Ceo život poslujete sa firmom XYZltd iz Austrije koja je proverena i uspešna u svom poslu, od njih ste naručivali rezervne delove za kola koja ste preprodavali dalje u vašoj prodavnici i uspešno sarađujete već ko zna koliko godina unazad. Danas vam je stigao mejl od njih, sa standardne mejl adrese invoices@xyzltd.com da su morali da promene broj računa zbog nekih internih ukaza iz njihove banke, te da će uskoro fakture stizati sa tim novim instrukacijama za plaćanje.

Još neko vreme stižu fakture regularno, ali posle nekoliko dana stiže faktura sa instrukcijama za plaćanje o kojoj su vas uredno obavestili nekoliko dana ranije. Faktura stiže u isto vreme kao što su dolazile i dosadašnje, za autodelove koje ste poručili ranije, iznos regularan oko 20.000€ kao i do sad, sve stavke koje ste naručili sa svojom šifrom artikla koja je validna, sa ovim novim instrukcijama za plaćanje – izvršite uplatu, uplata prošla. Sve OK.

Par dana kasnije, šaljete mejl da pitate šta se dešava sa robom, dobijate odgovor na mejl da imaju neke manje probleme sa prevozom i carinom, te da će roba malo kasniti…

…ispostaviće se na kraju, kasniće doživotno. Zovete telefonom dobavljača jer vam tu već nešto smrducka, dobavljač kaže da vam jeste poslao fakturu ali mu još niste platili, možda program nešto zeza, nije vam nikad javio da ima ikakve probleme sa carinom ili transportom, proveriće o čemu se radi. Kasnije u toku dana vam stiže mejl – da je firma XYZltd bila žrtva hakerskog napada. Svi su ih zvali i žalili se na neisporučenu robu, istražiće šta je u pitanju…a u pitanju je – da su uplate rađene na račune sajber kriminalaca ili njihovih finansijskih mula (objasniću kasnije šta je).

Da ponovimo – u ovom slučaju:

  • Svi imejlovi su došli sa regularne i legitimne mejl adrese koju ste koristili i do sad invoices@xyzltd.com, nema ono ćirilično y umesto latičnog ipsilon, veliko latinično I umesto malog latiničnog l i slične fore
  • Lokalni IT-jevac je proverio mejl koji ste dobili, MX zapise, DKIM, SPF unose…sve čisto i mejl je definitivno regularan
  • Sve stavke na fakturi su regularne, ista šifra proizvoda, isti naziv proizvoda, svi podaci dobri, samo nove instrukcije za plaćanje
  • Skenirate svoj kompjuter – čist kao suza
  • Dobavljač skenira svoj kompjuter – čist kao suza

Pa kako onda?

Čestitamo – upravo ste postali žrtva „Direktorske prevare“

Direktorska prevara se stručno zove i „Business Email Compromise“ ili ti skraćeno BEC (latinično) tj u prevodu kompromitacija poslovnog imejla a koriste se i izrazi Man-in-the-Email (pandan poznatom Man in the Middle napadu) i Nigerijska prevara verzija 2…je jedna po rečima naše policije – od najkorišćenijih prevara u Srbiji (da, u Srbiji dobro ste pročitali) – nije nešto što se dešava samo tamo nekim bogatim Amerima i Rusima…po rečima naše policije u Srbiji na ovaj način su napravljene štete od više miliona evra a žrtve su obično mala i srednja preduzeća koja imaju bilo kakav spoljnotrgovinski promet.

Na ovu kombinaciju hakovanja i socijalnog inžinjeringa ne padaju samo ljudi koji „su duduci neškolovani“…primera radi, Rojters je pisao da je na ovu foru je prošle 2016-te godine pao i „FACC“ – proizvođač iz sektora avio-industrije koji je, baš iz Austrije i to su ga, rođaci, opustošili za 50 miliona dolara (originalni Rojters članak). U gorenavedenom primeru sam namerno stavio Austriju jer je u pitanju organizovana država, ne ko ova naša.

Ukratko, napadač hakne na ovaj ili onaj način (fishing, dobijanje daljinskog pristupa kompjuteru, socijalni inžinjering i slično) vaš ili imejl vašeg klijenta/dobavljača/direktora/štagod – ali ne pravi nikakva sranja, ništa ne briše, šifruje ili spamuje….samo ćuti, otvori na svom kompjuteru iz Tor brauzera vaš imejl i osmatra neko vreme, prikuplja sve infomacije o primaocima imejla i primljenim imejlovima, kako se ko sa kime ophodi u imejl konverzaciji, u koje vreme se šalju imejlovi, čita postojeće primljene i poslate imejlove, prikuplja podatke iz njih o svemu i čeka da se ukaže situacija da će biti nekih većih plaćanja.

