Специализирующая на сетевой безопасности американская фирма Secureworks выявила группу нигерийских хакеров, которая сфокусирована исключительно на морской отрасли. Эта группа, известная под именем «Gold Galleon», использует базовые приемы e-mail мошенничества и общедоступное программное обеспечение для взлома с целью кражи сотен тысяч долларов у ничего не подозревающих судовых операторов и поставщиков судовых услуг.

Нигерийские киберпираты

По данным Secureworks в Gold Galleon входит около 20 человек, которые сообща работают над проникновением в IT-системы морских фирм по всему миру с применением базовых техник. Они арендуют инструменты для взлома всего лишь за несколько долларов в месяц; они общаются между собой через Skype; и они находят своих будущих жертв с помощью Интернет-каталогов компаний, а также доступных баз деловых контактов. И хотя эта преступная группа пользуется прокси-серверами, чтобы скрыть свое местонахождение, ряд моментов свидетельствует о том, что она имеет нигерийское происхождение, говорится в докладе Secureworks. В частности, группа общается на нигерийско-креольском языке (нигерийский пиджин) и в своих паролях и псевдонимах пользуется словами и фразами, связанными с нигерийской организацией «Buccaneeers Confraternity».

Простые методы

Как только группа находит новую мишень, она направляет в ее адрес тщательно составленное фишинговое электронное письмо, к которому прикреплено вложение с вредоносным программным обеспечением. Это ПО устанавливается на компьютере ничего не подозревающей жертвы и регистрирует все нажатия клавиш, записывая имя пользователя и пароль учетной записи. Как только необходимые учетные данные получены, группа использует ПО для составления списка адресов электронной почты, с которыми жертва ведет общение, и начинает перехватывать деловую переписку этого пользователя с его клиентами. Многие морские фирмы используют электронную почту для выставления счетов и обмена данными об оплате. Как только Gold Galleon видит детали инвойса в скомпрометированном аккаунте электронной почты, хакеры перехватывают инвойс и изменяют его содержание, чтобы направить деньги на собственный транзитный банковский счет, после чего отправляют исходному получателю измененный запрос, используя ящик электронной почты со схожим названием. Часто покупатель услуг не замечает внесенных изменений и просто платит по мошенническому счету.

Кто пострадал

По данным Secureworks эта хакерская группа смогла похитить учетные записи электронной почты у восьми сотрудников южнокорейской судоходной компании, включая бухгалтера. Gold Galleon отслеживал финансовые трансакции компании, чтобы ознакомиться с ее циклами платежей и клиентами. Затем, когда компания инициировала платеж на сумму 50 тыс. долл. США для наличной выплаты экипажу одного из судов, нигерийские хакеры выдали себя за получателя и попросили перечислить деньги «пока что на вспомогательный счет» из-за неназванных проблем с банком. Благодаря бдительности экспертов Secureworks, которые проследили этот перевод и затем уведомили южнокорейскую фирму о взломе, две следующие попытки нигерийских хакеров украсть у нее деньги на сумму 234 тыс. долл. США и 325 тыс. долл. США закончились неудачно.

Превентивные меры

При этом Secureworks предупреждает, что небольшие судоходные фирмы могут быть наиболее подвержены этому риску, так как группы наподобие Gold Galleon фокусируются на целях, наиболее уязвимых перед простым взломом – в данном случае перед базовой техникой «скомпрометированной деловой переписки» (BEC). В связи с этим компания рекомендует в качестве ключевого шага для повышения безопасности применять двухфакторную аутентификацию деловой и персональной электронной переписки, так как в большинстве случаев техника BEC предусматривает использование веб-интерфейса электронной почты. Двухфакторная аутентификация является известным инструментом верификации, который предполагает, что законный пользователь кроме пароля имеет при себе объект, который может быть только у него (смартфон или магнитная карточка). В случае примитивного взлома преодолеть двухуровневую аутентификацию практически невозможно, однако этот инструмент редко используется малыми и средними предприятиями.

Источник: http://www.transportweekly.com/pages/ru/news/articles/142075/