Nigerijci napadaju kompanije korišćenjem poslovnih e-mail adresa

Istraživački tim IBM-a otkrio je talas napad u kojima su od kompanija sa Fortune 500 liste ukradeni milioni dolara. Napadači koriste tzv. BEC (Business email compromise) prevare u kojima koriste kompromitovane poslovne e-mail adrese kako bi naveli zaposlene da im uplate novac. Prevare ove vrste ne zahtijevaju obimno tehničko znanje, posebne alate i malver, ali i dalje mogu biti profitabilne.

Prvi korak je krađa kredecijala korišćenjem spear-phishing tehnike. Ciljaju se organizacione jedinice koje se bave finansijama kako bi se povećala šansa da kompromitovani nalozi imaju pristup bankarskim računima kompanije. U otkrivenoj kampanji prevaranti su koristili spoof-ovanu login stranicu kompanije koja se bavi digitalnim potpisivanjem dokumenta, DocuSign.

Napadači se fokusiranju na kredencijale za online dostupne e-mail servise koji ne koriste višefaktorsku autentifikaciju. Nakon dobijanja pristupa e-mail nalozima napadači bi čitali e-mail korespondenciju. Cilj je upoznavanje sa politikama koje kompanije koristi prilikom isplate sredstava. Pored toga cilj je i da se pronađu informacije o isporučiocima roba i usluga koje posluju sa kompanijom.

Napadači bi se onda predstavljali kao poznati isporučilac i upotrebom regularnih formulara i procedura zahtijevali da se uplate vrše na „novi“ bankarski račun. U prevari su korišćeni bankarski računi fizičkih lica, ali i fiktivnih kompanije koje su registrovane u Hong Kongu i Kini. Ispostavilo se da je uspješnija strategija korišćenje fiktivnih kompanija, jer finansijske institucije velike i neobične transakcije prema fizičkim licima blokiraju ili odgode.

IP adrese koje su korišćene potiču iz Nigerije, međutim trenutno nije poznato da li su napadači stvarno iz te države ili su korišćeni kompromitovani serveri i proxy mehanizmi.

 

Izvor:helpnetsecurity.com