Kiberdrošība

Sadalījums: Kā 70 operatīvie darbinieki organizēja 140 miljonu eiro krāpniecības dzinēju, izmantojot industrializētu izlikšanos par izpilddirektoriem

Analīze par 140 miljonu eiro vērtā Spānijas kiberkrāpniecības tīkla likvidēšanu. Uzziniet, kā darbojas industrializēta BEC krāpšana un kā nostiprināt finanšu arhitektūru pret MitM uzbrukumiem.
Sadalījums: Kā 70 operatīvie darbinieki organizēja 140 miljonu eiro krāpniecības dzinēju, izmantojot industrializētu izlikšanos par izpilddirektoriem

70 identificētas personas. 19 reģistrēti čaulas uzņēmumi. Gandrīz 1000 atsevišķu finanšu kontu. 140 miljoni eiro dokumentētu zādzību. Šie skaitļi no Spānijas Nacionālās policijas 2026. gada jūlija ziņojuma apraksta noziedzīgu uzņēmumu, kas darbojās ar vidēja lieluma finanšu tehnoloģiju korporācijas efektivitāti. Tas nebija nekāds amatieru hakeru kolektīvs; tā bija strukturēta organizācija, kas pret kibernoziedzību izturējās kā pret mērogojamu loģistikas problēmu. Lai novērtētu mērogu, jāņem vērā, ka 61 miljons eiro no kopējā guvuma pēdējā kalendārā gada laikā tika gūts tikai no biznesa e-pasta kompromitēšanas (BEC) un izlikšanās par izpilddirektoru (CEO impersonation) uzbrukumiem. Šis konkrētais incidents signalizē par apdraudējuma modeļa nobriešanu, kur tehniskā ekspluatācija ir tikai priekšvēstnesis masveida, automatizētai finanšu atmazgāšanai.

Industrializēta krāpniecības tīkla arhitektūra

Operācija balstījās uz darbaspēka struktūru ar plašu zemāko līmeni, kas atspoguļo izsmalcinātu izpratni par mūsdienu riska pārvaldību. Tikai četri galvenie dalībnieki nodarbojās ar tehniskajām uzbrukuma operācijām, savukārt vairāk nekā 67 personas darbojās kā naudas mūļi. Šāda darba dalīšana rada zināšanu deficītu, kas kļūst par neizteiktu sabiedroto uzbrucējiem. Galvenajiem tehniķiem nav jāriskē ar atklāšanu, mijiedarbojoties ar tradicionālo banku sistēmu. Tā vietā viņi nodod augstākā riska darbību — nozagto līdzekļu pārvietošanu — vienreizlietojamam padoto slānim. Šos mūļus pārvalda "mūļu dzinējs" (mule herder) — specifiska loma, kas veltīta grupas finanšu infrastruktūras uzturēšanai. Šī strukturālā nošķirtība nodrošina, ka pat tad, ja policija aiztur desmitiem ielas līmeņa līdzdalībnieku, operācijas tehniskās smadzenes paliek neskartas un darboties spējīgas.

Praksē tas nozīmē, ka uzbrucēji izveidoja dublētu, izkliedētu tīklu kapitāla aizplūšanai. Reida laikā konfiscētie 170 viedtālruņi un 15 datori liecina par augstu operatīvās mobilitātes pakāpi. Katrs viedtālrunis, visticamāk, pārvaldīja dažus no 1000 kontiem, izkliedējot atklāšanas risku plašā teritorijā. Kad viens konts tiek atzīmēts aizdomīgu darbību dēļ, zaudējums noziedzīgajai organizācijai ir niecīgs. Atlikušie 999 konti turpina darboties, nodrošinot, ka kapitāla kustības ātrums pārsniedz institucionālo krāpšanas apkarošanas nodaļu reakcijas laiku.

Kompromitēšanas ķēdes mehānika

Uzbrucēji izmantoja četrus galvenos vektorus: "cilvēks pa vidu" (Man-in-the-Middle, MitM) uzbrukumus, izlikšanos par izpilddirektoru, sociālo inženieriju, izmantojot viltotus rēķinus, un krāpnieciskas investīciju platformas. MitM scenārijos banda iefiltrējās aktīvās biznesa sarunās, kompromitējot e-pasta serverus vai izmantojot vizuāli līdzīgus domēnus. Viņi neieguva datus nekavējoties; viņi gaidīja finanšu darījuma brīdi. Skaidrības labad — viņi uzraudzīja saziņas plūsmu, līdz tika gaidīts rēķins, un tad aizstāja likumīgos bankas rekvizītus ar savu čaulas uzņēmumu datiem. Cietusī organizācija nevainojami ievēroja savus iekšējos procesus, tomēr līdzekļi nonāca noziedznieku kontā. Tas pierāda, ka uz procesiem orientēta drošība ir bezjēdzīga, ja tiek kompromitēta pamata datu plūsma.

