Широко разпространено е виждането, че ако бизнесът ти не е в сферата на финансовите услуги, телекомуникациите или информационните технологии ( а още повече ако не си голяма фирма), то едва ли ще бъдеш мишена за хакери и кибер престъпници. Т.е. можеш да не се тревожиш за тази съвременна заплаха и да си гледаш бизнеса, както обикновено.
Дали може да се разчита на тази „мъдрост“ и ако не какви са загубите, които можеш да понесеш? Един случай от практиката[1] на застрахователя CFC Underwriting ( водеща компания в предлагането на застраховки срещу кибер рискове) показва нагледно какво се е случило с техен клиент – средна по-големина строителна компания.
Строителните фирми не съхраняват тонове лични данни, нито разчитат на ИТ системи, за да развиват дейността си и затова по традиция техните мениджъри считат, че кибер престъпниците не се интересуват от бизнеса им. Все пак като всеки съвременен бизнес строителните фирми държат данни на своите клиенти и контрагенти, комуникират по имейл и извършват плащанията си през онлайн банкиране.
Какви уязвимости поражда това?
Всеки строителен предприемач работи с множество доставчици и подизпълнители, към които регулярно прави разплащания на извършената работа или доставените материали и оборудване. Тези плащания обикновено са за съществени суми – строителството не е евтино, а и обикновено се разплащат дейности, изпълнявани в продължение на месеци. А това е привлекателна „хапка“ за съвременните крадци, които дебнат да пренасочат значителни суми към своите собствени сметки.
Ето как можеш да станеш жертва на подобен „интерес“ в няколко стъпки.
Първа стъпка: Как да предадете доброволно своите идентификационни данни за вход (logging credentials – потребителско име и парола).
Обикновено хакерът (който може и да е автоматизиран бот, а не конкретен човек) изпраща имейл (т. нар. фишинг/ phishing e-mail), който изглежда като изпратен от познат и достоверен изпращач. В този имейл те молят да впишеш данните си за влизане на страница, която изглежда като нормална, но всъщност е копие и е фалшива.
В случая, ръководителят на един от строителните обекти получава имейл, който се представя като комуникация от Microsoft и го призовава да направи актуализация (update) на своя Office 365 пакет, като верифицира данните си за вход (logging). След като последвал приложения линк, той въвел имейла и паролата си за достъп до своя акаунт. Така доброволно ги предоставил на хакера.
Втора стъпка: Хакерът следи кореспонденцията от разстояние и чака подходящата голяма сума за „прихващане“
Тъй като строителната компания не изисквала дву-факторна идентификация на своите служители при вход в ИТ системата й, хакерът вече разполагал с всичко необходимо, за да влиза отдалечено в акаунта на проектния ръководител и да наблюдава кореспонденцията му. Както може да се очаква, част от нея била свързана с получаване на фактури за плащане на доставени материали и завършени строителни работи по текущите обекти. Не след дълго той получил имейл от един от подизпълнителите им – доставчик на метални конструкции с прикачена фактура за $93 000. Подходяща сума за атака на хакера.
Трета стъпка: Механизъм на подмяната
Какво прави хакерът. Първо влиза в настройките на служебната поща на проектния ръководител и създава ново правило са разпределяне на имейл кореспонденцията му. Това правило предвижда всеки имейл, който идва от оригиналния домейн на подизпълнителя (изпратил фактурата), веднага да бъде маркиран като прочетен и изпратен в папката „кошче“ с изтритите имейли. Така истинските имейли, идващи от подизпълнителя, са разчистени от пощата на „жертвата“ и той не ги вижда.
