Svešinieks e-pasta kastītē jeb iejaukšanās biznesa sarakstē
Pēc pēdējos mēnešos saņemto ziņojumu apjoma CERT.LV nākas secināt, ka pieaug krāpnieku aktivitāte, kuras rezultātā uzņēmumi saņem un apmaksā viltotus rēķinus, ciešot zaudējumus desmitiem tūkstošu eiro apmērā. Šos incidentus sauc par iejaukšanos biznesa sarakstē (Business E-mail Compromize, BEC).
Kā izpaužas iejaukšanās biznesa sarakstē?
Uzņēmums vēlas iegādāties kādu preci vai pakalpojumu. Pirms iegādes notiek e-pasta sarakste ar jau esošo vai topošo sadarbības partneri par specifikāciju un iegādes nosacījumiem. Kad vienošanās ir panākta, pircējs saņem rēķinu ar piebildi, ka rēķinā norādīts cits bankas konts nekā sākotnējā piegādātāja informācijā, jo ir veikta bankas maiņa vai notikusi kāda neparedzēta ķibele un tādēļ maksājumu jāveic uz šo jauno kontu. Atsevišķos gadījumos sākotnēji tiek saņemts rēķins ar oriģinālajiem rekvizītiem, bet tam seko nākamais rēķins ar mainītiem rekvizītiem, atvainošanos par it kā sagādātajām neērtībām un augstāk minētajiem skaidrojumiem par konta maiņas nepieciešamību.
Ja uzņēmums nav iepriekš atrunājis ar sadarbības partneri, kā veicama paziņošana par konta maiņu vai citām būtiskām izmaiņām, kā arī uzņēmumam nav iekšējas procedūras, kā veicama šāda pieprasījuma pārbaude, krāpnieku kontā nonāk avansa maksājums vai pat pilna preces vai pakalpojuma apmaksa. Pasūtītājs saņem “Paldies!” par apmaksu un gaida piegādi, bet piegādātājs ir neizpratnē, kādēļ pasūtītājs kavējas ar rēķina apmaksu, līdz izdodas noskaidrot, ka krāpnieki ir sekojuši līdzi sarakstei un atbilstošajā brīdī pārtvēruši piegādātāja sūtīto rēķinu, to pārveidojuši, nomainot konta informāciju, un aizsūtījuši apmaksai pasūtītājam.
CERT.LV pieredze rāda, ka īpašu piesardzību jāievēro gadījumos, ja darījums notiek ar ārvalstu partneri, jo krāpnieki noteikti komfortablāk jutīsies, pārņemot angļu valodā notiekošu saraksti, nekā, piemēram, latviešu valodā notiekošu e-pastu apmaiņu. Šādā sarakstē valodas nepilnību būs mazāk un tās būs grūtāk pamanāmas, kā arī bankas kontu maiņa var nebūt tik uzkrītoša, piemēram, no bankas Ķīnā uz banku Korejā, pretēji tam, ka Latvijas Swedbank konts tiek aizstāts ar kontu Nigērijā, Ukrainā vai Apvienotajā Karalistē.
Kā uzbrucēji to paveic?
Lai veiksmīgi realizētu šādu uzbrukumu, uzbrucēji sākumā iegūst piekļuvi uzņēmuma vai kāda tā sadarbības partnera e-pasta kastītei. To var paveikt, piemēram, nosūtot atbilstoši sagatavotu krāpniecisku (pikšķerēšanas) e-pastu ar saiti uz kādu šķietami leģitīmu viltus vietni, kurā aicina ievadīt e-pasta piekļuves datus (lietotājvārdu un paroli) vai pievienojot e-pastam dokumentu, kas satur vīrusu datora inficēšanai un paroļu zagšanai. Uzbrucēju “medusmaize” gan ir un paliks vājas un nedrošas paroles, ko spītīgi turpina izmantot uzņēmumu darbinieki.
