Hekerji vdirajo v elektronsko pošto slovenskih podjetij

V svetu so že nekaj let razširjeni ciljani vdori in zlorabe elektronske komunikacije, njihove posledice zdaj spoznava tudi slovensko podjetniško okolje.

Samo v zadnjem času smo na SI-CERT prejeli več prijav zlorab elektronske komunikacije med slovenskimi podjetji in njihovimi poslovnimi partnerji iz tujine. Ne gre za pravilo, a na udaru so predvsem podjetja, ki poslujejo s tujino v velikih zneskih, napadalci lahko podatke o podjetjih preprosto pridobijo iz javno dostopnih evidenc.

Napadalci vdirajo v e-poštne sisteme podjetij, od koder lahko spremljajo njihovo elektronsko komunikacijo s strankami. Ko pridobijo dovolj pomembnih informacij o poslovnih procesih, lahko v ključnem trenutku aktivno posežejo v komunikacijo in kupcu pošljejo lažno sporočilo o spremembi transakcijskega računa. Tako preusmerijo plačevanje računov in drugih stroškov na svoje lažne bančne račune.

Do trenutka, ko podjetja ugotovijo, da je nekaj narobe, hitro nastane velika škoda, od nekaj tisoč do več deset tisoč evrov.

Kako se zgodi vdor?

Cilj hekerjev je pridobiti vpogled v komunikacijo podjetja, to pa lahko naredijo na različne načine.

Lahko vdrejo v nadzorno ploščo pri ponudniku poštnih storitev ter preusmerijo pošiljanje pošte na svoj e-naslov, od koder neopaženo spremljajo komunikacijo podjetja. Lahko celo okužijo računalnik enega od zaposlenih ali pa se do gesla za dostop do e-pošte dokopljejo s pomočjo ciljanega phishing napada.

Običajni phishing napadi so razposlani na veliko število naslovov in poštni strežniki jih bolj kot neuspešno filtrirajo v vsiljeno pošto.

V nasprotju s temi pa so ciljani napadi izvedeni veliko bolj sofisticirano: napadalec izbrani žrtvi pošlje personalizirano sporočilo, ki se izogne poštnim filtrom in obenem deluje bolj verodostojno, zaradi česar je takšen napad tudi bolj »uspešen«.

Primer ciljanega phishing napada. Napadalčevo sporočilo je bilo napisano za točno določenega naslovnika. Ker se vsebina sporočila dejansko navezuje na njegove aktivnosti, je veliko bolj verjetno, da bo naslovnik takšnemu sporočilu tudi nasedel.

Primer običajnega phishing sporočila. Iz različnih razlogov zahtevajo, da se ponovno vpišete v vaš poštni predal. Če ne, ne boste mogli več dostopati do vaše pošte. Čeprav so vsi razlogi izmišljeni in niso možni niti teoretično, je že grožnja dovolj, da nekateri uporabniki svoje uporabniško geslo in ime vpišejo v lažno phishing stran.

Ko napadalci pridobijo dostop do e-pošte podjetja, nastavijo posredovanje pošte na svoj e-naslov, ki so ga za ta namen kreirali pri enem od brezplačnih ponudnikov (gmail, yahoo, hotmail). Brezplačnega ponudnika so izbrali premišljeno in s tem zakrili svoje sledi. Nekaj časa nato spremljajo celotno komunikacijo, da ugotovijo, kako potekata poslovanje in plačevanje, kako najdejo največje stranke. V ključnem trenutku, na primer pred plačilom nekega večjega računa, aktivno posežejo v komunikacijo. Pri enem od brezplačnih ponudnikov registrirajo elektronski naslov z imenom in priimkom zaposlenega v podjetju in žrtvi v njegovem imenu pošljejo podatke o spremenjenem TRR-računu za nakazilo (npr. Ta e-poštni naslov je zaščiten proti smetenju. Potrebujete Javascript za pogled. kar naenkrat postane Ta e-poštni naslov je zaščiten proti smetenju. Potrebujete Javascript za pogled.). Denarna nakazila tako preusmerijo na svoje račune, komunikacijo. Ker uporabniki običajno nismo pozorni na eletronski naslov sogovornika, žrtev redko opazi spremembo.

Za primer vzemimo Janeza Novaka. Doslej vam je pisal z e-naslova Ta e-poštni naslov je zaščiten proti smetenju. Potrebujete Javascript za pogled., potem pa se naslov spremeni v Ta e-poštni naslov je zaščiten proti smetenju. Potrebujete Javascript za pogled.. Ste pozorni dovolj, da bi ta sprememba vzbudila sum?

