Хакери теглят до 3000 лв. от сметката ни, за да не задействат аларми на банката. Знаят колко имаме, защото ровят в онлайн банкирането ни
- Измами чрез фишинг мейл - линк, прикачен файл и запитване за чувствителна информация от шефа ви, изпратен от уж легитимната му поща
- При жертвите на IT специалиста Гьорев може да става въпрос за клониране на симкарта
- От Украйна, Русия, Кот д'Ивоар, Мароко и Тунис идват фейк съобщения, написани на перфектен български чрез Chat GPT
- Финансовите мулета, през които минават парите, подписвали договор за надомна работа! Не знаели за схемата
- Ако човек е влязъл в онлайн банкирането и сесията му е активна - не я е затворил, а само е минимизирал браузъра, хакерът може да действа
26-годишният IT специалист Владимир Гьорев е в основата на схемата за източване на 800-те хил. лв. от онлайн банкирането на 13 души и фирми. Заедно с групата си младежът изпращал фишинг имейли, чрез които успял да измами набелязаните жертви.
Как точно е действала бандата, използвала ли е есемеси за влизане в профилите и по какъв начин са се усвоявали парите след това обяснява киберекспертът Любомир Тулев.
- Г-н Тулев, как точно е работила схемата на IT специалиста Владимир Гьорев и негови познати, които бяха задържани за източване на 800 хил. лв. чрез фишинг имейли?
- За последната година трима души, независими един от друг, се свързаха с мен, за да кажат, че са станали жертви на измама по тази система. Фишинг имейлът действа на принципа на три основни хипотези, чрез които хакерите опитват да изкопчат информация. Първият е фишинг имейл с линк, който води към фишинг сайт. Той е огледално копие на легитимния сайт на дадена институция. Целта на този вид атака е информацията да попадне в ръцете на измамника. Той ще я използва, за да се впише в легитимния сайт, представяйки се за жертвата. По този начин опитва да излъже системата. При втората хипотеза има фишинг имейл с прикачен файл, но няма линк. Прикаченият файл е malware. Той е скрит под формата на PDF файл, Word файл, Excel файл и прочие. Няма да видите т.нар. приложен файл с разширение ".exe" или прочие. Тоест ще бъде нарочно замаскиран като легитимно изглеждащ.
Най-честото обяснение при този файл е, че имате призовка или известие. Когато го изтеглим, заразяваме системата ни с malware, който в различни ситуации прави различни неща. В общия случай дава отдалечен достъп на хакерите до компютъра ни. В третата хипотеза на фишинг имейла нямаме нито прикачен файл, нито линк. Той опитва да изкопчи чувствителна информация от нас, ако отговорим на запитването му. Тук се използва техниката на т.нар. email address spoofing. Чрез нея хакерът се представя от името на някой друг, изпращайки мейл от легитимно изглеждаща пощенска кутия. Технически в момента аз мога да изпратя имейл от името на bill.gates@microsoft.com например. Това се използва при много големи корпоративни структури, тоест компании, които са наясно с техниките на фишинг имейлите. Виждал съм ситуации, в които има имейл от управителя или финансовия директор до потребител с нормални привилегии. В такава ситуация обикновеният служител би върнал информация на шефа си, когато имейлът изглежда истински. Целта е да се изкопчи чувствителна корпоративна информация за някакви плащания. Това са трите варианта на фишинг имейлите.
- Има ли миксове между тях?
- Разбира се. Много често се комбинират прикачен файл с URL.
- Но как Гьошев и хората му са се сдобивали с есемесите за онлайн банкирането?
- При първата хипотеза те са правели т.нар. фишинг сайтове на български банки. Подканването да влязат в такъв сайт е било чрез манипулации - "сметката ви трябва да бъде подновена", "акаунтът ви трябва да бъде отключен, моля, кликнете тук". Веднъж, след като жертвата влезе и въведе информацията, хакерът е разполагал с нея, но е имало проблем. Всяка една банка у нас е въвела т.нар. двуфакторна верификация (първият фактор е паролата, вторият фактор за удостоверение е есемес код приложение - бел.ред.). Най-честата практика е с есемес код. Другото е чрез приложение - на банката или външно.
