L’aggressore si è intromesso nello scambio di email tra una società cinese e una startup israeliana, dirottando il denaro su un conto cinese

Man-in-the-middle: dirottato bonifico da un milione di dollari

I ricercatori di Check Point Software Technologies hanno risolto il caso del dirottamento del bonifico da un milione di dollari tra una società di Venture Capital cinese e una start-up israeliana. L’aggressore ha condotto un attacco man-in-the-middle (MITM); ecco come ha agito:

  1. Ha compromesso i server e-mail
  2. Ha registrato due domini falsi, imitando quelli delle due compagnie
  3. Ha dirottato la conversazione via e-mail
  4. Ha inviato dati bancari ingannevoli
  5. Ha cancellato l’incontro di persona tra i rappresentanti delle due aziende truffate
  6. Ha incassato la transazione da un milione di dollari

Una società cinese di Venture Capital ha tentato di trasferire il denaro a una startup israeliana ma quest’ultima non ha mai ricevuto i soldi. Quando è diventato chiaro che la somma di denaro fosse stata rubata, il CEO della startup ha contattato Check Point, che ha raccolto e analizzato tutti i log disponibili, le e-mail e i computer coinvolti: alcune delle e-mail che le due parti si erano scambiate erano state modificate e altre non erano neanche state scritte da loro.

Invece di monitorare la conversazione con il classico sistema di auto-inoltro, l’hacker che ha eseguito l’attacco ha registrato due domini web molto simili a quelli delle due compagnie coinvolte. Ha quindi inviato alle aziende due e-mail dai domini falsi usando lo stesso oggetto della conversazione originale, di fatto assumendo efficacemente la posizione di intermediario tra i due interlocutori..

Ogni e-mail inviata da ciascuna parte era in realtà diretta all’intermediario che ne rivedeva il contenuto, decideva se modificarne delle parti e poi la inoltrava, opportunamente modificata, al destinatario originale, tramite il dominio falso.

Durante l’intero flusso di questo attacco, l’aggressore ha inviato 18 e-mail alla parte cinese e 14 alla parte israeliana. Era anche stato organizzato un incontro di persona tra la società proprietaria del conto cinese e il CEO della startup israeliana che doveva ricevere la somma; tramite due e-mail fasulle, l’hacker ha annullato strategicamente il meeting all’ultimo minuto, poiché permettere che i due interlocutori si incontrassero di persona sarebbe stato un rischio troppo grande.

Check Point è stata in grado di dedurre che l’hacker si trovasse in Cina, considerato che il conto bancario su cui è stata dirottata la transazione è registrato in Cina e collegato ad un’azienda di Hong Kong ormai chiusa.

La società specializzata in sicurezza informatica consiglia il metodo corretto per effettuare trasferimenti di denaro:

  • Usare una seconda verifica: quando si tratta di trasferimenti di denaro, è bene assicurarsi sempre di aggiungere una seconda verifica chiamando la persona che ha chiesto di effettuare il versamento o chiamando la parte ricevente.
  • Conservare i registri di controllo e di accesso: è bene assicurarsi che l’infrastruttura di posta elettronica sia in grado di conservare i registri di controllo e di accesso per almeno sei mesi. Nelle start-up si tende a costruire rapidamente le infrastrutture, rimandando la sicurezza e la registrazione dei log a un secondo momento.
  • Non cancellare le prove: è importante acquisire sempre il maggior numero possibile di prove quando si tratta di incidenti di sicurezza informatica sospetti o confermati. L’eliminazione di un elemento di prova aiuta solo il colpevole dell’attacco.
  • Identificare i domini “imitazione”: è opportuno utilizzare uno strumento per identificare i nuovi domini registrati che siano simili al proprio.
  • Avere un piano IRP: è sempre bene essere preparati con un piano di risposta agli incidenti (Incident Response Plan) e strategie tattiche di risposta agli incidenti (Tactical IR Playbook) sempre pronti.

Per ulteriori informazioni è possibile consultare il blog post a questo link.