Компания от сферата на сигурността разкри как мъж, започнал като дребен измамник по сайтове за обяви, е изградил криминална империя за милиони. Той е постигнал сериозни успехи чрез компрометиране на бизнес имейли.

Компанията Agari, която се занимава с киберсигурност, разглежда еволюцията на криминалната схема с име „Scattered Canary”. Всичко започва през ноември 2019-та година, когато главният финансов директор на компанията им е набелязан за жертва. Това дава възможност на работниците да се докоснат до престъплението и да разберат много.

В какво се състои измамата?

„Основното занимание на престъпника е да идентифицира хора, които отговарят за изпращането на пари в дадена компания. След това трябва да разбере за кой трябва да се представи, за да получи пари. Тогава се изпраща имейла и започва играта на нерви.“, казва Крейн Хасолд, директор в Agari.

Понякога вместо социално инженерство, за директно получаване на пари, престъпниците се възползват от традиционни фишинг страници, за да се сдобият с нужната информация да изтеглят парите сами.

Също така, не винаги се таргетират хора на високите нива. Схемата работи и със служители на по-ниско равнище. На тях им се насажда напрежение, изисква се да реагират бързо – заради някакъв краен срок. Тези хора вярват, че правят нещо, което шефът им изисква, и въобще не се замислят. Те просто вършат работата си, поне на пръв поглед.

Друг вариант на схемата е контакт с отделите, които се занимават с човешките ресурси в дадената компания. Подава се информация за смяна на банковата сметка, където даден служител получава заплатата си. Колкото по-добре заплатен е той, толкова по-вероятно е да му отнеме време да забележи, поради наличие на други пари в сметката му. А дори и да забележи, размерът ѝ оправдава усилията дори само за присвояването на една заплата.

Това е перфектната схема, тъй като не изисква да разполагаш с толкова много ресурси – мулета, резервни сметки и прочие. Възможно е да го правиш сам, поне в началото. Често престъпниците просто кандидатстват за кредитна карта онлайн и я използват.

Ето я интересната част:

Агари успява да проследи лидера на групата, който живее в Ибадан, Нигерия. Въпросният не винаги се е стремял към едрите риби по време на своята „кариера“. Стартът му е между 2008 и 2010 година, когато се подвизава в сайта за обяви Craigslist. Занимава се с дребни далавери.

Щом придобива увереност, той се потапя напълно в света на социалното инженерство. Става виртуален любовник. Изгражда връзки с жени по интернет. После ги манипулира за пари. Дали това ще е чрез директен достъп до банковата им сметка, дали ще вземе пенсионните им спестявания или ще поиска ваучери за пазаруване, няма значение. Става толкова добър, че не спира да се занимава с този род измами до 2015.

Следващата крачка

Идва краят на годината и той решава, че може да разшири сферата си на влияние – като се съюзи с други. Запознава се с човек, с който основават гореспоменатата група. От романтични измами се прехвърлят на кражби директно от бизнеса.

Първата им стъпка е да се сдобият с масив от информация за хора, които работят на подходящите позиции. Насочват атаките си към Азия, но бързо включват и Северна Америка в системата – конкретно САЩ.

Научават се как да работят с “domain spoofing”, което увеличава достоверността пред неподозиращите жертви. Комбинацията, от опит в социалното инженерство и технически умения да се представят като определен човек, се оказва достатъчна. Започват да искат услуги, започват да нареждат парични преводи.

Раждането на империята

Работата бързо ескалира и се налага да привлекат още хора, за да се възползват от възможностите – идват нови измамници, мулета, хора за специфични роли. Целите им стават все по-големи и по-големи. В един момент екипът се разраства до 35 души. Изкарват милиони долари, а лидерът вече е истински шеф и не се занимава директно.

Статистиката показва, че атаките чрез компрометиране на бизнес имейли са много и с голяма успеваемост. Някои анализатори сочат, че киберпрестъпниците са успели да отнемат над милиард долара само от компании в САЩ.

“Scattered Canary” е далеч от това да бъде единствената организирана група в бранша. Дори самата компания Agari не разследва такава за първи път. Преди време са работили срещу фишинг банда на име London Blue, за което също можем да ви разкажем някой път.

Колко голям е рискът това да се случи в България?

Темата сякаш ли не е на преден план през бизнеса, институциите и органите на реда. Няма информация за някакви атаки срещу дадена компания, като изключим наистина масовите аматьорски схеми.

В нашата страна има постоянна активност на любовни измамници.

Те използват родни Фейсбук групи, за да намират своите жертви. Най-често се представят за военни от САЩ или Великобритания, които са на мисия в някой отдалечен регион. Пишат на много жени.

Веднага след като се завърже контакт, измамникът го пренасочва към друга платформа – Google Hangouts, WhatsApp и прочие. Прави това, защото Фейсбук често спира профилите за верификация, която разбира се е невъзможна.

Другите платформи нямат подобни мерки за защита на потребителите си.

От там нататък измамата може да се развие по безброй сценарии – да се искат пари за лечение, да се искат пари за подкуп за отпуска, да се искат пари за освобождаване на пратка от любимия.