Polskie banki prowadzą konta „słupów” wykorzystywane w oszustwach wycelowanych w zamożne zagraniczne ofiary, donosi tygodnik „Polityka”. Przestępcy upodobali sobie lokalne instytucje ze względu na nieszczelny system monitorowania transakcji i zaawansowaną bankowość internetową.

Proceder opisany przez „Politykę” nosi nazwę BEC, czyli business email compromise. Czasopismo prezentuje przypadek, w którym ofiarą tego typu oszustwa padł zamożny inwestor z Londynu zainteresowany zakupem wysp na Karaibach. Kancelaria prowadząca transakcję stała się obiektem cyberataku, a oszuści wysłali do klienta informację o zmianie numeru rachunku, na który należy dokonać płatności za nieruchomość.

Pieniądze trafiły na rachunek prowadzony w polskim banku, a stamtąd zostały szybko przekazane do Chin. Konto zostało założone przez obywatelkę Rumunii, a bank nie wychwycił transakcji opiewającej na wysoką sumę jako podejrzanej, mimo że na koncie wcześniej nie było znaczących obrotów.

Precyzyjne ataki są opłacalne dla przestępców

Oszustwa wycelowane w wielkie firmy to lukratywna część cyberprzestępczego biznesu. Zwykle proceder ten zaczyna się od spersonalizowanego ataku phishingowego (tzw. spear phishing), gdzie zdobywa się za pomocą podrobionej strony internetowej dane potrzebne do przejęcia dostępu do skrzynki mailowej ofiary. W następnym kroku przestępcy „przyczajają się”, obserwując konwersacje i wybierając okazje pozwalające na osiągnięcie łatwego zarobku. Później atakujący przejmują korespondencję i w odpowiednim momencie podszywając się pod ofiarę, skłaniają jej rozmówcę (np. kontrahenta, klienta albo jakiś dział wewnątrz firmy) do przesłania środków na wskazany numer rachunku. Pretekstem jest np. zmiana banku prowadzącego rzekomo rachunek firmy.

Zrabowane środki trafiają na konto „słupa” – osoby lub biznesu wykorzystywanego tylko jako etap pośredni w wyprowadzaniu pieniędzy. Zwykle zdobycz dzielona jest na części i szybko przekazywana na kolejne rachunki, aby utrudnić odzyskanie środków przez ofiarę i zidentyfikowanie ostatecznych beneficjentów.

Właśnie na tym etapie w opisywanym przez „Politykę” przypadku wykorzystywano polskie banki, które zyskały sobie wśród cyberprzestępców, zgodnie z informacjami tygodnika, opinię „łatwych we współpracy”. Współpracujący z oszustami figuranci bez problemów zakładali rachunki w polskich instytucjach. Sprawne „przepuszczenie” skradzionych pieniędzy umożliwiało z kolei samodzielne zdefiniowanie wysokich limitów operacji zlecanych przez bankowość internetową.

O ile trudno winić banki za gotowość założenia konta dla obcokrajowca, to wątpliwości budzi monitoring, który nie namierzył wielomilionowych transgranicznych transferów na „uśpionych” przez dłuższy czas kontach. Teoretycznie banki posiadają prawne możliwości blokowania podejrzanych transakcji, jeśli zachodzi podejrzenie, że są one związane np. z praniem pieniędzy lub finansowaniem terroryzmu. Wykorzystanie tej opcji zależne jest jednak od sprawnego działania systemów monitorujących operacje i wychwytujących nietypowe transakcje.

Podmiana numeru konta – stary trik w repertuarze oszustów

W opisanym przez „Politykę” oszustwie, złodzieje podszyli się pod kancelarię prawną i podmienili numer konta bankowego do wpłaty. Uważni czytelnicy Bankier.pl na pewno kojarzą podobne przypadki wyłudzeń pieniędzy, bo pisaliśmy o nich niejednokrotnie. Często spotykanym przekrętem jest wysyłka fałszywej korespondencji na przykład w imieniu operatora telekomunikacyjnego lub dostawcy energii. Złodzieje podstawiają tam swój numer konta do uregulowania powstałych zaległości.

Z kolei pod koniec ubiegłego roku ZUS ostrzegał przed fałszywą korespondencją słaną masowo do przedsiębiorców. W listach znajdowały się numery kont, na które rzekomo należy wpłacać składki od stycznia 2018 r. Oszuści próbowali wykorzystać zamieszanie związane ze zmianą sposobu opłacania składek (jeden przelew zamiast trzech).

Spotkać można się też z bardziej wyrafinowanymi atakami. Złodzieje pozyskują od swojej ofiary za pomocą technik phishingowych dane do logowania do bankowości internetowej. Następnie podmieniają numery rachunków na liście odbiorców zdefiniowanych. Nieświadomy niczego klient zleca przelewy do swoich kontrahentów, wysyłając w rzeczywistości pieniądze oszustom. Do takich przekrętów wykorzystywane są też wirusy instalowane w telefonie lub komputerze ofiary. Najbardziej perfidne potrafią podmienić numer rachunku na oczach klienta.

Odzyskanie pieniędzy wysłanych na wskazane w listach rachunki jest w zasadzie niemożliwe. Złodzieje wykorzystują bowiem słupów, na których zakładane są konta. Po wizycie w banku „słup” odsprzedaje za uzgodnioną kwotę przestępcom dane dostępowe do rachunku. Później konto wykorzystywane jest do wyłudzeń środków, prania brudnych pieniędzy czy jest odsprzedawane na rynku wtórnym.

W poświęconej najnowszej fali ataków typu BEC na największe firmy analizie X-Force IRIS, działu firmy IBM Security, zwraca się uwagę na kilka technik, które mogą utrudnić życie przestępcom infiltrującym korporacyjną pocztę. Jedną z nich jest używanie uwierzytelnienia dwuskładnikowego do logowania do najważniejszych usług. Pozyskanie przez oszustów (np. poprzez spear phishing) loginu i hasła nie będzie wówczas wystarczające do spowodowania większych szkód.

Przedsiębiorstwa powinny także zwracać szczególną uwagę na procedury związane ze zlecaniem przelewów. Zaleca się używanie certyfikatów cyfrowych potwierdzających autentyczność wiadomości zawierających polecenia wykonania operacji finansowych oraz przymusowy okres „kwarantanny” przed realizacją transferów zagranicznych. Nietypowe transakcje (np. zmiana numeru rachunku bankowego stałego kontrahenta) powinny być dodatkowo potwierdzane u źródła.

Wojciech Boczoń, Michał Kisiel