Исследователь сдает BEC-мошенников полиции

Директор сингапурского офиса SEC Consult Флориан Лукавский прославился тем, что осуществил атаку на кибермошенников, послав им вредоносный документ Word. Таким образом он смог заполучить идентификационные данные об используемых преступниками лицензиях Windows 10 и отправить эту информацию следствию.

Хакеры, которых настигла расплата, специализируются на отдельном виде BEC-мошенничества. Злоумышленники используют технику социнженерии, притворяясь главой компании и оказывая давление на подчиненных, в частности бухгалтеров и финансистов. Имитируя манеру общения руководителя, мошенники сообщают о срочном переводе и убеждают перевести крупные суммы денег на подставные реквизиты.

Опытные преступники нередко добиваются своего: по данным ФБР, подобные инциденты привели к убыткам в размере около $2,2 млрд. За семь месяцев (до мая текущего года) зарегистрировано 14 тыс. попыток применения техники. В результате атак пострадали даже крупные компании, в том числе Mattel ($3 млн убытков), Ubiquiti ($46,7 млн) и бельгийский банк Crelan ($78 млн). Среди жертв мошенников также корпорации Accenture, Chanel, Hugo Boss, HSBC и другие. Mattel по счастливой случайности смогла вернуть убыток полностью, а Ubiquiti — только $9 млн. Вообще вернуть похищенные обманом деньги получается очень редко.

Как сообщил Лукавский, он использовал социнженерию, чтобы внедрить вредоносное ПО на компьютеры злоумышленников и получить данные об их учетных записях в Microsoft. Как поведал эксперт, мошенники связались с отделом одной международной корпорации и от имени CEO потребовали срочно перевести крупную сумму денег на подставные счета; через пару часов, когда выяснилось, что компания стала целью мошенников, Лукавский совместно с правоохранительными органами решил сам обмануть киберпреступников.

«Мы послали им инфицированный PDF-документ под видом подтверждения банковского перевода. Открыв его, злоумышленники впустили в систему нашего зловреда, и мы смогли узнать их Twitter-аккаунты, логины и другую идентификационную информацию — например, учетную запись в Windows 10 и хеши, по умолчанию привязанные к Outlook», — рассказывает Лукавский.

Подобные сведения, переданные Лукавским в полицию, в прошлом году позволили арестовать мошенников в Африке.

По словам исследователя, его вдохновила история хакера, отомстившего за кибератаку на его родителей. Тот обманом убедил мошенника заразить собственный компьютер вымогателем Locky. Кроме того, один из друзей Лукавского также атаковал BEC-мошенников и получил сведения о подставных счетах, позже заблокированных по требованию правоохранителей.