Анализирайки трите случая на измамените хора, които се свързаха с мен, установих, че един от мобилните оператори в България позволява да се направи дубликат на симкартата на мобилен телефонен номер. Тоест, ако аз имам мобилен номер, мога да отида при един от операторите и да си издам копие на симкартата. Това се прави, ако искаш да си я поставиш във втори телефон, смартчасовник или устройство на автомобила. Тоест имаш един и същ телефонен номер на повече от едно устройство. Възможно е да са използвани пълномощни, които не са истински, но измамниците са претендирали пред служителите, че имат документа от името на клиента и трябва да им издадат дубликат на симкартата. В мига, в който го вземат, но и вече разполагат с потребителското име и паролата чрез фишинг имейла, на практика са имали всичко необходимо да влязат в онлайн банкирането на реалния потребител. Въвеждали са име и парола, след което са получавали есемес на копираната симкарта заедно с истинския човек. При моите случаи измамените ми казаха, че са получили есемес, но не са му обърнали внимание.
- Имаше спекулации, че са вкарвали телефонните номера в сайт в тъмната мрежа и срещу 20 долара са чели есемесите на жертвата. Възможно ли е подобно нещо?
- Това не звучи сериозно. Как така в някакъв сайт срещу 20 долара ще зададеш всички есемеси на някого да бъдат взети? На какво основание? Не звучи логично. По-скоро говорим за карта дубликат.
- Има ли хипотеза, при която есемеси изобщо да не са били нужни?
- Такава е и втората ми хипотеза с прикачения файл, който дава отдалечен достъп на измамниците до системата. Една от техниките е чрез вземането/кражбата на т.нар. сесия. Случва се по следния начин - в момента, в който се впишеш в онлайн банкирането ти и web апликацията удостовери, че си ти, web сървърът изпраща до браузъра ти изградена сесия. Тя може да се определи като онлайн идентичност. В браузъра сесията се закрепва като т.нар. в нашия IT език cookie. Идеята е, че, ако жертвата се е подлъгала да свали въпросния прикачен файл, създаден от хакера, malware може да е бил такъв, при който целта е да се извлекат всичките активни сесии, които потребителят в момента има на неговия браузър. Ако той си е влязъл в онлайн банкирането и сесията му е активна, например минимизирал е браузъра и не е затворил сесията, хакерът може да действа. Затова съветвам да се дава Log out, не просто да се затваря браузърът, защото сесията остава активна и профилът си стои отворен. При банките няма толкова дълга сесия, като фейсбук, тъй като говорим за секюрити проблем. Те я поддържат активна около 15-20-30 минути. Но това е моментът, в който, ако си се вписал и си затворил браузъра, в допълнителните минути хакерът чрез достъп до компютъра ти може директно да изземе тази сесия. Дори не е нужен файл. Банките понякога имат онлайн уязвимост, която дава възможност на хакер, дори само подавайки линк например в мейл, потребителят, кликвайки директно да изпрати сесията, която е на браузъра му - на място, което измамникът е посочил.
В този случай хакерите не са се сдобивали с потребителско име и парола, нито с копие на симкарта. Не е необходимо, защото вече имат активната сесия. С нея не ми се налага да претендирам, че съм някой друг, защото вече съм откраднал онлайн идентичността. При втората хипотеза говорим за т.нар. кликване. Било то чрез приложен файл - така са давали отдалечен достъп, чрез който си търсят вътре каквото им трябва, или просто mailware е бил такъв, че е изпращал активните сесии към хакерите.
- Какви суми са теглени от измамените хора, които ви потърсиха?
