A hackerek fő működési területe Ázsia, innen választják ki áldozataikat, de az elmúlt egy év folyamán több alkalommal kiterjesztették ezt Dél- és Közép-Kelet Európára, beleértve Magyarországot is. A bűnözők a Google vagy Alibaba keresőjét használják, vagy publikus online adatbázisokból szedik össze az email címeket. A kampányok célzottak, egy adott földrajzi régióra, és egy adott szolgáltatásra szorítkoznak. Ezen belül olyan kis– és középvállalatokat céloznak meg, olyan személyeket a cégen belül, aki a számlákkal foglalkozhat – közölte Szappanos Gábor, a Sophos vírusszakértője.

Számlának álcázott melléklet

Az összegyűjtött email címekre kiküldik a számítógépes kártevőt. A levél szövege a megcélzott iparágra jellemző tartalom, például ajánlatkérés vagy számlának álcázott melléklet. A levelek vagy közvetlenül a kémprogramot tartalmazzák mellékletként, vagy egy Microsoft Office dokumentumot, amely telepíti a számítógépre a kémprogramot. A kiküldött több ezer fertőző levéllel pár tucat számítógépet tudnak általában megfertőzni, ezekkel dolgoznak a továbbiakban.

Amikor a bűnözők már rendelkeznek a céges email hozzáféréssel, akkor felhasználva a lopott adatokat bejelentkeznek és végigböngészik a levelezést. A kimenő leveleket ellenőrzik, olyan üzeneteket keresnek, amelyekben a fertőzött rendszerből számlát küldtek ki. Ha ilyent találnak, akkor erre reagálva egy újabb üzenetet írnak, amiben az eredeti számla kifizetését egy másik, a bűnözőkhöz tartozó bankszámlára kérik átirányítani. Ha sikerül, akkor törlik a nyomaikat, a kiküldött levelet és az esetleges válaszokat, és begyűjtik a pénzt. A külföldi vállalatokhoz hasonlóan, a magyaroknál is 700.000 és 20.000.000 Forint között mozoghat az egyes eltérített számlák összege.

Ha már áldozatul estünk

A csalók nem azt fertőzik meg, akinek végül az anyagi kára keletkezett, hanem a levelezőpartnerét, tehát a károsult nem az a cég, amelyiknek a levelezőrendszerét feltörték, hanem a vele kapcsolatban levő;, a számla címzettje, akinek a rendszeréhez hozzá sem fértek a bűnözők. A károsult cég szempontjából rendkívül nehéz felismerni a kifizetés eltérítési próbálkozást, mivel a bűnözők által küldött kérelem teljesen szabályosnak tűnik, a feltört cég levelezőrendszeréből érkezik, egy korábbi levélfolyamra válaszolva, azaz nincs árulkodó jel. A szakértő azt javasolja, hogy ha valakit megfertőztek, ellenőrizze a levelezését, vannak-e gyanús kiadott számlák, és vegye fel a kapcsolatot gyakori partnereivel, hogy azokat érte-e a fertőzésből származó kár.

Védekezni lehet naprakészen frissített vírusvédelemmel, operációs rendszer és Office biztonsági javítások telepítésével, valamint azzal, ha hallgatunk az örökérvényű tanácsra, miszerint ismeretlen feladó csatolmányát soha nem szabad megnyitni.