Встречались ли вы утром с господином N.?
Голландское подразделение знаменитой французской кинокомпании Pathe пало жертвой крупномасштабного мошенничества, ущерб от которого составил 19 млн евро. Злоумышленники использовали довольно обычную, но действенную схему - компрометацию деловой переписки (Business Email Compromise - BEC).
Pathe - одна из старейших действующих киностудий мира, основанная в 1896 г. В последние годы она известна фильмами "Лолита" 1997 г., "Враг государства №1", фильмами из серии "Астерикс и Обеликс" и др.
Атака на Pathe началась 8 марта 2018 г., когда директор Pathe Nederland Дертье Мейер (Dertje Meijer) получила письмо с адреса руководителя головной французской компании. На деле письмо исходило от мошенников, подделавших адрес.
Переписка началась с простого вопроса: встречалась ли Мейер с представителем аудиторской компании KPMG. В письме фигурировало реальное имя работника этой компании.
Мейер ответила, что не виделась с этим человеком, после чего мошенники начали "готовить почву": сначала они запросили текущую "банковскую позицию", объяснив, что "производят финансовую транзакцию для приобретения иностранной фирмы со штаб-квартирой в Дубаи" и попросили связаться с упомянутым работником KPMG через почтовый адрес, который они же сами и предоставили, для получения банковской информации о компании в Дубаи, - чтобы они могли переслать нужное количество денег на конкретный счёт.
"В порядке обеспечения безопасности конфиденциальной транзакции такого рода мы вынуждены переписываться через мой персональный почтовый адрес, так чтобы в соответствии с нормативами избавить наши обсуждения от любой угрозы утечки данных", - говорилось в письме. - "Необходимо исключить риск в любом случае, при устном общении или по телефону. В соответствии с нормами KPMG, мой персональный почтовый адрес будет единственным способом коммуникации. Как только транзакция будет утверждена, пожалуйста, перешлите подтверждение господину [имя работника KPMG] или мне по электронной почте".
Оправданные подозрения
Мейер заподозрила неладное, поэтому она переслала письмо теперь уже бывшему финансовому директору Pathe Nederland Эдвину Слуттеру (Edwin Slutter) и спросила его, не кажется ли ему это послание странным. Слуттер посоветовал ей ответить на письмо, а также запросить дополнительное подтверждение у какого-либо высокопоставленного работника Pathe France.
По-видимому, Мейер запросила это подтверждение у самих же злоумышленников. И естественно, те были готовы к этому. Очень быстро Мейер получила письмо якобы от другого высокопоставленного менеджера Pathe France с подтверждением и планов по транзакции и необходимости сохранять все переговоры в секрете; кроме того, Мейер получила счет от "дубайской компании" с упоминанием "До 10% от общей суммы сделки" и с поддельными подписями руководителей Pathe France.
Слуттер посчитал подписи подлинными и произвёл несколько транзакций общей суммой 19 млн евро. Средства выводились из разных источников, включая некий "фонд наличности" французского подразделения Pathe.
Во время переписки мошенники сделали несколько ошибок, которые при более внимательном отношении со стороны Мейер и Слуттера помогли бы предотвратить финансовые потери. Например, один раз мошенники перепутали имена руководителей Pathe France и переслали письмо от одного из них с адреса другого.
По окончании последней транзакции из Франции поступили вопросы относительно назначения выплат из "фонда наличности", и стало ясно, что Слуттера и Мейер обвели вокруг пальца.
Увольнение и суд
В результате Pathe France привлекла стороннюю компанию для расследования обстоятельств дела. В частности, для того, чтобы выяснить, не были ли Мейер и Слуттер непосредственными участниками мошеннической операции. Привлечённые эксперты заявили, что подозрения напрасны: оба руководителя голландского подразделения Pathe пали жертвой группировки высокопрофессиональных мошенников. Тем не менее, обоих уволили.
Слуттер подал иск против бывшего работодателя. В своём заявлении он утверждал, что "сделал всё необходимое для проверки авторизации финансовых переводов", что Pathe никогда не давала ему никаких инструкций, как можно определить мошенничество. Что касается "тревожных признаков", то их, по словам Слуттера, было очень непросто заметить.
Суд в Голландии согласился с его доводами, но посчитал, что восстановлению в должности Слуттер всё-таки не подлежит: ему просто должны выплатить зарплату, которую он бы получил с марта по декабрь 2018 г.
"Эффективность BEC-мошенничества напрямую зависит от того, насколько скрупулёзно злоумышленники изучали потенциальных жертв и тех лиц, за кого они себя выдают. - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Именно обилие собранных "разведданных" позволяет повысить степень достоверности мошеннических писем, а следовательно злоумышленники будут пытаться получить максимальное количество сведений из открытых и, по возможности, конфиденциальных источников. Поэтому уместно говорить о том, что компрометация начинается задолго до того, как жертвы получают первое мошенническое письмо. В данном случае мошенники явно потратили немало усилий на то, чтобы подготовиться к "операции", и очень успешно её провели".
Эксперт подчеркнул, что подлинность переписки и личность отправителя важной корреспонденции необходимо перепроверять всеми возможными способами, в том числе используя альтернативные каналы связи.
