Bankowość i nieznane terminy: whaling i phishing

Klienci bankowości internetowej, często są przestrzegani przed różnymi złośliwymi oprogramowaniami, wirusami, a także hakerami, które starają się przechwycić ich dane potrzebne do logowania się na konto osobiste.
Jednym z takich pojęć jest phishing, który oznacza nic innego, jak podstępne zachowania hakerów względem klientów bankowych. Proces przychwytywania ich danych polega na wysyłaniu wiadomości e-mail, w których znajdują się zwodnicze linki. Po kliknięciu w wysłany link, klient przekierowany zostaje na podrobioną stronę banku. Niczym się ona nie różni od prawdziwej strony. Niestety po wpisaniu swojego loginu i hasła, oddajemy wszystkie nasze zabezpieczenia w obce ręce.
Celem Whalingu nie są obojętnie jacy klienci. Raczej hakerzy próbują przechwycić dane z wielkich korporacji. Oczywiście wysyłane także są e-maile, jednak ich wyrafinowanie jest dużo większe od poprzedniej metody. W celu przechwycenia danych, nie potrzebne są nawet kliknięcia w podsyłany link.

Tak sytuacja przydarzyła się jednemu pracownikowi księgowości w firmie zajmującej się wydawnictwem. Otrzymał on dwie wiadomości na e-mail, których nadawcą miał być rzekomo jego prezes. Księgowy miał dokonać przelewy na chińskie konta bankowe, na kwotę wynoszącą 3 miliony dolarów. Byli to potencjalni kontrahenci firmy, natomiast mail zawierały informacje o tym, żeby zachować dyskrecję i dokonać przelewów jak najszybciej.
Rzeczywiście pierwszy przelew poszedł sprawnie. Natomiast podczas drugiego, księgowy chciał telefonicznie skontaktować się z własnym szefem, aby dokładnie ustalić szczegóły przelewu. Wtedy wydało się, że te maile nie pochodzą od niego. Niestety firma straciła na tym oszustwie aż 1,5 miliona dolarów. Jednocześnie nie udało się odzyskać nawet dolara, ponieważ bank w Chinach nawet nie kwapił się do wyjaśniania tej afery.

Sytuacja miała miejsce w czasie wakacji 2015 roku. I niestety nie zalicza się ona do jednorazowych przekierowań tak wielkich pieniędzy. Zresztą nawet pojęcie whaling, pochodzi od słowa whale, które oznacza wieloryba. To daje nam do myślenia, że mowa jest o naprawdę poważnych i wielkich oszustwach. Whaling nazywany jest również inaczej BEC, czyli Business Email Compromise. Przytoczony przykład nie był jedyny. Mianowicie udało się także wyciągnąć pieniądze z firmy Ubiquiti Networks. Przekręt kosztował ich aż 46 milionów dolarów.

Czy trzeba być wybitnym hakerem, żeby dokonać aż tak wielkiego oszustwa? Specjaliści odpowiadają zgodnie, że nie. Ponieważ tak naprawdę wystarczy posiadać kilka danych, które najczęściej można znaleźć w ogólnodostępnych bazach danych. Oszuści kierują się także socjotechnicznymi sztuczkami, które dają wysłanej wiadomości bardzo realny charakter.

Ich domeną jest to, że wybierają sobie ofiarę, którą zaatakują. Najczęściej jest to osoba odpowiedzialna za dokonywanie przelewów, zajmująca się księgowością. Jej profil w dzisiejszych czasach można bardzo łatwo znaleźć na profilach serwisów społecznościowych, jak i również na samej stronie internetowej firmy. Ponadto stosowana jest technika domain spoofing. Polega ona przede wszystkim na tym, że wysyłają wiadomość elektroniczną do swojej ofiary z maila, niewiele różniącego się od oryginalnej poczty np. przełożonego, lub domeny firmy. Często różnią się między sobą końcówką domeny.
Po szybkim spojrzeniu na adres, z którego wysłano wiadomość, ofiara nie jest w stanie wychwycić różnicy. Niestety kończy się tym, że polecenie zawarte w treści, jest wykonane nawet bez chwili zastanowienia. Ponadto mail zawiera wszystkie wewnętrzne elementy „normalnej wiadomości”. W treści zawarte są między innymi stopki, lub odpowiednie zwroty stosowane w danej firmie. Ponadto mail niby pochodzi od menadżera lub nawet samego prezesa. Zwykły pracownik, chcący wykonać swoja pracę jak najlepiej, nie chcąc jednocześnie podpaść przełożonemu, sprawnie i szybko wykonuje zadanie.
Nie ma możliwości założenia specjalnej bariery chroniącej przed tego typu mailami. Ponieważ nie uchodzą one za spamy. Wielkie korporacje mogą się uchronić przed takimi przestępstwami jedynie edukując swoją kadrę i sprawdzając wewnętrznie, czy są w stanie przechwycić fałszywe maile.

Komentarze

Dodaj swoją opinię

Ocena:

Nasi eksperci polecają

  • Pożyczki
  • Kredyty
  • Karty
  • Konta

Aktualne promocje