Цео живот послујете са фирмом XYZltd из Аустрије која је проверена и успешна у свом послу, од њих сте наручивали резервне делове за кола која сте препродавали даље у вашој продавници и успешно сарађујете већ ко зна колико година уназад. Данас вам је стигао мејл од њих, са стandардне мејл адресе invoices@xyzltd.com да су морали да промене број рачуна због неких интерних указа из њихове банке, те да ће ускоро фактуре стизати са тим новим инструкацијама за плаћање.

Наочаре за компјутер
Још неко време стижу фактуре регуларно, али после неколико дана стиже фактура са инструкцијама за плаћање о којој су вас уредно обавестили неколико дана раније. Фактура стиже у исто време као што су долазиле и досадашње, за аутоделове које сте поручили раније, износ регуларан око 20.000€ као и до сад, све ставке које сте наручили са својом шифром артикла која је валидна, са овим новим инструкцијама за плаћање – извршите уплату, уплата прошла. Све ОК.

Пар дана касније, шаљете мејл да питате шта се дешава са робом, добијате одговор на мејл да имају неке мање проблеме са превозом и царином, те да ће роба мало каснити…

…испоставиће се на крају, касниће доживотно. Зовете телефоном добављача јер вам ту већ нешто смрдуцка, добављач каже да вам јесте послао фактуру али му још нисте платили, можда програм нешто зеза, није вам никад јавио да има икакве проблеме са царином или транспортом, провериће о чему се ради. Касније у току дана вам стиже мејл – да је фирма XYZltd била жртва хакерског напада. Сви су их звали и жалили се на неиспоручену робу, истражиће шта је у питању…а у питању је – да су уплате рађене на рачуне сајбер криминалаца или њихових финансијских мула (објаснићу касније шта је).

Да поновимо – у овом случају:

  • Сви имејлови су дошли са регуларне и легитимне мејл адресе коју сте користили и до сад invoices@xyzltd.com, нема оно ћирилично y уместо латичног ипсилон, велико латинично I уместо малог латиничног l и сличне форе
  • Локални ИТ-јевац је проверио мејл који сте добили, МX записе, DKIM, SPF уносе…све чисто и мејл је дефинитивно регуларан
  • Све ставке на фактури су регуларне, иста шифра производа, исти назив производа, сви подаци добри, само нове инструкције за плаћање
  • Скенирате свој компјутер – чист као суза
  • Добављач скенира свој компјутер – чист као суза

Па како онда?

Честитамо – управо сте постали жртва „Директорске преваре“

Директорска превара се стручно зове и „Business Email Compromise“ или ти скраћено BEC (латинично) тј у преводу компромитација пословног имејла а користе се и изрази Ман-in-the-Email (пандан познатом Man in the Middle нападу) и Нигеријска превара верзија 2…је једна по речима наше полиције – од најкоришћенијих превара у Србији (да, у Србији добро сте прочитали) – није нешто што се дешава само тамо неким богатим Америма и Русима…по речима наше полиције у Србији на овај начин су направљене штете од више милиона евра а жртве су обично мала и средња предузећа која имају било какав спољнотрговински промет.

На ову комбинацију хаковања и социјалног инжињеринга не падају само људи који „су дудуци нешколовани“…примера ради, Ројтерс је писао да је на ову фору је прошле 2016-те године пао и „FACC“ – произвођач из сектора авио-индустрије који је, баш из Аустрије и то су га, рођаци, опустошили за 50 милиона долара (оригинални Ројтерс чланак). У горенаведеном примеру сам намерно ставио Аустрију јер је у питању организована држава, не ко ова наша.

Укратко, нападач хакне на овај или онај начин (fishing, добијање даљинског приступа компјутеру, социјални инжињеринг и слично) ваш или имејл вашег клијента/добављача/директора/штагод – али не прави никаква срања, ништа не брише, шифрује или спамује….само ћути, отвори на свом компјутеру из Тор браузера ваш имејл и осматра неко време, прикупља све инфомације о примаоцима имејла и примљеним имејловима, како се ко са киме опходи у имејл конверзацији, у које време се шаљу имејлови, чита постојеће примљене и послате имејлове, прикупља податке из њих о свему и чека да се укаже ситуација да ће бити неких већих плаћања.