Kot razlog za spremembo bančnega računa navedejo različne izgovore, od tega, da imajo težave s svojo banko, da bo plačilo hitreje sprovedeno, če plačajo na račun v bližnji državi, da raje nakažite na račun njihovega lokalnega zastopnika ipd. V vseh obravnavanih primerih je šlo za bančne račune fizičnih oseb v lasti tako imenovanih denarnih mul, ki nakazani znesek takoj dvignejo in po neki drugi denarni poti, ponavadi z nakazilom prek sistema Western Union, nakažejo naprej goljufom. Na ta način se sled za denarjem zelo hitro izgubi.

* Za pomoč pri dvigovanju in prenakazovanju denarnih sredstev sumljivega izvora kriminalci uporabijo denarne mule, v svojo mrežo jih zvabijo s pomočjo raznih zvijač, da pogosto še sami ne vedo, s čim imajo opravka. Se spomnite oglasov za dobro plačano delo od doma; nekaj v slogu »Kako slovenska mama samohranilka zasluži 20.000 evrov z delom od doma? Preveri tukaj!« So v angleškem jeziku, nanje pa naletimo med brskanjem po kakšni pogrošni spletni strani. Ti oglasi so lep primer prikritega oglaševanja dela denarne mule − sicer bogato plačanega, a z visokim rizikom. Velik delež jih odkrijejo, pogosto morajo zaradi vpletenosti v kaznivo dejanje svoj del kazni odsedeti.

Pomembno:

1. Če poslujete s tujino, bodite še posebej pozorni na morebitna nenadna odstopanja od utečenih praks. Vsako spremembo občutljivih podatkov, sploh tistih za nakazilo denarja, preverite na različne načine, tudi po telefonu, faksu, skypu ipd.

2. Preverjajte elektronske naslove vaših partnerjev. Nekateri programi za e-pošto kot pošiljatelja prikažejo zgolj ime in priimek, ki pa si ju lahko vsakdo nastavi po svoje. Če pa se z miško postavimo na ime, se nam prikaže tudi e-naslov. Je ta morda spremenjen? Se namesto naslova Ta e-poštni naslov je zaščiten proti smetenju. Potrebujete Javascript za pogled. nenadoma pojavi Ta e-poštni naslov je zaščiten proti smetenju. Potrebujete Javascript za pogled.? To je že lahko znak za alarm.

3. V nastavitvah vašega elektronskega računa redno preverjajte, ali se vaša e-pošta preusmerja na kakšen neznan e-naslov. V Gmailu to preverite v nastavitvah pod zavihkoma »Filtri« https://mail.google.com/mail/#settings/filters in »Posredovanje« https://mail.google.com/mail/#settings/fwdandpop, če uporabljate e-pošto drugega ponudnika, se pri njem pozanimajte, kje najdete to nastavitev (preverite posredovanje in filtre)

Se vaša e-pošta preusmerja na neznan e-naslov?

4. Če vam vaš ponudnik e-pošte omogoča dostop do vpogleda, iz katerih IP-naslovov je bilo dostopano do vašega predala, redno preverjajte te podatke. Na podlagi IP-naslova lahko ugotovimo, kateremu ponudniku dostopa pripada, v nekaterih primerih pa tudi približno lokacijo. V primeru kazenskega pregona se lahko na podlagi IP-naslova ter točnega časa prijave pridobijo tudi podatki o uporabniku tega IP-naslova.

5. Ne zanemarjajte morebitnih obvestil o sumljivem dogajanju v e-računu, ki vam jih pošilja vaš ponudnik. Vsako tako obvestilo je treba analizirati in ugotoviti vzroke za to dogajanje (pri tem morate paziti, da prepoznate lažna, phishing sporočila, ki so na prvi pogled videti, kot da vam jih je poslal vaš ponudnik).

6. Eden najpogostejših načinov kraje gesel so phishing sporočila, ko svoje geslo in uporabniško ime napadalcem posredujemo kar sami. Razširjeni pa so tudi 'trojanci', ki prestrezajo shranjena in vpisana gesla. Trojanci se na računalnik naselijo, ko odpremo okuženo priponko v elektronski pošti ali pa iz spleta prenašamo sumljive vsebine. Je možno, da ste v preteklosti naredili kakšno od teh napak?

7. Kakšna je politika gesel v vašem podjetju? Uporabljajte kompleksna gesla in nikoli naj istega gesla ne uporablja več uporabnikov.

***

Rubrika Varni na internetu je na sporedu vsak tretji torek ob 10. uri.

Vabimo vas tudi, da sledite rubriki Zaženi se in spremljate, kako lažje navigirati po javnem prostoru, ter Pravu za vse, kjer objavljamo uporabne pravne nasvete.

***

Po dosjeju prispevkov Varni na internetu lahko brskate TUKAJ.