Фирмите у нас губят най-много заради имейл измами с подменени банкови сметки

Това, което ние виждаме като най голям проблем за българския бизнес, е едно престъпление, което ние наричаме сменен IBAN. Английският термин e business email compromise и, най-общо казано, представлява манипулиране на кореспонденция между две фирми, при която българската купува стоки от чужбина. Преди кореспонденцията чрез фишинг имейл българите се подмамват да си дадат паролата за пощенската кутия. Това обикновено са нигерийски организирани престъпни групи. Чрез търсачката в пощата, в която са влезли неправомерно, те намират евентуални плащания и фактури, които се обменят с контрагентите.

След това правят нещо специфично - пренасочване вътре в кутията така, че всичко, което идва от дадения контрагент, да се маркира като прочетено и да се мести в кошчето. Рядко някой гледа там. На базата на получен регулярен имейл за плащане от контрагента те изготвят фалшив, който е идентичен с оригинала с изключение на банковата сметка. Добавя се един ред, в който се пише например, че досегашната банка не може да обработва плащания заради коронавируса или че парите трябва да бъдат изпратени на дъщерна компания.

На всеки 2-3 дни при нас идва компания, загубила 30 хил. или 70 хил. евро. На няколко месеца имаме случаи с по няколкостотин хиляди, а веднъж-два пъти годишно - до 2-3 млн. евро. Затова именно смененият IBAN е киберпрестъплението, което според нас накърнява най-много финансовите интереси на българския бизнес.

Как работи фишинг атаката, която стои в началото на всичко това? Има ли тясно насочени кампании?

Рядко кампаниите са таргетирани, но имаме и такива случаи. Голяма част от фишинг имейлите в момента са насочени към потребители на известна българска пощенска услуга. Причината е именно в това, че е популярна. Обикновено се получават писма, в които пише най-общо: "Вашият имейл акаунт беше деактивиран. Щракнете тук да оправите проблема." Много потребители поради неинформираност и наивност следват връзката, препратени са към фишинг сайт, изглеждащ като този на легитимната пощенска услуга с полета за въвеждане на потребителско име и парола. От там тези данни попадат в ръцете на измамниците.

Хората, които разпращат такива имейли, не се интересуват от всяка конкретна пощенска кутия, те просто чрез фишинг имейлите добиват пароли за тях. После колекции с хиляди такива незаконно придобити данни се продават на хакерски форуми.

Как съветвате компаниите да се пазят от такива атаки?

Основният съвет е насочен към персонала, той трябва да е добре платен, обучен и мотивиран. Естествено, има десетки варианти да се използва специално оборудване, което да разполага с антиспам и антифишинг филтри. Също така компании организират специални обучения, така че техният персонал да разпознава фишинг имейли.

Обикновено категоричен индикатор за фишинг съобщение е наличие на стресиращ фактор, като например времеви срок. Друг такъв е описаната атака със сменения IBAN.

Има ли български организирани групи, занимаващи се с такива измами?

Рядко имаме български групи, които правят подобни измами. Но миналата година например неутрализирахме една малка такава, състояща се от няколко младежи, които изпращаха фишинг имейли от името на частни съдебни изпълнители, на КАТ с фалшиви призовки, на НАП и др. Към съобщението бе прикачен вирус. Таргетираха се изрично счетоводители и групата бе доста успешна. От техните заразени компютри бяха източвани банкови сметки на фирми, които са им клиенти.

С какво друго се занимава отдел "Киберпрестъпност" в ГДБОП? Каква е динамиката в тази сфера у нас и коя е най-голямата финансова щета на българска компания, която сте срещали до момента?

Наблюдаваме постепенен и сигурен ръст на киберпрестъпността. В момента в отдел "Киберпрестъпност" сме около 40 полицаи, които се занимаваме с 15 различни видове киберпрестъпления. На ден постъпват около 30 - 40 сигнала, които понякога достигат и до 70.

Тук трябва да се отбележи, че хората си мислят, че става въпрос за 1-2 киберпрестъпления. Истината обаче е, че ние се занимаваме с над 15 различни кибер- и кибер свързани престъпления - хакери, хакване на бази данни и сайтове, DDoS атаки, сменен IBAN, романтични измами, инвестиционни измами. Отделно имаме сериозен проблем с детската порнография. Има няколкостотин български адреса, които ежедневно свалят такова съдържание, което също е кибер свързано престъпление. Имаме сериозен проблем и в сферата на интелектуалната собственост, там са сайтовете като Zamunda и Arena.

Много хора си мислят, че интелектуалната собственост не е голям проблем. Американското правителство обаче е съставило специален списък (301), в който са включени държави, които не зачитат интелектуалната собственост. Той е индикатор за американски и европейски компании да не идват да правят бизнес в България.

