Ceo život poslujete sa firmom XYZltd iz Austrije koja je proverena i uspešna u svom poslu, od njih ste naručivali rezervne delove za kola koja ste preprodavali dalje u vašoj prodavnici i uspešno sarađujete već ko zna koliko godina unazad. Danas vam je stigao mail od njih, sa standardne mail adrese invoices@xyzltd.com da su morali da promene broj računa zbog nekih internih ukaza iz njihove banke, te da će uskoro fakture stizati sa tim novim instrukacijama za plaćanje.

Još neko vreme stižu fakture regularno, ali posle nekoliko dana stiže faktura sa instrukcijama za plaćanje o kojoj su vas uredno obavestili nekoliko dana ranije. Faktura stiže u isto vreme kao što su dolazile i dosadašnje, za autodelove koje ste poručili ranije, iznos regularan oko 20.000€ kao i do sad, sve stavke koje ste naručili sa svojom šifrom artikla koja je validna, sa ovim novim instrukcijama za plaćanje – izvršite uplatu, uplata prošla. Sve OK.

Par dana kasnije, šaljete mail da pitate šta se dešava sa robom, dobijate odgovor na mail da imaju neke manje probleme sa prevozom i carinom, te da će roba malo kasniti…

…ispostaviće se na kraju, kasniće doživotno. Zovete telefonom dobavljača jer vam tu već nešto smrducka, dobavljač kaže da vam jeste poslao fakturu ali mu još niste platili, možda program nešto zeza, nije vam nikad javio da ima ikakve probleme sa carinom ili transportom, proveriće o čemu se radi. Kasnije u toku dana vam stiže mail – da je firma XYZltd bila žrtva hakerskog napada. Svi su ih zvali i žalili se na neisporučenu robu, istražiće šta je u pitanju…a u pitanju je – da su uplate rađene na račune sajber kriminalaca ili njihovih finansijskih mula (objasniću kasnije šta je).

Da ponovimo – u ovom slučaju:

  • Svi mailovi su došli sa regularne i legitimne mail adrese koju ste koristili i do sad invoices@xyzltd.com, nema ono ćirilično y umesto latičnog ipsilon, veliko I umesto malog l i slične fore
  • Lokalni IT-jevac je proverio mail koji ste dobili, MX zapise, DKIM, SPF unose…sve čisto i mail je definitivno regularan
  • Sve stavke na fakturi su regularne, ista šifra proizvoda, isti naziv proizvoda, svi podaci dobri, samo nove instrukcije za plaćanje
  • Skenirate svoj kompjuter – čist kao suza
  • Dobavljač skenira svoj kompjuter – čist kao suza

Pa kako onda?

Čestitamo – upravo ste postali žrtva „Direktorske prevare“

Direktorska prevara se stručno zove i „Business Email Compromise“ ili ti skraćeno BEC tj u prevodu kompromitacija poslovnog maila a koriste se i izrazi Man-in-the-Email (pandan poznatom Man in the Middle napadu) i Nigerijska prevara verzija 2…je jedna po rečima naše policije – od najkorišćenijih prevara u Srbiji (da, u Srbiji dobro ste pročitali) – nije nešto što se dešava samo tamo nekim bogatim Amerima i Rusima…po rečima naše policije u Srbiji na ovaj način su napravljene štete od više miliona evra a žrtve su obično mala i srednja preduzeća koja imaju bilo kakav spoljnotrgovinski promet.

Na ovu kombinaciju hakovanja i socijalnog inžinjeringa ne padaju samo ljudi koji „su duduci neškolovani“…primera radi, Rojters je pisao da je na ovu foru je prošle 2016-te godine pao i „FACC“ – proizvođač iz sektora avio-industrije koji je, baš iz Austrije i to su ga, rođaci, opustošili za 50 miliona dolara (originalni Rojters članak). U gorenavedenom primeru sam namerno stavio Austriju jer je u pitanju organizovana država, ne ko ova naša.

Ukratko, napadač hakne na ovaj ili onaj način (fishing, dobijanje remote pristupa kompjuteru, socijalni inžinjering i slično) vaš ili e-mail vašeg klijenta/dobavljača/direktora/štagod – ali ne pravi nikakva sranja, ništa ne briše, šifruje ili spamuje….samo ćuti, otvori na svom kompjuteru iz Tor browsera vaš email i osmatra neko vreme, prikuplja sve infomacije o primaocima maila i primljenim mailovima, kako se ko sa kime ophodi u email konverzaciji, u koje vreme se šalju mailovi, čita postojeće primljene i poslate mailove, prikuplja podatke iz njih o svemu i čeka da se ukaže situacija da će biti nekih većih plaćanja.

