Индийская компания-поставщик инженерного оборудования для индийских горнодобывающих компаний, а также фирм в сфере строительства и производства, стала жертвой кибератаки типа “человек посередине” (Man-in-The-Middle, MiTM). В результате атаки фирма потеряла более €24 000.
По данным полиции города Пуна, где базировалась компания-жертва, киберпреступники заменили одну букву в адресе электронной почты менеджера по продажам французской компании, с которой индийская фирма сотрудничала. Инцидент произошел в начале этого года, и полиция проводит тщательное расследование, чтобы установить масштаб инцидента.
Как все произошло
Согласно расследованию полиции, предполагаемая атака длилась с января по март 2023 года. По данным следствия, компания из Пуны разместила заказ на сумму более €51 000 у крупного французского инженерного предприятия в январе. Заказ был отправлен на электронный адрес менеджера по продажам французской компании, с которым фирма из Пуны поддерживала долгосрочные деловые отношения.
Через несколько дней индийская фирма получила электронное письмо, в котором говорилось, что банковский счет и код SWIFT французской компании недоступны. В письме было указано, что фирма должна произвести оплату на новый счет в банке Лиссабона.
Доверяя этому сообщению и не подозревая обмана, руководители индийской фирмы перевели авансовый платеж в размере €24 589 на мошеннический счет в банке Лиссабона. Через несколько недель сотрудники фирмы спросили о статусе отправки оборудования, а французская сторона сообщила им, что все еще ждет оплаты. Это вызвало подозрения, и компания решила внимательно изучить предыдущую переписку.
Было обнаружено, что электронное письмо с информацией об изменении банковских реквизитов было отправлено с поддельного адреса, который отличался от настоящего всего на одну букву – “a” вместо “e”. Осознав мошенничество, индийская компания обратилась в полицию города Пуна с официальной жалобой.
Как действовали киберпреступники
Следователи из полиции города Пуна рассказали о способе действия MiTM-атак. Преступники сначала взламывают учетные записи электронной почты субъектов, участвующих в деловых сделках.
Затем хакеры тщательно изучают текущие сделки и заказы, и создают электронный адрес, который очень похож на один из адресов участников сделки. С помощью этой вводящей в заблуждение учетной записи электронной почты хакеры завоевывают доверие целевых организаций, используя информацию, которую они собрали ранее.
Как защититься от кибератак
Власти подчеркнули важность принятия надежных мер кибербезопасности, чтобы не стать жертвой таких мошеннических действий. ИБ-специалисты рекомендуют следующие меры кибергигиены:
- Регулярно проверяйте функции безопасности адресов электронной почты и почтовых систем.
- Добавляйте цифровые подписи к сообщениям электронной почты для проверки;
- Проведите базовое обучение сотрудников по кибербезопасности, чтобы повысить осведомленность о потенциальных шенничествах и рисках;
- Всегда подтверждайте любые изменения в банковских реквизитах посредством прямой или телефонной связи с уполномоченным персоналом;
- Проверяйте подлинность доменных имен при работе с бизнес-объектами через адреса электронной почты;
- В случае подозрения на мошенничество немедленно свяжитесь с IT-отделом, желательно в течение 48 часов.
Текущее расследование
Полиция города Пуна заверила пострадавшую фирму и бизнес-сообщество в целом, что проводится тщательное расследование, чтобы найти виновных в этой кибератаке. Этот случай служит напоминанием для всех предприятий о необходимости сохранять бдительность и принимать активные меры для защиты от киберугроз.
По мере продолжения расследования власти надеются повысить осведомленность о кибербезопасности и побудить предприятия принимать упреждающие меры для защиты от подобных вредоносных атак в будущем.
Ранее мы писали, что неверный ввод доменного суффикса привел к тому, что миллионы электронных писем американских военных были отправлены на домен Мали (.ml) вместо правильного суффикса .mil. Несмотря на то, что большая часть этих писем является спамом и не содержит секретной информации, некоторые из них включают в себя чувствительные данные, включая медицинские отчеты, информацию о личности, списки экипажей и персонала баз, отчеты о военно-морских инспекциях и другие данные.