zwykle atakom na tego typu przedsiębiorstwa towarzyszy cyberszpiegostwo lub sabotaż. Jednak nie w tym przypadku — wygląda na to, że cyberprzestępcy przypomnieli sobie, że takie firmy dysponują sporymi finansami.

Nasi badacze wykryli kolejna kampanię phishingową, której celem jest kradzież pieniędzy z kont firmowych. Tym razem przestępcy są zainteresowani głównie firmami z branży produkcyjnej. Zwykle atakom na tego typu przedsiębiorstwa towarzyszy cyberszpiegostwo lub sabotaż. Jednak nie w tym przypadku — wygląda na to, że cyberprzestępcy przypomnieli sobie, że takie firmy dysponują sporymi finansami.

Stary dobry phishing

Ataki te nie są przeprowadzane przy użyciu jakichś fantazyjnych narzędzi. Przeciwnie — wykorzystywane są w nich standardowe techniki phishingowe: szkodliwe oprogramowanie jest dystrybuowane za pośrednictwem e-maili przygotowanych jako oferty komercyjne lub inne dokumenty finansowe.

Najważniejszą cechą wyróżniającą te ataki jest fakt, że zostały one przygotowane na wysokim poziomie: autorzy oszustwa zwracają się do pracowników po imieniu i nazwisku, wiedzą, na jakim stanowisku pracuje dana osoba, znają obszar działania firmy, a wszystkie informacje umieszczone w ofercie nie wzbudzają podejrzeń.

W niektórych wiadomościach phisherzy rozsyłają szkodliwe załączniki, czasami dołączają odnośniki do stron, ale we wszystkich nakłaniają ofiarę do pobrania narzędzi potrzebnych hakerom do przeprowadzenia określonych działań. Na przykład jeden z odbiorców dowiedział się, że firma, w której pracuje, została wybrana do udziału w przetargu. W celu dołączenia pracownik musiał zainstalować legalną aplikację Seldon 1.7. Załącznik do wiadomości zawierał zarchiwizowany plik wykonywalny, jednak wraz z nim instalował się szkodliwy program.

Inna wiadomość zawierała zlecenie płatnicze za sprzedaż samochodu ujęte w szkodliwym pliku PDF. Wiadomość zawierała wiele informacji szczegółowych, wymieniono w niej prawdziwe firmy  z prawdziwymi identyfikatorami podatkowymi, jak również numer VIN odpowiadający danemu modelowi.

Legalne oprogramowanie

Przestępcy używali w swoich atakach legalnych aplikacji służących do administracji zdalnej, takich jak TeamViewer czy Remote Manipulator System (RMS). Programy te służyły do uzyskiwania dostępu do urządzenia, wyszukiwania informacji o bieżących zakupach, jak również oprogramowaniu finansowym i księgowym. Następnie atakujący używali różnych sztuczek, aby ukraść firmie pieniądze: na przykład poprzez zamianę szczegółów dotyczących banku.

Aby nie utracić dostępu do systemu przez jak najdłuższy czas, hakerzy używali różnych sposobów pozwalających na ukrywanie podejrzanych informacji zarówno przed właścicielami urządzenia, jak i produktami zabezpieczającymi.

Dodatkowy arsenał

W razie potrzeby na urządzenie przesyłane były dodatkowe narzędzia, umożliwiające np. uzyskanie wyższego poziomu uprawnień czy gromadzenia innych informacji. Aplikacje te mogły kraść dane (od informacji na temat logowania po dowolny plik przechowywany na urządzeniu), wykonywać zrzuty kranu, nagrywać, co się dzieje na ekranie, podsłuchiwać, co dzieje się w biurze przy użyciu mikrofonu w urządzeniu czy gromadzić dane logowania z innych urządzeń w sieci lokalnej.

Dzięki temu atakujący mogli teoretycznie robić znacznie więcej niż tylko kraść firmowe pieniądze. Mogli uzyskiwać poufne informacje na temat firmy, jej klientów i partnerów; szpiegować pracowników; nagrywać obraz i dźwięk z otoczenia zainfekowanego komputera; lub wykorzystywać zhakowany system do innych ataków, w tym DDoS.

Kto powinien się obawiać tych ataków?

Na tę chwilę cyberprzestępcy podjęli próbę zainfekowania 800 komputerów należących do co najmniej 400 organizacji w wielu branżach: produkcyjnej, naftowo-gazowej, metalurgicznej, inżynieryjnej, energetycznej, budowlanej, górniczej i logistycznej. Kampania phishingowa trwała od października 2017 r.

Jak nie zostać ofiarą?

Wspomniana tu kampania phishingowa poraz kolejny udowodniła, że zagrożenie może czaić się nawet w legalnych aplikacjach. Zainstalowanie rozwiązań zabezpieczających nie jest wystarczające: ofiarami ataków, w których starannie połączono phihing z legalnym oprogramowaniem, mogą paść nawet pracownicy świadomi w kwestiach cyberbezpieczeństwa. Aby chronić swoją organizację, zalecamy stosowanie się do następujących zasad:

  • Zadbaj, aby pracownicy w Twojej firmie mieli sporą wiedzę na temat bezpieczeństwa informacji. Kaspersky Lab oferuje szkolenia edukacyjne i treningowe, które nie tylko poszerzają wiedzę, ale także pomagają kształtować nowe wzorce zachowania.
  • Korzystaj z nowoczesnych technologii zabezpieczających, które potrafią rozpoznać zachowanie nie tylko programów podejrzanych, ale również tych legalnych — takich jak Kaspersky Endpoint Security for Business.

Porady