Napadač isto može promeniti i email adresu na nivou kontakta u adresaru na email nalogu – onome kome šaljete mail (velika većina ljudi ne proverava mail adresu, nego kad vide ime i prezime primaoca tu je kraj) tako da i kad žrtva pošalje mail – mail će stići na fake mail adresu dok će pravi primaoc biti uskraćen za mail – recimo ako šaljete mail na zodra@kompjuteras.com, napadač će registrovati domen kompjuteras.co – i napraviti email nalog preko besplatnog Yandexa zodra@kompjuteras.co – a vama će u kontaktima promeniti email adresu za taj kontakt – tako da će, kad pošaljete mail sve biti regularno – nećete dobiti povratni da taj ne postoji…a onda će, kad se ukaže prilika napadač zaista i poslati mail sa fakturom na zodra@kompjuteras.com. Druga strana neće dobiti nikakav mail – ali će napadač biti upoznat sa poslatim mailom i moći će da ga modifikuje ili bilo šta drugo.

Ako napadač uspe i nešto drugo da hakne, tipa Skype/Facebook/Chat i slično – hakne ali i dalje ne pravi sranja, samo osmatra i kad mu se ukaže prilika NAPAD – pošalje mail sa kompromitovanog (ili sličnog) naloga da će biti izmene instrukcija za plaćanje u budućnosti te da će neki od narednih faktura biti pod tim novim brojevima računa….posle nekog vremena šalje nove instrukcije ali javlja da će se primenjivati od sledeće nedelje ili ‘od odmah’ – vi mu odgovarate potvrdno i da nema nikakvih problema. Kasnije dobijate račun sa novim instrukcijama a dobavljač vam javlja da će ovo i sva buduća plaćanja ići preko novog računa.

Sem ovog dela oko promene instrukcija za plaćanje, napadač može dejstvovati i tako što će vama poslati sa emaila vašeg direktora fakturu koju morate hitno da platite. Faktura ima veći iznos i može da glasi na neko ozbiljno ime u koje ne sumnjate – tipa, morate da platite neku licencu Oracle-u, na fakturi piše Oracle sa sve regularnim podacima. Primera radi, procesor licenca za Oracle Database Enterprise je 47.500$ (izvor ovde) i dobili ste email od direktora da hitno to platite. U velikom procentu firmi direktor je svetinja bog i batina i ako nešto kaže da se plati odmah – plaća se odmah i to je skroz legitimno…i baš to je nešto na šta napadač računa…i eto, nek vam pošalje da kupite dve procesor licence za Oracle (ili kupuje nova kola ili štatijaznam) – zbogom 100.000$.

Ako ti je od njega stigao mail da nešto hitno platiš, jebo sve i plaćaj i ne pitaj šta košta

Svi mailovi koje šaljete kompromitovanom mailu a da su vezani za ovo kao i mailovi koje napadač šalje vama – on briše sa mail naloga i iz Sent, Trash i Inbox foldera – a može čak i postaviti email filter da se mail od-tog-i-tog sa tim-i-tim-sadržajem-ili-brojem-računa automatski markira kao pročitan i briše, tako da regularni korisnik nema pojma šta se dešava. Realno – kad ste poslednji put proveravali email filtere?
Vi izvršite plaćanje na način kako je navedeno u kompromitovanom emailu, on vas još neko vreme kulturiška lera…kad uplata legne i uspe da digne novac na ovaj ili onaj način a obično putem takozvanih finansijskih mula.

Finansijska mula je posrednik između kriminalca i broja računa na kojem je taj novac zarađen putem prevare – a koji za određeni iznos izvrše prenos novca sa računa na račun ili sa računa na ruke kriminalcu. Obično finansijske mule i nemaju ni pojma da su deo lanca prevare jer im se obećaju a obično i isplate pare za nekakav internet posao od kuće i vrbuju se ili siromašni i pošteni ljudi ili neki narkomačići. Kao što kaže Pavle Vujisić: „Čovek ne mora biti glup da bi ga prevarili. Dovoljno je da je iskren, dobar i pošten“.

Sem ovog pristupa napadač može koristiti i slične domene za slanje maila recimo baš gorepomenutom metodom zamene slova u email adresi – a mailovi će biti poslati uz ophođenjem kakvo ste imali i do sad. Sem samog vašeg dobavljača nešto slično možete dobiti i od svog direktora kome je haknut email a koji vam putem maila traži da izvršite neku uplatu na taj-i-taj broj računa, isto komunicirajući putem emaila kao što je komunicirao i do sad – ako vam je persirao persiraće opet – ako nije neće i dalje, ako se zovete Jelena a on mail počinjao sa Jeco – i novi email će poćinjati sa Jeco.

Ako vam fakture dolaze automatizovano iz nekog programa koji klijent koristi – možete očekivati isti takav mail ali sa drugom instrukcijom za plaćanje. Originalni mail će naravno ili biti presretnut ili će napadač promeniti email adresu primaoca pa će program slati prave fakture – u crnu rupu.