Нападач исто може променити и имејл адресу на нивоу контакта у адресару на имејл налогу – ономе коме шаљете мејл (велика већина људи не проверава мејл адресу, него кад виде име и презиме примаоца ту је крај) тако да и кад жртва пошаље мејл – мејл ће стићи на фејк мејл адресу док ће прави примаоц бити ускраћен за мејл – рецимо ако шаљете мејл на zodra@kompjuteras.com, нападач ће регистровати домен kompjuteras.co – и направити имејл налог преко бесплатног Yandеx-а zodra@kompjuteras.co – а вама ће у контактима променити имејл адресу за тај контакт – тако да ће, кад пошаљете мејл све бити регуларно – нећете добити повратни да тај не постоји…а онда ће, кад се укаже прилика нападач заиста и послати мејл са фактуром на zodra@kompjuteras.com. Друга страна неће добити никакав мејл – али ће нападач бити упознат са послатим мејлом и моћи ће да га модификује или било шта друго.

Ако нападач успе и нешто друго да хакне, типа Скајп/Фејсбук/чет и слично – хакне али и даље не прави срања, само осматра и кад му се укаже прилика НАПАД – пошаље мејл са компромитованог (или сличног) налога да ће бити измене инструкција за плаћање у будућности те да ће неки од наредних фактура бити под тим новим бројевима рачуна….после неког времена шаље нове инструкције али јавља да ће се примењивати од следеће недеље или ‘од одмах’ – ви му одговарате потврдно и да нема никаквих проблема. Касније добијате рачун са новим инструкцијама а добављач вам јавља да ће ово и сва будућа плаћања ићи преко новог рачуна.

Сем овог дела око промене инструкција за плаћање, нападач може дејствовати и тако што ће вама послати са имејла вашег директора фактуру коју морате хитно да платите. Фактура има већи износ и може да гласи на неко озбиљно име у које не сумњате – типа, морате да платите неку лиценцу Oracle-у, на фактури пише Oracle са све регуларним подацима. Примера ради, процесор лиценца за Oracle Database Enterprise је 47.500$ (izvor овде) и добили сте имејл од директора да хитно то платите. У великом проценту фирми директор је светиња бог и батина и ако нешто каже да се плати одмах – плаћа се одмах и то је скроз легитимно…и баш то је нешто на шта нападач рачуна…и ето, нек вам пошаље да купите две процесор лиценце за Oracle (или купује нова кола или штатијазнам) – збогом 100.000$.

Ако ти је од њега стигао мејл да нешто хитно платиш, јебо све и плаћај и не питај шта кошта

Сви имејлови које шаљете компромитованом мејлу а да су везани за ово као и имејлови које нападач шаље вама – он брише са мејл налога и из Sent, Trash и Inbox фолдера – а може чак и поставити имејл филтер да се мејл од-тог-и-тог са тим-и-тим-садржајем-или-бројем-рачуна аутоматски маркира као прочитан и брише, тако да регуларни корисник нема појма шта се дешава. Реално – кад сте последњи пут проверавали имејл филтере?
Ви извршите плаћање на начин како је наведено у компромитованом имејлу, он вас још неко време културишка лера…кад уплата легне и успе да дигне новац на овај или онај начин а обично путем такозваних финансијских мула.

Финансијска мула је посредник између криминалца и броја рачуна на којем је тај новац зарађен путем преваре – а који за одређени износ изврше пренос новца са рачуна на рачун или са рачуна на руке криминалцу. Обично финансијске муле и немају ни појма да су део ланца преваре јер им се обећају а обично и исплате паре за некакав интернет посао од куће и врбују се или сиромашни и поштени људи или неки наркомачићи. Као што каже Павле Вујисић: „Човек не мора бити глуп да би га преварили. Довољно је да је искрен, добар и поштен“.

Сем овог приступа нападач може користити и сличне домене за слање имејла рецимо баш горепоменутом методом замене слова у имејл адреси – а имејлови ће бити послати уз опхођењем какво сте имали и до сад. Сем самог вашег добављача нешто слично можете добити и од свог директора коме је хакнут имејл а који вам путем имејла тражи да извршите неку уплату на тај-и-тај број рачуна, исто комуницирајући путем имејла као што је комуницирао и до сад – ако вам је персирао персираће опет – ако није неће и даље, ако се зовете Јелена а он мејл почињао са Јецо – и нови имејл ће поћињати са Јецо.

Ако вам фактуре долазе аутоматизовано из неког програма који клијент користи – можете очекивати исти такав мејл али са другом инструкцијом за плаћање. Оригинални мејл ће наравно или бити пресретнут или ће нападач променити имејл адресу примаоца па ће програм слати праве фактуре – у црну рупу.