Napadač isto može promeniti i imejl adresu na nivou kontakta u adresaru na imejl nalogu – onome kome šaljete mejl (velika većina ljudi ne proverava mejl adresu, nego kad vide ime i prezime primaoca tu je kraj) tako da i kad žrtva pošalje mejl – mejl će stići na fejk mejl adresu dok će pravi primaoc biti uskraćen za mejl – recimo ako šaljete mejl na zodra@kompjuteras.com, napadač će registrovati domen kompjuteras.co – i napraviti imejl nalog preko besplatnog Yandex-a zodra@kompjuteras.co – a vama će u kontaktima promeniti imejl adresu za taj kontakt – tako da će, kad pošaljete mejl sve biti regularno – nećete dobiti povratni da taj ne postoji…a onda će, kad se ukaže prilika napadač zaista i poslati mejl sa fakturom na zodra@kompjuteras.com. Druga strana neće dobiti nikakav mejl – ali će napadač biti upoznat sa poslatim mejlom i moći će da ga modifikuje ili bilo šta drugo.

Ako napadač uspe i nešto drugo da hakne, tipa Skajp/Fejsbuk/čet i slično – hakne ali i dalje ne pravi sranja, samo osmatra i kad mu se ukaže prilika NAPAD – pošalje mejl sa kompromitovanog (ili sličnog) naloga da će biti izmene instrukcija za plaćanje u budućnosti te da će neki od narednih faktura biti pod tim novim brojevima računa….posle nekog vremena šalje nove instrukcije ali javlja da će se primenjivati od sledeće nedelje ili ‘od odmah’ – vi mu odgovarate potvrdno i da nema nikakvih problema. Kasnije dobijate račun sa novim instrukcijama a dobavljač vam javlja da će ovo i sva buduća plaćanja ići preko novog računa.

Sem ovog dela oko promene instrukcija za plaćanje, napadač može dejstvovati i tako što će vama poslati sa imejla vašeg direktora fakturu koju morate hitno da platite. Faktura ima veći iznos i može da glasi na neko ozbiljno ime u koje ne sumnjate – tipa, morate da platite neku licencu Oracle-u, na fakturi piše Oracle sa sve regularnim podacima. Primera radi, procesor licenca za Oracle Database Enterprise je 47.500$ (izvor ovde) i dobili ste imejl od direktora da hitno to platite. U velikom procentu firmi direktor je svetinja bog i batina i ako nešto kaže da se plati odmah – plaća se odmah i to je skroz legitimno…i baš to je nešto na šta napadač računa…i eto, nek vam pošalje da kupite dve procesor licence za Oracle (ili kupuje nova kola ili štatijaznam) – zbogom 100.000$.

Ako ti je od njega stigao mejl da nešto hitno platiš, jebo sve i plaćaj i ne pitaj šta košta

Svi imejlovi koje šaljete kompromitovanom mejlu a da su vezani za ovo kao i imejlovi koje napadač šalje vama – on briše sa mejl naloga i iz Sent, Trash i Inbox foldera – a može čak i postaviti imejl filter da se mejl od-tog-i-tog sa tim-i-tim-sadržajem-ili-brojem-računa automatski markira kao pročitan i briše, tako da regularni korisnik nema pojma šta se dešava. Realno – kad ste poslednji put proveravali imejl filtere?
Vi izvršite plaćanje na način kako je navedeno u kompromitovanom imejlu, on vas još neko vreme kulturiška lera…kad uplata legne i uspe da digne novac na ovaj ili onaj način a obično putem takozvanih finansijskih mula.

Finansijska mula je posrednik između kriminalca i broja računa na kojem je taj novac zarađen putem prevare – a koji za određeni iznos izvrše prenos novca sa računa na račun ili sa računa na ruke kriminalcu. Obično finansijske mule i nemaju ni pojma da su deo lanca prevare jer im se obećaju a obično i isplate pare za nekakav internet posao od kuće i vrbuju se ili siromašni i pošteni ljudi ili neki narkomačići. Kao što kaže Pavle Vujisić: „Čovek ne mora biti glup da bi ga prevarili. Dovoljno je da je iskren, dobar i pošten“.

Sem ovog pristupa napadač može koristiti i slične domene za slanje imejla recimo baš gorepomenutom metodom zamene slova u imejl adresi – a imejlovi će biti poslati uz ophođenjem kakvo ste imali i do sad. Sem samog vašeg dobavljača nešto slično možete dobiti i od svog direktora kome je haknut imejl a koji vam putem imejla traži da izvršite neku uplatu na taj-i-taj broj računa, isto komunicirajući putem imejla kao što je komunicirao i do sad – ako vam je persirao persiraće opet – ako nije neće i dalje, ako se zovete Jelena a on mejl počinjao sa Jeco – i novi imejl će poćinjati sa Jeco.

Ako vam fakture dolaze automatizovano iz nekog programa koji klijent koristi – možete očekivati isti takav mejl ali sa drugom instrukcijom za plaćanje. Originalni mejl će naravno ili biti presretnut ili će napadač promeniti imejl adresu primaoca pa će program slati prave fakture – u crnu rupu.

