I ricercatori di
Check Point hanno risolto il caso del misterioso dirottamento di un
bonifico del valore di un milione di dollari, tra una società di Venture Capital cinese e una start-up israeliana.
Come ha agito l'hacker:
- Ha compromesso i server e-mail
- Ha registrato due domini falsi, imitando quelli delle due compagnie
- Ha dirottato la conversazione via e-mail
- Ha inviato dati bancari ingannevoli
- Ha cancellato l'incontro di persona tra i rappresentanti delle due aziende truffate
- Ha incassato la transazione da un milione di dollari
Una società cinese di Venture Capital
ha tentato di trasferire il denaro a una startup israeliana ma quest'ultima non ha mai ricevuto i soldi. Quando è diventato chiaro che la somma di denaro fosse stata rubata, il CEO della startup ha contattato Check Point, che ha raccolto e analizzato tutti i log disponibili, le e-mail e i computer coinvolti: alcune delle e-mail che le due parti si erano scambiate erano state modificate e
altre non erano neanche state scritte da loro. Invece di monitorare la conversazione con il classico sistema di auto-inoltro, l'hacker che ha eseguito l'attacco ha registrato due domini web molto simili a quelli delle due compagnie coinvolte. Ha quindi inviato alle aziende due e-mail dai domini falsi usando lo stesso oggetto della conversazione originale, di fatto assumendo efficacemente la posizione di intermediario tra i due interlocutori. Questa situazione ha dato all'aggressore la possibilità di condurre un attacco man-in-the-middle (MITM).
Ogni e-mail inviata da ciascuna parte era in realtà diretta all'intermediario che ne rivedeva il contenuto, decideva se modificarne delle parti e poi la inoltrava, opportunamente modificata, al destinatario originale, tramite il dominio falso.
Durante l'intero flusso di questo attacco, l'aggressore ha inviato 18 e-mail alla parte cinese e 14 alla parte israeliana. Era anche stato organizzato un incontro di persona tra la società proprietaria del conto cinese e il CEO della startup israeliana che doveva ricevere la somma;
tramite due e-mail fasulle, l'hacker ha annullato strategicamente il meeting all'ultimo minuto, poiché permettere che i due interlocutori si incontrassero di persona sarebbe stato un rischio troppo grande.
Check Point
è stata in grado di dedurre che l'hacker si trovasse in Cina, considerato che il conto bancario su cui è stata dirottata la transazione è registrato in Cina e collegato ad un'azienda di Hong Kong ormai chiusa.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.
