Кибермошенники ловко обчистили государственный фонд на $10 млн
Сложная и продолжительная кибероперация, подготовка к которой заняла несколько месяцев, привела к потере норвежским инвестиционным фондом Norfund $10 млн, которые вместо Камбоджи ушли в Мексику. Хакеры несколько месяцев провели в сетях организации, выжидая удобного случая для перевода средств.
Если сесть на берегу реки…
Кибермошенники смогли угнать около $10 млн из государственного инвестиционного фонда в Норвегии. Злоумышленники с успехом применили довольно традиционную BEC-схему (Business Email Compromise — компрометация деловой переписки) и приняли меры, чтобы предотвратить обнаружение инцидента в течение продолжительного времени.
Как выяснилось в ходе расследования, мошенники смогли получить доступ к почтовой системе, которая позволила им отслеживать переписку между работниками инвестиционного фонда Norfund и его зарубежными партнерами. Это позволило им также выяснить, кто в фонде распоряжается переводом средств.
По словам исполнительного директора Norfund Теллефа Торлейфссона (Tellef Thorleifsson), злоумышленники мониторили внутреннюю и внешнюю переписку сотрудников фонда в буквальном смысле на протяжении нескольких месяцев.
Перейдя к активной фазе, злоумышленники создали новый почтовый адрес внутри систем Norfund, чтобы рассылать сообщения от имени лица, уполномоченного на перевод крупных сумм денег через банк DNB, с которым сотрудничает фонд.
В итоге им удалось фальсифицировать платежную информацию и перенаправить огромную сумму денег на счет в совершенно другой стране, нежели та, в которой проживал легитимный заемщик средств. $10 млн, предназначавшиеся микрофинансовой организации в Камбодже, ушли в Мексику.
Коронавирусный фактор
Поддельная платежная информация оказалась достаточно убедительной, чтобы подозрения возникли не сразу. Чтобы нелегальная транзакция вскрылась только тогда, когда ее уже невозможно было откатить назад, получателям в Камбодже было отправлено письмо, в котором говорилось, что из-за ситуации с коронавирусом платеж будет задерживаться.
Перевод средств состоялся 16 марта 2020 г., и только 30 апреля выяснилось, что деньги ушли не туда, куда нужно, — и то лишь по неосторожности злоумышленников, решивших повторить «подвиг». На сей раз мошенничество было обнаружено и пресечено.
В инвестфонде признали, что атака была произведена чрезвычайно умело, и что все процедуры и средства защиты систем оказались недостаточными. Руководство организации обещает это исправить. Но возместить 10-миллионную потерю уже не удастся.
«BEC-мошенничество в заголовки попадает нередко; как правило — после того, как жертвам нанесен весьма ощутимый финансовый урон, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Каждая такая история, впрочем, — серьезный повод для любой крупной организации задуматься, не ведется ли уже в ее сетях разведка с прицелом на аналогичную атаку, и что сделано для того, чтобы усилия мошенников не увенчались успехом».