Izlikšanās par izpilddirektoru ir ienesīgākais viņu portfeļa segments, kas veido gandrīz 44% no kopējiem ieņēmumiem. Šie uzbrukumi izmanto korporatīvās kultūras hierarhiju. Steidzams pieprasījums no augsta līmeņa vadītāja lielākajā daļā organizāciju apiet standarta verifikācijas soļus. Uzbrucēji rūpīgi izpētīja savus mērķus, visticamāk, izmantojot iegūtos LinkedIn datus un nopludinātos korporatīvos direktorijus, lai kartētu pakļautības struktūru. Pēc tam viņi ieplānoja savus pieprasījumus augsta stresa vai pārejas periodos, piemēram, ceturkšņa noslēgumos vai svētku dienās. Tehniskais komponents bija minimāls — bieži vien tikai viltota e-pasta galvene —, taču psiholoģiskā inženierija bija ķirurģiski precīza.

Kāpēc tradicionālās perimetra aizsardzības sistēmas neiztur finanšu sagrābšanu

Šīs 140 miljonu eiro operācijas panākumi pierāda, ka tradicionālais perimetrs ir novecojis jēdziens, kas nesniedz aizsardzību pret mūsdienu krāpniecību. Lielākajai daļai skarto organizāciju, visticamāk, bija ugunsmūri, pretvīrusu programmatūra un šifrētas datubāzes. Tomēr neviens no šiem rīkiem neattur likumīgu darbinieku no labprātīgas pārskaitījuma veikšanas uz krāpniecisku kontu. Nesegmentēts mantojums ir atvērtas durvis. Ja finanšu nodaļas e-pasta vide nav izolēta un uzraudzīta ar tādu pašu stingrību kā ražošanas serveru telpa, organizācija joprojām ir neaizsargāta pret šo specifisko taktiku.

Iekšējā segmentācija ir vienīgā dzīvotspējīgā izdzīvošanas stratēģija šajā vidē. Loģika mainās uz pieņēmumu, ka identitāte vienmēr ir pakļauta kompromitēšanas riskam. Kad banda veiksmīgi uzdevās par izpilddirektoru, viņi neuzlauza datoru; viņi uzlauza organizācijas uzticības modeli. Lielākā daļa uzņēmumu autentificētu iekšējo e-pastu uzskata par uzticamu komandu. "Nulles uzticības" (Zero Trust) arhitektūrā neviena saziņa netiek uzskatīta par uzticamu pēc noklusējuma, neatkarīgi no tās izcelsmes. Katram augstvērtīgam finanšu darījuma pieprasījumam ir jāveic neatkarīga, ārpuskanāla verifikācija, kas nepaļaujas uz to pašu saziņas kanālu, kurā tika saņemts pieprasījums.

Darījumu dzīves cikla nostiprināšana

Lai nekļūtu par statistiku policijas ziņojumā, uzņēmumiem pret finanšu darījumiem jāizturas kā pret kritisko infrastruktūru. Spānijas gadījums izgaismo pamata higiēnas trūkumu identitātes pārvaldībā. 19 čaulas uzņēmumu izmantošana liecina, ka uzbrucēji spēja apiet vairāku finanšu iestāžu "Pazīsti savu klientu" (KYC) prasības, bieži vien pāri starptautiskajām robežām. Tas liecina, ka uzbrucēji mērķēja uz bankām ar vājākiem atbilstības mehānismiem, pārvietojot naudu no Spānijas uz Portugāli un galu galā uz Panamu.

No arhitektūras viedokļa risinājums nav vairāk apmācību, bet gan labākas kontroles. Drošības izpratnes apmācība ir vāja aizsardzība pret mērķtiecīgu profesionāli. Tā vietā organizācijām būtu jāievieš kriptogrāfiskā parakstīšana visiem iekšējiem rēķiniem un pārskaitījumu pieprasījumiem. Ja digitālais paraksts neatbilst vadītāja aparatūras nodrošinātajai privātajai atslēgai, darījums tiek automātiski bloķēts. Tas izslēdz cilvēka subjektīvo lēmumu no vienādojuma. E-pasta konta kompromitēšana kļūst par traucēkli, nevis katastrofu, jo uzbrucējam trūkst fiziskā marķiera (token), kas nepieciešams maksājuma autorizēšanai.