Антиспам или антивирус неће ништа приметити јер се или шаљу имејлови са регуларног мејл сервера који користи ваша фирма, или са регуларног мејл сервера који користи сличан домен – а при том се тај мејл сервер не користи за масовно спамовање да би био маркиран као сумњив – већ се користи за таргетирани и лагани напад на једну или неколико мејл адреса.

Како се одбранити од Директорске преваре?

Свака промена инструкција за плаћање је потенционална опасност и потенционална превара – тако је и третирајте док се не уверите у супротно. Исто важи и за изненадна плаћања са већим износима, као и фактуре које добијете поштом са другачијим инструкцијама за плаћање.

Већина фирми ради плаћања преко програма банке у којима се меморишу инструкције за плаћање, бројеви рачуна и све остало – и лако је детектовати нове инструкције.

Ако изузмемо дифолт системашке ствари вишег нивоа (firewall и антивирус који ради у реалном времену, нон-админ привилегије, добра заштита на нивоу самог имејл сервера и слично) ви сте ти који морате да пазите шта кликћете и где, чије USB-ове убадате у комп (а најбоље ничије), колико су зајебане лозинке које користите за имејл, користите ли двостепену аутентификацију, користите ли исту лозинку на више различитих места, са које мејл адресе вам стиже мејл, које attachmentе отварате, како чувате лозинке…дакле главна идеја је да се ви не заразите нити да нападач може да приђе вашем компјутеру или мејл налогу – а да је тригер за сумњу – свака промена инструкција за плаћања ка иностранству ил изахтев за плаћањем добијен од директора ка рачуну који вам је непознат. За мејл налог особе која се бави плаћањима је двостепена аутентификација ОБАВЕЗНА, наравно – уколико мејл сервер има ту могућност. Ако се не сналазите или не знате да ли то имате као опцију – питајте надлежног ИТ-јевца у фирми.

Избаците из главе то: „Ја се бавим финансијама а то хаковање мејла и те штреберске ствари – о томе нека брину ови наши информатичари у фирми који су плаћени за то„. Нападач ће скоро никад нападати стручно лице и скоро увек некога ко није најбоље информатички писмен а ти информатичари немају стопроцентни увид у вашу мејл комуникацију (сем ако им није хоби да читају туђе имејлове). Рецимо, мени је лично познат случај кад се једна директорка финансија заразила кликом на неплаћену фактуру од DHL-а (текст овде) која је била у атачменту – иако никад није имала ништа са DHL-ом нити је очекивала било шта од DHL-а. Атачмент је заправо био .еxе фајл а мејл сервер који је тад коришћен је имао скоро па никакву заштиту и скоро па никако конфигурисан. Срећом штета није била никаква и тад ренсомвери нису били актуелни – али да је хтео, нападач је могао шта му срцу мило.

Ако добијете имејл да неко покушава да вам хакне имејл и да треба да одете на тај и тај линк како бисте потврдили свој идентитет или поставили нову лозинку – консултујте се са стручним ИТ лицем пре паничног клика на линк.

Дакле, ако клијент промени рачун, а та промена је и легитимна радња – ПОЗОВИТЕ ГА СТАРИМ ДОБРИМ ТЕЛЕФОНОМ, најбоље фиксним ако има – да са њим потврдите гласовно да је дошло до промена инструкција за плаћање или организујте Скајп видео позив (обавезно видео позив) како бисте видели лице човека са којим комуницирате – ако је познато све је кул. Коришћење телефона (идеално фиксног) или видео позива користите – јер су можда други начини електронске комуникације хаковани…а глас и лице је тешко хаковати, покогото ако су вам исти познати а и ако не познајете мала је шанса да ће нападач открити свој физички изглед комбинован са руским (-: нагласком приликом видео позива.

Ако вам је директор послао неку фактуру са мало већим износом а на рачун који вам није познат или га нисте користили раније – цимајте га телефоном да проверите и потврдите. Наравно – ако је број рачуна од раније познат – све је регуларно. Овај напад се обично користи за веће износе, тако да највероватније се нико неће бактати вама за 200€ али свакако памет у главу и пазите шта радите.

Напомена…директорска превара је превара за коју знам одавно али се нисам бавио њом јер сам, признајем – и сам мислио да се дешава само другима и већим&богатијим фирмама – тригер који ме је натерао да напишем овај текст јесте гостовање начелника одељења за високотехнолошки криминал српске полиције Саше Живановића у једној емисији на TV-у, где је човек открио да је ово најчешће коришћени вид преваре у Србији са вишемилионским штетама нанетим фирмама што ме је поприлично изненадило.