Следващата задача е да бъде създадена фалшива кореспонденция с подизпълнителя. Това става на няколко стъпки. Първо хакерът създава фалшив имейл, който на пръв поглед не се различава от имейл адреса на подизпълнителя. Обикновено разликата е само в един знак, което трудно би направило впечатление. Например, ако оригиналния имейл адрес е бил ivan.petrov@ XYZfabrication.bg, то фалшивият може да бъде ivan.petrov@XYZfabication.bg. След това изпраща нов имейл (но от новосъздадени фалшив адрес), в който подизпълнителят се извинява, че в изпратената по-рано фактура е посочил банкова сметка, с която вече не работят. За повече достоверност новият фалшив имейл е създаден като последващ на предишната действителна кореспонденция, а новата фактура изглежда точно както оригиналната – лого, структура, шрифтове и всичко останало е същото, с изключение на сменената банкова сметка.
Четвърта стъпка: Пропускане на възможността измамата да не проработи
Разбираемо е, че проектният ръководител не се е усъмнил, че е обект на измама – кореспонденцията идва от познат имейл на доставчик и то във верига от имейли, които вече е отворил. Фактурата е в познатия формат и образец, искането не е необичайно и в крайна сметка да получава и оторизира плащания е неговата ежедневна работа. Така, че той препраща искането за смяна на банковата сметка към счетоводния отдел. И тук тази измама е можело да бъде осуетена. Според вътрешните правила в строителната компания, всяко искане за промяна на банковите сметки на техните контрагенти се потвърждава с обаждане по телефона до съответната фирма. За съжаление тази процедура в случая не е била спазена от служителя в счетоводството и той директно е пристъпил към актуализиране на банковите детайли на подизпълнителя и нареждане на превода по чуждата банкова сметка.
Разкриването
Няколко седмици по-късно управителят на фирмата подизпълнител се обажда да провери статуса на изпратената фактура. Едва тогава става ясно, че парите са изпратени по сметка, която не е посочена от доставчика и той не е получил трансфера. За съжаление се налага строителната фирма да му плати отново.
Никой не е застрахован от такива измами, освен ако не се е застраховал сам!
Този реален и доста типичен казус е застрахователно събитие само поради факта, че строителната фирма е имала сключена застраховка срещу кибер рискове. Тя предявява иск към застрахователя и възстановява напълно загубите си. В противен случай е щяла да „пие една студена вода“, защото доброволно е наредила плащане по банковата сметка на измамниците.
Застрахователната компания, която е платила обезщетението по този случай обръща внимание на следните важни изводи от него:
- Колко лесно и незабелязано могат да се вмъкнат злонамерени лица в ИТ системите ви, ако не са налице нужните мерки за кибер сигурност (двуфакторна идентификация).
- Колко голяма е ролята на „човешкия фактор“ в кибер събитията. Много компании имат добри правила и процедури „на хартия“, но дали те ежедневно се спазват и изпълняват е въпрос, чийто отговор може да се разбере по неприятен начин. Редица компании разчитат на своите процедури и специализирани продукти за кибер сигурност да ги защитят от неправомерен достъп на хакери, пренебрегвайки факта, че най-лесният начин за пробив е небрежното поведение на служители, които вече имат оторизиран достъп до ИТ системите.
- Всички съвременни бизнеси са изложени на кибер заплахи, дори тези, чиято основна дейност е off-line, както е при строителството, защото в днешно време всички използваме имейл за бизнес кореспонденция и комуникация и правим трансфери на пари през електронни системи.
Защо има смисъл да се търси застраховка за кибер рискове след като защитата от кибер измами и престъпления може да се осигури чрез технически решения, обучения на персонала и стриктни процедури?
Защото застраховката осигурява на компанията средства за възстановяване на щетите, ако или след като предишните няколко нива на защита са били „пробити“.
На българския пазар застраховките срещу кибер рисковe все още не са популярни и единични компании имат специализирани продукти и експертиза за сключването и обслужването им (една от тях е Colonnade). Ако имате нужда от повече информация за този вид застраховане, попитайте ме на tanya.boeva@train-you.com или през LinkedIn профила ми.
[1] Случаят е преразказан по case study “Subcontractor scam”, CFC Underwriting
Last modified: 13/03/2025