Rīcības plāns nākamajiem 6-12 mēnešiem

Izdzīvošana industrializētas krāpšanas laikmetā prasa pāreju no reaktīvas noteikšanas uz arhitektonisko noturību. Informācijas drošības vadītājiem (CISO) par prioritāti jāizvirza šādi soļi, lai mazinātu Ibērijas sindikāta demonstrētos riskus:

  • Finanšu saziņas darbplūsmu audits (1.-3. mēnesis): Identificējiet katru ceļu, ko rēķins mēro no saņemšanas līdz apmaksai. Dokumentējiet katru personu, kurai ir pilnvaras apstiprināt pārskaitījumus.
  • Aparatūras bāzētas MFA ieviešana (3.-6. mēnesis): Pārejiet no SMS vai lietotņu bāzētas daudzfaktoru autentifikācijas visiem finanšu un vadītāju kontiem. Ieviesiet FIDO2 saderīgas drošības atslēgas, lai novērstu sesijas nolaupīšanas iespējamību ar MitM uzbrukumiem.
  • Kriptogrāfiskās rēķinu pārbaudes ieviešana (6.-9. mēnesis): Izveidojiet sistēmu, kurā piegādātājiem rēķini jāparaksta ar verificētu privāto atslēgu. Jebkuras izmaiņas bankas rekvizītos jāapstiprina, izmantojot sekundāru, nedigitālu kanālu, piemēram, zināmu tālruņa numuru vai fizisku tikšanos.
  • E-pasta vides mikrosegmentēšana (9.-12. mēnesis): Nošķiriet vadības un finanšu saziņu no pārējā korporatīvā tīkla. Ieviesiet stingras nosacītās piekļuves politikas, kas neļauj piekļūt šiem kontiem no neautorizētām vietām vai ierīcēm.
  • Sociālās inženierijas ielaušanās testu veikšana: Īpaši mērķējiet uz finanšu nodaļu ar simulētiem izlikšanās par izpilddirektoru uzbrukumiem. Izmantojiet rezultātus, lai identificētu trūkumus apstiprināšanas procesā, nevis vainotu atsevišķus darbiniekus.

Jaunā korporatīvās drošības realitāte

Spānijas operācija ir tiesībsargājošo iestāžu panākums, taču tas ir brīdinājums privātajam sektoram. Atgūstot 3 miljonus eiro no 140 miljoniem, atgūšanas līmenis ir 2%. Cietušajiem intervence nāca par vēlu. Šī asimetrija starp nozieguma ātrumu un likuma ātrumu nozīmē, ka prevencija ir vienīgais rādītājs, kam ir nozīme. Uzbrucēji izmantoja 170 viedtālruņus, lai pārvaldītu savu impēriju; lielākā daļa uzņēmumu visai savai kasei izmanto tikai vienu vai divus aizsardzības slāņus.

Mērķis nav uzbūvēt perfektu sienu, kurā neviens uzbrucējs nevar uzkāpt. Mērķis ir nodrošināt, lai viena e-pasta konta vai viena darbinieka kompromitēšana neizraisītu pilnīgu korporatīvo kontu iztukšošanu. Samazinot viena incidenta ietekmes rādiusu ar segmentāciju un aparatūras nodrošinātu identitāti, CISO pārvērš potenciāli bankrotējošu notikumu vadāmā drošības incidentā. Arhitektūra ir pēdējais vārds aizsardzībā.

Avoti: Spānijas Nacionālā policija (Policía Nacional), Eiropola Kibernoziedzības centrs (EC3), Portugāles Tiesu policija (Polícia Judiciária), Panamas Nacionālā policija.

Atruna: Šis raksts ir paredzēts tikai informatīviem un izglītojošiem nolūkiem un neaizstāj profesionālu kiberdrošības auditu vai incidentu novēršanas pakalpojumu.

bg
bg
bg

Uz tikšanos otrā pusē.

Mūsu end-to-end šifrētais e-pasta un mākoņdatu glabāšanas risinājums nodrošina visefektīvākos līdzekļus drošai datu apmaiņai, garantējot jūsu datu drošību un konfidencialitāti.

/ Izveidot bezmaksas kontu