Antispam ili antivirus neće ništa primetiti jer se ili šalju mailovi sa regularnog mail servera koji koristi vaša firma, ili sa regularnog mail servera koji koristi sličan domen – a pri tom se taj mail server ne koristi za masovno spamovanje da bi bio markiran kao sumnjiv – već se koristi za targetirani i lagani napad na jednu ili nekoliko mail adresa.

Kako se odbraniti od Direktorske prevare?

Svaka promena instrukcija za plaćanje je potencionalna opasnost i potencionalna prevara – tako je i tretirajte dok se ne uverite u suprotno. Isto važi i za iznenadna plaćanja sa većim iznosima, kao i fakture koje dobijete poštom sa drugačijim instrukcijama za plaćanje.

Većina firmi radi plaćanja preko programa banke u kojima se memorišu instrukcije za plaćanje, brojevi računa i sve ostalo – i lako je detektovati nove instrukcije.

Ako izuzmemo default sistemaške stvari višeg nivoa (Firewall i Antivirus koji radi u realnom vremenu, non-admin privilegije, dobra zaštita na nivou samog email servera i slično) vi ste ti koji morate da pazite šta klikćete i gde, čije USB-ove ubadate u komp (a najbolje ničije), koliko su zajebane lozinke koje koristite za email, koristite li dvostepenu autentifikaciju, koristite li istu lozinku na više različitih mesta, sa koje mail adrese vam stiže mail, koje attachmente otvarate, kako čuvate lozinke…dakle glavna ideja je da se vi ne zarazite niti da napadač može da priđe vašem kompjuteru ili mail nalogu – a da je triger za sumnju – svaka promena instrukcija za plaćanja ka inostranstvu il izahtev za plaćanjem dobijen od direktora ka računu koji vam je nepoznat. Za mail nalog osobe koja se bavi plaćanjima je dvostepena autentifikacija OBAVEZNA, naravno – ukoliko mail server ima tu mogućnost. Ako se ne snalazite ili ne znate da li to imate kao opciju – pitajte nadležnog IT-jevca u firmi.

Izbacite iz glave to: „Ja se bavim finansijama a to hakovanje mejla i te štreberske stvari – o tome neka brinu ovi naši informatičari u firmi koji su plaćeni za to„. Napadač će skoro nikad napadati stručno lice i skoro uvek nekoga ko nije najbolje informatički pismen a ti informatičari nemaju stoprocentni uvid u vašu mail komunikaciju (sem ako im nije hobi da čitaju tuđe mailove). Recimo, meni je lično poznat slučaj kad se jedna direktorka finansija zarazila klikom na neplaćenu fakturu od DHL-a (tekst ovde) koja je bila u atačmentu – iako nikad nije imala ništa sa DHL-om niti je očekivala bilo šta od DHL-a. Atačment je zapravo bio exe fajl a mail server koji je tad korišćen je imao skoro pa nikakvu zaštitu i skoro pa nikako konfigurisan. Srećom šteta nije bila nikakva i tad ransowarei nisu bili aktuelni – ali da je hteo, napadač je mogao šta mu srcu milo.

Ako dobijete e-mail da neko pokušava da vam hakne mail i da treba da odete na taj i taj link kako biste potvrdili svoj identitet ili postavili novu lozinku – konsultujte se sa stručnim IT licem pre paničnog klika na link.

Dakle, ako klijent promeni račun, a ta promena je i legitimna radnja – POZOVITE GA STARIM DOBRIM TELEFONOM, najbolje fiksnim ako ima – da sa njim potvrdite glasovno da je došlo do promena instrukcija za plaćanje ili organizujte Skype video poziv (obavezno video poziv) kako biste videli lice čoveka sa kojim komunicirate – ako je poznato sve je cool. Korišćenje telefona (idealno fiksnog) ili video poziva koristite – jer su možda drugi načini elektronske komunikacije hakovani…a glas i lice je teško hakovati, pokogoto ako su vam isti poznati a i ako ne poznajete mala je šansa da će napadač otkriti svoj fizički izgled kombinovan sa ruskim (-: naglaskom prilikom video poziva.

Ako vam je direktor poslao neku fakturu sa malo većim iznosom a na račun koji vam nije poznat ili ga niste koristili ranije – cimajte ga telefonom da proverite i potvrdite. Naravno – ako je broj računa od ranije poznat – sve je regularno. Ovaj napad se obično koristi za veće iznose, tako da najverovatnije se niko neće baktati vama za 200€ ali svakako pamet u glavu i pazite šta radite.

Napomena…BEC je prevara za koju znam odavno ali se nisam bavio njom jer sam, priznajem – i sam mislio da se dešava samo drugima i većim&bogatijim firmama – triger koji me je naterao da napišem ovaj tekst jeste gostovanje načelnika odeljenja za visokotehnološki kriminal srpske policije Saše Živanovića u jednoj emisiji na TV-u, gde je čovek otkrio da je ovo najčešće korišćeni vid prevare u Srbiji sa višemilionskim štetama nanetim firmama što me je poprilično iznenadilo.