- И в трите случая, с които аз се сблъсках, сумата от сметките бе изтеглена до стотинка. Имахме кражба на конкретно число - точно толкова, колкото е имало по сметката. Това означава, че хакерът е бил вътре в онлайн банкирането, видял е каква е сумата и я е изтеглил. Бяха използвали и няколко транзакции на неголеми суми (2-3 хил. лв.), така че да не могат да задействат т.нар. аларми на банката (при трансфер на над 8 хил. лв. при някои от банките се вдига допълнителна аларма).
- Конкретно за групата на Гьорев - голяма ли е печалбата им от 800 хил. лв. Според разследващи тя е източена за близо 8 месеца.
- Не са малко пари, но ми звучат логично. При жертвите, които се свързаха с мен, имаше загуби от 1000 лв. до 10 хил. лв. Ако хипотетично вземем по-голямото число от 10 хил. лв. - 800 хил. лв. на практика са 80 човека. Ако за 8 месеца имаме 80 човека, от които са взети средно по около 10 хил. лв., това прави по 10 измамени на месец. Напълно реалистично звучи.
- Парите не са отивали директно към сметки на хакерите? Как са ги усвоявали?
- Хакерите остават в анонимност чрез т.нар. финансови мулета, към които са трансферирани парите. През годините имаше правен спор дали те наистина са виновни - тоест дали са извършвали умишлено действия, или не са съзнавали това, което правят. Голяма част от хакерите манипулират тези хора да мислят, че им предлагат надомна работа, която се състои в това да си отворят банкова сметка в произволна банка в България. Обясняват им, че по нея ще получат пари, които трябва да изпратят към друга банкова сметка. За целта им обещават 10% от постъпилата при тях сума. Когато бях в ГДБОП, съдебната практика приемаше, че мулетата са действали без умисъл и са били със съзнание, че вършат работа, защото имат трудови договори за това, което са правили. По този начин са действали неумишлено, за да припечелят някой лев. Не знам дали ситуацията вече се е променила. Със сигурност Владимир Гьорев и хората му са използвали мулета.
- Читатели сигнализираха за друг вид фишинг мейл - наследство от чужбина, но той е написан на развален български език. От коя страна идва?
- И двете хипотези са възможни - както да се пише от българи, така и от чужденци. Досега не съм виждал умишлено българи да пишат неправилно. Може да става въпрос за т.нар. нигерийци, защото така започнаха първите нигерийски измами през 2006 г. Тогава имейлите бяха за нигерийски принц или принцеса, които завещават наследство. В голям процент от случаите имейлите от чужбина идват конкретно от Украйна и Русия, или от Северна Африка - Кот д'Ивоар, Мароко, Тунис. Много често тези страни са засичани от нас по време на разработките ни като места, от които произхождат фишинг имейл кампании.
- Какви са точните индикатори за фишинг имейл?
- В него се виждат конкретни неща. Едно от тях е официалното лого. Преди 2-3 месеца гледах фишинг кампания, в която се твърдеше, че срещу теб се води полицейско производство. В имейла имаше логото на Интерпол, на ГДБОП и на Националната полиция. Приличаше на коледна елха. Използването на специални лога е честа практика на хакерите, за да придадат измамното усещане за легитимност. Друг индикатор е използване на имена на институции. Също и използване на "усещане за спешност". Тоест думи като "вашият акаунт се заключва", "има необикновена активност в акаунта ви", "трябва веднага, сега, мигновено да отворите...". Жертвата няма разумното време да помисли. Прикачените файлове и URL линкове са съпътстващи фишинг имейлите. По отношение на граматични и лексикални грешки - факт е, че в началото на тези кампании за фалшиви мейли имаше масово такива, при които не се използваше книжовен български език. Това обаче изчезва, защото, ако през 2006 г. нигерийците си помагаха с някакви онлайн преводачи, вече имаме Chat GPT, както и изкуствен интелект. Той говори перфектно всички езици в света. С него няма проблем да бъде създаден текст, който е едно към едно с езика на дадена националност. Не толкова добре конструираните имейли ще намаляват все повече с времето.