Antispam ili antivirus neće ništa primetiti jer se ili šalju imejlovi sa regularnog mejl servera koji koristi vaša firma, ili sa regularnog mejl servera koji koristi sličan domen – a pri tom se taj mejl server ne koristi za masovno spamovanje da bi bio markiran kao sumnjiv – već se koristi za targetirani i lagani napad na jednu ili nekoliko mejl adresa.

Kako se odbraniti od Direktorske prevare?

Svaka promena instrukcija za plaćanje je potencionalna opasnost i potencionalna prevara – tako je i tretirajte dok se ne uverite u suprotno. Isto važi i za iznenadna plaćanja sa većim iznosima, kao i fakture koje dobijete poštom sa drugačijim instrukcijama za plaćanje.

Većina firmi radi plaćanja preko programa banke u kojima se memorišu instrukcije za plaćanje, brojevi računa i sve ostalo – i lako je detektovati nove instrukcije.

Ako izuzmemo difolt sistemaške stvari višeg nivoa (firewall i antivirus koji radi u realnom vremenu, non-admin privilegije, dobra zaštita na nivou samog imejl servera i slično) vi ste ti koji morate da pazite šta klikćete i gde, čije USB-ove ubadate u komp (a najbolje ničije), koliko su zajebane lozinke koje koristite za imejl, koristite li dvostepenu autentifikaciju, koristite li istu lozinku na više različitih mesta, sa koje mejl adrese vam stiže mejl, koje attachmente otvarate, kako čuvate lozinke…dakle glavna ideja je da se vi ne zarazite niti da napadač može da priđe vašem kompjuteru ili mejl nalogu – a da je triger za sumnju – svaka promena instrukcija za plaćanja ka inostranstvu il izahtev za plaćanjem dobijen od direktora ka računu koji vam je nepoznat. Za mejl nalog osobe koja se bavi plaćanjima je dvostepena autentifikacija OBAVEZNA, naravno – ukoliko mejl server ima tu mogućnost. Ako se ne snalazite ili ne znate da li to imate kao opciju – pitajte nadležnog IT-jevca u firmi.

Izbacite iz glave to: „Ja se bavim finansijama a to hakovanje mejla i te štreberske stvari – o tome neka brinu ovi naši informatičari u firmi koji su plaćeni za to„. Napadač će skoro nikad napadati stručno lice i skoro uvek nekoga ko nije najbolje informatički pismen a ti informatičari nemaju stoprocentni uvid u vašu mejl komunikaciju (sem ako im nije hobi da čitaju tuđe imejlove). Recimo, meni je lično poznat slučaj kad se jedna direktorka finansija zarazila klikom na neplaćenu fakturu od DHL-a (tekst ovde) koja je bila u atačmentu – iako nikad nije imala ništa sa DHL-om niti je očekivala bilo šta od DHL-a. Atačment je zapravo bio .exe fajl a mejl server koji je tad korišćen je imao skoro pa nikakvu zaštitu i skoro pa nikako konfigurisan. Srećom šteta nije bila nikakva i tad rensomveri nisu bili aktuelni – ali da je hteo, napadač je mogao šta mu srcu milo.

Ako dobijete imejl da neko pokušava da vam hakne imejl i da treba da odete na taj i taj link kako biste potvrdili svoj identitet ili postavili novu lozinku – konsultujte se sa stručnim IT licem pre paničnog klika na link.

Dakle, ako klijent promeni račun, a ta promena je i legitimna radnja – POZOVITE GA STARIM DOBRIM TELEFONOM, najbolje fiksnim ako ima – da sa njim potvrdite glasovno da je došlo do promena instrukcija za plaćanje ili organizujte Skajp video poziv (obavezno video poziv) kako biste videli lice čoveka sa kojim komunicirate – ako je poznato sve je kul. Korišćenje telefona (idealno fiksnog) ili video poziva koristite – jer su možda drugi načini elektronske komunikacije hakovani…a glas i lice je teško hakovati, pokogoto ako su vam isti poznati a i ako ne poznajete mala je šansa da će napadač otkriti svoj fizički izgled kombinovan sa ruskim (-: naglaskom prilikom video poziva.

Ako vam je direktor poslao neku fakturu sa malo većim iznosom a na račun koji vam nije poznat ili ga niste koristili ranije – cimajte ga telefonom da proverite i potvrdite. Naravno – ako je broj računa od ranije poznat – sve je regularno. Ovaj napad se obično koristi za veće iznose, tako da najverovatnije se niko neće baktati vama za 200€ ali svakako pamet u glavu i pazite šta radite.

Napomena…direktorska prevara je prevara za koju znam odavno ali se nisam bavio njom jer sam, priznajem – i sam mislio da se dešava samo drugima i većim&bogatijim firmama – triger koji me je naterao da napišem ovaj tekst jeste gostovanje načelnika odeljenja za visokotehnološki kriminal srpske policije Saše Živanovića u jednoj emisiji na TV-u, gde je čovek otkrio da je ovo najčešće korišćeni vid prevare u Srbiji sa višemilionskim štetama nanetim firmama što me je poprilično iznenadilo.