Kad uzbrucēji ir iekļuvuši e-pasta kastītē, tie izveido papildu filtru, kas visu ienākošo e-pastu kopijas nosūta arī uz krāpnieku e-pasta kastīti, lai informētu krāpniekus par uzņēmumā notiekošo. Kad šajos e-pastos parādās atslēgvārdi par rēķiniem un apmaksu, uzbrucēji maina filtru nosacījumus, norādot, ka vēlas saņemt e-pastu kopijas, bet e-pastu oriģinālus dzēst, tādējādi nodrošinot, ka līdz e-pasta saņēmējam nenonāk rēķina oriģināls, bet gan tikai krāpnieku izveidots rēķina pakaļdarinājums ar tajā iekļautu krāpnieku bankas kontu.
Ja krāpnieki ir iekļuvuši tā uzņēmuma e-pasta kastītē, kurš rēķinu izraksta, tad rēķins izsūtīšanu apturēt nevar, bet var iegūt rēķina kopiju, lai to izmainītu un pēc brīža “vēlreiz” nosūtītu pasūtītājam, ar lūgumu veikt apmaksu, izmantojot “jaunos” rekvizītus.
Sarakstes pārņemšanai un viltus rēķinu nosūtīšanai krāpnieki izveido un izmanto e-pasta kastīti ar domēnu, kas ir ļoti līdzīgs oriģinālo e-pastu sūtītāja adresei, piemēram, jānis@burka.lv vietā ir jānis@burrka.lv, jānis@burka.lt vai jānis@burka.info. Tā kā viltotajos e-pastos tiek iekopēta arī visa iepriekšējā sarakste, tad, katru reizi nepārbaudot e-pasta sūtītāju, saņēmējs bieži vien nepamana, ka kaut kas ir mainījies. Atšķirību sūtītāja e-pasta adresē īpaši grūti pamanīt, ja e-pasts tiek aplūkots mobilajā ierīcē, jo tur bieži vien tiek parādīts tikai sūtītāja norādītais vārds (tas var būt jebkas), un nevis e-pasta adrese (to var redzēt, tikai aplūkojot izvērstāku e-pasta informāciju).
Ko darīt, ja saņemts viltots rēķins?
Ja saņemtais viltus rēķins ir apmaksāts, aicinām nekavējoties informēt savu banku un vērsties ar iesniegumu policijā (tieši šādā secībā!), pēcāk turpinot ar situācijas izpēti un notikušā analīzi.
Pēc pirmā konstatētā krāpniecības gadījuma par notikušo uzreiz jāinformē arī visi sadarbības partneri.
Notikušā analīze un drošības pasākumi:
- Jāsāk ar datora pārbaudi, izmantojot antivīrusa programmatūru, lai noteiktu, vai dators nav inficēts ar vīrusu, kas ievāc informāciju par lietotāja parolēm. Pirms tālāko darbību veikšanas jāatbrīvo dators no infekcijas, ja tāda ir konstatēta, lai uzbrucēji neiegūtu arī jaunās paroles.
- Jāveic e-pasta kastītes pārbaude, lai noskaidrotu, vai ir uzstādīti papildu filtri. Filtri ir lietotāja izveidoti papildu nosacījumi e-pasta kastītei, kas var atlasīt e-pastus pēc noteiktām pazīmēm, piemēram, sūtītāja vai e-pasta tēmas, un veikt ar šiem e-pastiem lietotāja norādītās darbības, piemēram, ievietot noteiktā e-pasta mapītē, pārsūtīt tālāk vai dzēst. Filtrus parasti var uzstādīt un aplūkot, ja pieslēdzas e-pastam, izmantojot interneta pārlūku (webmail), un iestatījumu (settings) sadaļā meklē “filtri”. Pārlūkojot uzstādīto filtru sarakstu, jāmeklē filtri, kurus neesat uzstādījuši paši un kuri paredz tādas darbības ar e-pastiem, kas ir pretrunā kompānijas IT drošības politikai un interesēm, piemēram, pārsūtīšanu uz ārēju trešo pušu e-pasta kastīti. Jāuzsver, ka šādi filtri noteikti var būt vairāki.
