Pēdējo mēnešu laikā pēc saņemto ziņojuma apjoma Informācijas tehnoloģiju drošības incidentu novēršanas institūcija (CERT.LV) secinājusi, ka pieaug krāpnieku aktivitāte, kuras rezultātā uzņēmumi saņem un apmaksā viltotus rēķinus. Turklāt zaudējumi mērāmi desmitiem tūkstošu eiro apmērā.
Incidentos, kas tiek saukti par iejaukšanos biznesa sarakstē (Business E-mail Compromize/BEC), krāpnieki izmanto uzņēmumu ieceri iegādāties kādu preci vai pakalpojumu. Pirms iegādes notiek e-pasta sarakste ar esošo vai topošo sadarbības partneri par iegādes nosacījumiem. Kad vienošanās panākta, pircējs saņem rēķinu ar piebildi, ka tajā norādīts cits bankas konts nekā sākotnējā piegādātāja informācijā, jo veikta bankas maiņa vai notikusi kāda neparedzēta kļūda, tādēļ maksājums jāveic uz jauno kontu.
CERT.LV skaidro, ka atsevišķos gadījumos sākotnēji tiek saņemts rēķins arī ar oriģinālajiem rekvizītiem, bet tam seko jau nākamais rēķins ar mainītiem rekvizītiem un atvainošanos par it kā sagādātajām neērtībām un augstāk minētajiem skaidrojumiem par konta maiņas nepieciešamību.
Īpaša piesardzība jāievēro, ja darījums notiek ar ārvalstu partneri, jo krāpnieki noteikti ērtāk jutīsies, pārņemot angļu valodā notiekošu saraksti, nekā, piemēram, latviešu valodā. Šādā saziņā valodas nepilnību būs mazāk, tās būs grūtāk pamanāmas, kā arī bankas kontu maiņa nebūs tik uzkrītoša, piemēram, no bankas Ķīnā uz banku Korejā, pretēji tam, ka Latvijas Swedbank konts tiek aizstāts ar kontu Nigērijā, Ukrainā vai Apvienotajā Karalistē.
Lai veiksmīgi realizētu uzbrukumu, ļaundari iegūst piekļuvi uzņēmuma vai kāda tā sadarbības partnera e-pasta kastītei. To var paveikt, piemēram, nosūtot krāpniecisku e-pastu ar saiti uz šķietami leģitīmu viltus vietni, tajā aicinot ievadīt e-pasta piekļuves datus – lietotājvārdu un paroli, vai pievienojot e-pastam dokumentu, kas satur vīrusu datora inficēšanai un paroļu zagšanai. Tomēr uzbrucējiem pateicīgākās joprojām ir vājas un nedrošas paroles.
Kad ļaundari veiksmīgi iekļuvuši e-pastā, tie izveido papildu filtru, kas visu ienākošo e-pastu kopijas nosūta arī uz krāpnieku e-pasta kastīti, lai informētu par uzņēmumā notiekošo. Kad e-pastos parādās atslēgvārdi par rēķiniem un apmaksu, uzbrucēji maina filtru nosacījumus, norādot, ka vēlas saņemt e-pastu kopijas, bet e-pastu oriģinālus dzēst, tādējādi nodrošinot, ka līdz e-pasta saņēmējam nonāk nevis rēķina oriģināls, bet gan tikai krāpnieku izveidots rēķina pakaļdarinājums ar tajā norādītu ļaundaru bankas kontu.
Savukārt, ja krāpnieki iekļuvuši uzņēmuma e-pasta kastītē, kurš rēķinu izraksta, tad tā izsūtīšanu apturēt nevar, bet var iegūt rēķina kopiju, lai to izmainītu un pēc brīža it kā vēlreiz nosūtītu pasūtītājam, ar lūgumu veikt apmaksu, izmantojot “jaunos” rekvizītus.
Sarakstes pārņemšanai un viltus rēķinu nosūtīšanai krāpnieki izveido un izmanto e-pasta kastīti ar domēnu, kas ir ļoti līdzīgs oriģinālo e-pastu sūtītāja adresei, piemēram, jānis@burka.lv vietā ir jānis@burrka.lv, jānis@burka.lt vai jānis@burka.info.
Lai konstatētu izbrukumu un veiktu notikušā analīzi, kā arī drošības pasākumus, CERT.LV skaidro – jāveic datora pārbaude, izmantojot antivīrusa programmatūru, lai noteiktu, vai dators nav inficēts ar vīrusu, kas ievāc informāciju par lietotāja parolēm. Ja dators ir inficēts, tas pirms tālāku darbību veikšanas no infekcijas jāatbrīvo, lai uzbrucēji neiegūtu arī jaunās paroles.
