Fundusze inwestycyjne oraz banki mogą stały się celem ataków zorganizowanej grupy hakerów, którzy wysyłali scam i tworzyli domeny do przechwytywania przelewów bankowych. Grupa nazwana Florentine Banker, dokonała próby przejęcia przelewu w wysokości 1,3 mln USD wysłanego przez 3 fundusze private equity. Czy polskie fundusze są również zagrożone?
Analitycy firmy Check Point ujawnili przestępczą działalność gangu hakerów Florentine Banker, który obrał za cel transakcje trzech brytyjskich firm private equity. Przez kilka miesięcy Florentine Banker, manipulował korespondencją e-mailową, rejestrując podobne domeny do instytucji bankowych i wypłacał pieniądze w transzach. W sumie, w wyniku 4 oddzielnych transakcji bankowych przestępcy chcieli wypłacić kwotę 1,1 miliona funtów brytyjskich (1,3 miliona USD) na anonimowe konta bankowe w Hong Kongu i Wielkiej Brytanii. Interwencja firmy Check Point pozwoliła na zablokowanie i odzyskanie 570.000 funtów. Reszta środków bezpowrotnie zniknęła. Analiza działania „gangu” wskazuje, że stworzyli łącznie kilkanaście fałszywych domen, które służyły do wyłudzania pieniędzy – ostrzega Check Point.
Oprócz ataku na brytyjskie fundusze, w grupie ryzyka znalazły się instytucje w USA, Kanadzie, Szwajcarii, Włoszech i Niemczech. Nie oznacza to, że Polska jest poza kręgiem zainteresowania hakerów finansowych. Wręcz przeciwnie. Szczególnie niepokojący jest wzrost aktywności trojana Dridex w Polsce w ostatnim miesiącu. Z danych Check Pointa wynika, że jedno z największych ognisk infekcyjnych trojana Dridex znajduje się właśnie w naszym kraju, gdzie wykryto go w przeszło 16,7% organizacji!
– Dridex jest szczególnie lukratywnym rodzajem złośliwego oprogramowania dla cyberprzestępców, ponieważ z jednej strony potrafi wykraść dane uwierzytelniające, w tym bankowe, z drugiej może pobierać i uruchamiać dodatkowe moduły zdalnego sterowania. Z naszych danych wynika, że Dridex jest prawdziwą plagą w polskich sieciach firmowych. O powadze zagrożenia świadczą szacowane straty mogące sięgać dziesiątek, jeśli nie setek milionów Euro – ostrzega Wojciech Głażewski, dyrektor zarządzający Check Point w Polsce.
Polska może być ciekawym celem ataków również ze względu na aktywność funduszy private equity i venture capital. Z danych Bain & Company wynika, że łączna wartość inwestycji dokonanych przez fundusze private equity w Polsce wzrosła do około 1,5 mld euro w 2019 roku z 1,1 mld euro rok wcześniej. Z danych PFR Ventures tymczasem wynika, że w pierwszych trzech miesiącach 2020 przeprowadzono 55 transakcji, w które zaangażowanych było 45 funduszy. Wartość przelanego kapitału do polskich spółek wyniosła 190 milionów PLN.
Jak działa grupa florencka?
Hakerzy grupy florenckiej przygotowują ukierunkowaną kampanię phishingową przeciwko kluczowym osobom w funduszu inwestycyjnym, często dyrektorom generalnym i dyrektorom finansowym odpowiedzialnym za transakcje pieniężne. W przypadku 3 brytyjskich funduszy byli to pracownicy, z których jeden podał swoje dane uwierzytelniające. Ataki phishingowe były powtarzane wielokrotnie, dopóki atakujący nie mieli dokładnego rozeznania w strukturze obrazu finansowego firmy. Następnym krokiem było wprowadzenie fałszywych informacji o koncie bankowym za pomocą następujących dwóch technik:
przechwytywania legalnych przelewów, generowanie nowych żądań przelewów w postaci oszukanych wiadomości e-mail (wyglądających jak te wysyłane zazwyczaj z komputerów pracowników firmy). Bankier-oszust manipulował rozmową, dopóki strona trzecia nie zatwierdziła nowych danych bankowych i nie potwierdziła transakcji. W przypadku brytyjskich funduszy private equity atakujący wykorzystali łącznie siedem różnych domen lub stron internetowych. Po dokładnym zbadaniu Check Point znalazł 39 dodatkowych, podobnie wyglądających domen zarejestrowanych w latach 2018-2020, wyraźnie imitujących różne instytucje finansowe, które mogły być celem Florentine Banker. Aby chronić prywatność potencjalnych ofiar, Check Point nie chce ujawniać nazw tych firm, ale starał się skontaktować z tymi organizacjami, aby zapobiec kolejnym atakom. – W tych czasach przelewy są bardzo powszechne – od codziennych działań po rządowe pakiety antykryzysowe zarówno dla obywateli, jak i przedsiębiorstw. Wzywam wszystkich do zwrócenia szczególnej uwagi na to, co wchodzi i wychodzi ze swoich skrzynek odbiorczych, ponieważ możemy korespondować właśnie z Florentine Banker – podkreśla Lotem Finkelsteen, kierownik działu wywiadu zagrożeń w Check Point.