Aicinām šos svešos filtrus saglabāt kā ekrāna attēlu (screenshot) vai kopiju teksta veidā, lai varētu operatīvi sniegt informāciju policijai par uzbrukumā iesaistītajām e-pasta adresēm, un pēc informācijas saglabāšanas šos filtrus izdzēst.
Ja jūsu e-pasta kastītē šādi filtri netiek atrasti, tad, ļoti iespējams, ka uzlauzta ir jūsu sadarbības partnera e-pasta kastīte un filtri ir uzstādīti tur. Šādā gadījumā jāinformē sadarbības partneris. - Pēc filtru pārbaudes un dzēšanas jāveic e-pasta paroles nomaiņa. Jaunā parole jāveido, izmantojot drošas paroles veidošanas principus:
- parolei jābūt garai (vismaz 14 simboli),
- lai to vieglāk varētu atcerēties, var izmantot paroļu frāzi, kura papildināta ar skaitļiem un specsimboliem (piemēram, 1-maza-Turku-pupa-Dikti-klupa!!!) vai paroļu pārvaldnieku (programmatūru, kas veido un uzglabā paroles),
- parolei jābūt unikālai, tā nevar būt izmantota vēl kaut kur citur.
- Ja tas līdz šim nav bijis izdarīts, jāuzstāda e-pasta papildu aizsardzība jeb divu faktoru autentifikācija. Tā ļaus pasargāt e-pastu no nelūgtiem viesiem, pat ja uzbrucēji būs nozaguši vai izvilinājuši jūsu e-pasta paroli, jo otrais faktors paredz papildu pārbaudi, piemēram, prasot arī īsziņā atsūtītu vai speciālas lietotnes ģenerētu kodu.
- Jābrīdina klienti un sadarbības partneri par notikušo. Jāņem vērā, ka uzbrucēji ir ieguvuši uzņēmuma kontaktu sarakstu, kā arī sarakstes un dokumentu paraugus, kurus var mēģināt izmantot vēlāk, izliekoties par uzņēmumu un uzrunājot partnerus no viltota e-pasta ar viltotiem piedāvājumiem.
- Veikt darbinieku apmācību par drošu paroļu izmantošanu un krāpniecisku pikšķerēšanas e-pastu atpazīšanu, lai novērstu e-pasta piekļuves datu izmānīšanu no darbiniekiem nākotnē.
- Pilnveidot uzņēmuma iekšējās procedūras klientu un sadarbības partneru informācijas pārbaudei, piemēram, nosakot, ka lūgums mainīt bankas kontu tiek pārbaudīts ar telefona zvanu, piezvanot uz zināmu un pārbaudītu partnera telefona numuru (nevis uz to, kas norādīts potenciāli krāpnieciskajā e-pastā). Papildu drošībai iesakāms izmantot elektroniski parakstītus dokumentus.
Arī tad, ja sadarbība notiek ar Āzijas valstīm, kur bieža banku maiņa ir ierasta prakse, aicinām tomēr turpināt pārjautāt, vai kārtējā konta maiņa ir leģitīma, vai sarakstē šoreiz iejaukušies krāpnieki. Modrības zaudēšana var dārgi maksāt.
E-pasta filtru pārbaudes, paroļu nomaiņa un divu faktoru uzstādīšana ir jāveic visiem darbiniekiem.
Ja uzņēmums uztur pats savu e-pasta serveri vai ir atbilstošs līgums ar e-pasta pakalpojuma sniedzēju, visu darbinieku e-pasta paroļu nomaiņu un divu faktoru autentifikācijas uzstādīšanu iespējams veikt centralizēti.