Pēc tam jāveic e-pasta kastītes pārbaude, lai noskaidrotu, vai ir uzstādīti papildu filtri, kas ir lietotāja izveidoti papildu nosacījumi e-pasta kastītei. Tie var atlasīt e-pastus pēc noteiktām pazīmēm, piemēram, sūtītāja vai e-pasta tēmas, kā arī veikt ar šiem e-pastiem lietotāja norādītās darbības – ievietot noteiktā e-pasta mapē, pārsūtīt tālāk vai dzēst. Filtrus var uzstādīt un aplūkot, ja pieslēdzas e-pastam, izmantojot interneta pārlūku (webmail), un iestatījumu (settings) sadaļā meklē “filtri”.
Pārlūkojot uzstādīto filtru sarakstu, jāmeklē filtri, kurus neesat uzstādījuši paši un kuri paredz tādas darbības ar e-pastiem, kas ir pretrunā ar kompānijas IT drošības politiku un interesēm, piemēram, pārsūtīšanu uz ārēju trešo pušu e-pasta kastīti. Jāuzsver, ka šādi filtri var būt vairāki.
CERT.LV aicina svešos filtrus saglabāt svešos filtrus saglabāt kā ekrāna attēlu (screenshot) vai kopiju teksta veidā, lai varētu operatīvi sniegt informāciju policijai par uzbrukumā iesaistītajām e-pasta adresēm, un pēc informācijas saglabāšanas šos filtrus izdzēst.
Savukārt, ja e-pasta kastītē šādu filtru nav, tad, iespējams, uzlauzta ir uzņēmuma partnera e-pasts un filtri uzstādīti tur. Šādā gadījumā jāinformē sadarbības partneri.
Pēc filtru pārbaudes un dzēšanas jāveic e-pasta paroles nomaiņa. Jaunā parole jāveido, izmantojot drošas paroles veidošanas principus. Tai, pirmkārt, jābūt garai – vismaz 14 simboliem. Lai to vieglāk atcerētos, var izmantot paroļu frāzi, kura papildināta ar skaitļiem un specsimboliem, piemēram, 1-maza-Turku-pupa-Dikti-klupa!!!. Var izmantot arī paroļu pārvaldnieku jeb programmatūru, kas veido un uzglabā paroles. Tāpat parolei jābūt unikālai un to nevar izmantot cituviet.
Ieteicams arī uzstādīt e-pasta papildu aizsardzība jeb divu faktoru autentifikācija. Tā ļaus pasargāt e-pastu no nelūgtiem viesiem, pat ja uzbrucēji būs nozaguši vai izvilinājuši e-pasta paroli, jo otrais faktors paredz papildu pārbaudi, piemēram, prasot arī īsziņā atsūtītu vai speciālas lietotnes ģenerētu kodu.
CERT.LV uzsver – par notikušo obligāti jābrīdina klienti un sadarbības partneri. Jāņem vērā, ka uzbrucēji ir ieguvuši uzņēmuma kontaktu sarakstu, kā arī sarakstes un dokumentu paraugus, kurus var mēģināt izmantot vēlāk, izliekoties par uzņēmumu un uzrunājot partnerus no viltota e-pasta ar viltotiem piedāvājumiem.
Institūcija arī mudina veikt darbinieku apmācību par drošu paroļu izmantošanu un krāpniecisku pikšķerēšanas e-pastu atpazīšanu, lai novērstu e-pasta piekļuves datu izmānīšanu no darbiniekiem nākotnē. CERT.LV arī iesaka pilnveidot uzņēmuma iekšējās procedūras klientu un sadarbības partneru informācijas pārbaudei, piemēram, nosakot, ka lūgums mainīt bankas kontu tiek pārbaudīts ar telefona zvanu, piezvanot uz zināmu un pārbaudītu partnera telefona numuru – nevis uz to, kas norādīts potenciāli krāpnieciskajā e-pastā. Papildu drošībai institūcija mudina izmantot elektroniski parakstītus dokumentus.
Arī tad, ja sadarbība notiek ar Āzijas valstīm, kur bieža banku maiņa ir ierasta prakse, CERT.LV aicina tomēr pārjautāt, vai kārtējā konta maiņa ir leģitīma, vai sarakstē šoreiz iejaukušies krāpnieki. Modrības zaudēšana var dārgi maksāt.