За щетите - имали сме случаи с по 20 - 30 млн. долара, последният е отпреди няколко месеца. Имало е и опит за изнудване на компания с 200 млн. долара, които тя не е заплатила.

Във връзка с DDoS атаките, сайтът на нашата медия бе подложен на сериозна такава преди няколко месеца. Има ли български организатори и как става предпазването от такива кампании?

Най-често с DDoS се атакуват правителствени институции и частни компании. Поръчители обикновено са конкуренти.

Най-лесната защита е сайтът да използва специализирана услуга, която да се настрои така, че за известно време да допуска заявки само от България, ако фирмата работи само на местния пазар. По този начин сайтът ще се отваря поне от България, тъй като за такива атаки се използват компрометирани или свободни ресурси от цял свят, които генерират множество заявки към дадената цел.

Имаме интересни случаи, като например дете, на което баща му е купил хубав компютър с бърза интернет връзка, за да играе игри. Често пиратските копия обаче са заразени. И в резултат машината на детето се използва от хакери за криене на бази данни и за атаки, без хората изобщо да подозират.

В продължение на потребителската тема, кои са основните съвети за предпазване от подобни ситуации и как да разберем, че вече сме станали жертва?

Най-важното отново е потребителите да не са наивни и неинформирани. Голяма част от киберпрестъпленията се случват, след като потребител направи нещо неправилно в интернет, като например последва връзка от фишинг имейл или изпрати пари под формата на биткойни, "за да ги инвестира и да се утроят".

Всякакви фишинг имейли трябва да се игнорират и маркират като зловредни. Примерно една банка никога няма да иска чрез имейл да попълните някъде данни за сметката или банковата си карта. Ако тя трябва да се свърже за важен проблем със свой клиент, ще му се обади по телефона и ще го покани да дойде лично в неин клон.

Друга важна тема са паролите, които са ключ към нашата дигитална самоличност. Много хора използват едни и същи пароли навсякъде - социални мрежи, имейли, банки. Това е много сериозен проблем, от който се генерират други киберпрестъпления - хакнати профили в социални мрежи, имейл услуги и др.

Комисар Владимир Димитров, шеф на отдел "Киберпрестъпност" в ГДБОП

Фотограф: Надежда Чипева

Интересна тема през последните години е прането на пари в интернет. Развитието на мрежите, криптоплатформите и т.н. позволяват например незаконно придобити средства да се прекарват през множество сметки и да излязат "чисти"...

Доколкото знаем, има поне десетина огромни организирани престъпни групи, които работят на световната сцена. Хората не продават оръжие или наркотици, не хакват нищо, не правят никакви атаки, не се занимават с проституция, а само изпират пари. Те имат финансови мулета, имат набирачи, набирачи на набирачите и т.н. Финансовото муле може да е криминално проявен човек, алкохолик, терминално болен, с нисък социален статус или просто такъв, който има нужда спешно от пари. Такъв човек се води в банка, отваря му се сметка, а данните за достъп до нея се предават нагоре и достигат шефа на организираната престъпна група за България примерно. Става много сериозна структура на световно ниво и както казах, функционират няколко такива.

Принципът на работа най-общо е следният. Някой, който провежда измама със сменен IBAN, за която говорихме преди малко, възнамерява да мами фирма от България. Трябва му местен IBAN, тъй като няма как да каже на фирмата да си прати парите в Мексико. Измамникът се свързва с някой от споменатите финансови престъпни групи, като това обикновено става чрез разни чатове, през криптирани приложения, на хакерски форуми и т.н., за да намери подходящ IBAN. Средствата се изпират след тяхното постъпване от измамената фирма, като впоследствие се превеждат на малки части в различни банки по света и накрая се агрегират. Банките си взимат техните такси, тъй като не е незаконно да се изпращат пари онлайн, пък и става въпрос за малки суми.

За тази услуга организираната група обикновено взима около 40%. Първоначалният измамник получава няколко възможности да си получи парите. Може да бъдат прехвърлени чрез криптовалута или в натура, чрез скъп автомобил или недвижимост, както и да бъдат предадени в брой.

Както си личи, става въпрос за бизнес за милиони. Перачите не ги интересува от каква престъпна дейност са сумите - те предлагат IBAN номера от цял свят. Ако е необходимо, може например да се създаде и фирма, да кажем в Индонезия, която да се казва по точно определен начин.

В киберпространството всичко е специализирано. Има хакери, които заразяват компютри, други перат пари, трети изпращат фишинг мейли, други подменят банкови сметки, романтични измами, педофили и т.н.

И накрая, забелязвате ли промяна в информираността и подготвеността на родните бизнеси?

Има лека положителна динамика. Има несъмнен ръст в киберпрестъпността, но и леко увеличаване при информираността и мероприятията, които се вземат от страна на фирмите. Все по-голяма част от българския бизнес инвестира в киберсигурност, което го предпазва от бъдещи атаки. Надявам се тенденцията да се запази.