Několik měsíců se hackerská skupina Florentine Banker soustředila na svůj cíl, manipulovala e-mailovou komunikací, registrovala podvodné domény a kradla peníze. Celkově se ve čtyřech samostatných bankovních transakcích pokusili útočníci převést 1,1 milionu britských liber na utajené bankovní účty. Díky zásahu společnosti Check Point se podařilo získat zpět 570 000 britských liber, zbytek ovšem nevratně zůstal v rukou kyberzločinců. Výzkumníci společnosti Check Point také odhalili řadu dalších domén nesouvisejících se zmíněným cílem, což naznačuje, že gang se pravděpodobně zaměřil na více obětí.

Kyberzločinecká skupina Florentine Banker si pečlivě vybere svůj cíl a spustí cílenou phishingovou kampaně zaměřenou na klíčové lidi uvnitř organizace, často se jedná o generální a finanční ředitele, tedy osoby, které mají na starosti finanční transakce. V tomto případě byly první phishingové e-maily zaměřené pouze na dva zaměstnance, z nichž jeden poskytl své přihlašovací údaje. Phishingové útoky pak pokračují několik týdnů v různých podobách, příležitostně cílí na další osoby, dokud útočníci nezískají kompletní přehled o celém finančním obrazu společnosti.

Check Point rozdělil útok do pěti fází:

1. Sledování a analýza. Jakmile útočníci získají kontrolu nad e-mailovým účtem oběti, začnou číst e-maily. Florentine Banker tráví dny, týdny nebo dokonce měsíce průzkumem, než se aktivně zapojí do komunikace, trpělivě mapuje obchodní procesy a postupy, způsoby převodu peněz a vztahy uvnitř i vně organizace.

2. Kontrola a izolace. Útočníci začínají oběť izolovat od třetích stran a kolegů vytvořením zvláštních e-mailových pravidel. Tato pravidla přesměrují všechny e-maily s filtrovaným obsahem nebo předmětem do složky monitorované útočníky.

3. Podvodné domény. Útočníci registrují podvodné domény, které vypadají věrohodně a podobně jako legitimní domény subjektů zapojených do e-mailové korespondence, kterou chtějí útočníci zachytit. Útočník začne odesílat e-maily z těchto podvodných domén a vytvoří novou konverzaci nebo pokračuje v existující konverzaci, takže oběť nepostřehne, že by s e-maily mělo být něco v nepořádku.

4. Žádost o peníze. Útočníci začnou vkládat podvodné informace o bankovním účtu pomocí následujících technik:
    a. Zachycení legitimních bankovních převodů
    b. Vytvoření nových požadavků na bankovní převod

5. Převod peněz. Florentine Banker manipuluje konverzací, dokud třetí strana neschválí nové bankovní údaje a nepotvrdí transakci. Pokud banka odmítne transakci kvůli neshodám v měně, jménu příjemce nebo z jakéhokoli jiného důvodu, jsou útočníci připraveni vše opravit, dokud peníze neskončí na jejich účtu.

"V tomto konkrétním případě útočníci použili celkem sedm různých domén. Po důkladné analýze našel Check Point dalších 39 podvodných domén registrovaných v letech 2018 – 2020. Hackeři se zjevně snaží útočit i na další organizace. Vzhledem k ochraně soukromí potenciálních obětí nebude Check Point zveřejňovat informace o dotčených doménách a značkách. Výzkumný tým Check Point Research se nicméně snaží kontaktovat tyto organizace, aby se zabránilo dalším krádežím a podvodům,“ říká Pavel Krejčí, Security Engineer ve společnosti Check Point.

Níže je přehled možných cílů Florentine Banker podle jednotlivých zemí a odvětví na základě analýzy odhalených podvodných domén:

Check Point sice během vyšetřování nenalezl jednoznačné důkazy o původu Florentine Banker, ale existují stopy, které naznačují možný původ:

1. Zachyceny a upraveny byly pouze konverzace nebo transakce v angličtině.

2. Během dvou měsíců, které skupina Florentine Banker operovala v prostředí oběti, byly aktivity prováděny jen od pondělí do pátku.

3. Podvodné bankovní účty se nalézaly v Hongkongu a ve Spojeném království.

4. Několik e-mailových vláken v hebrejštině obsahovalo cenné informace, které útočníci ale nevyužili. Lze tedy předpokládat, že hebrejsky nemluví.

5. Pro podvodné převody peněz bylo použito jméno hongkongské společnosti, ale zdá se, že tato společnost byla buď falešná nebo byla zaregistrovaná již dříve a od té doby zanikla.

"Zejména v současné době jsou bankovní převody velmi běžné, od každodenních drobných plateb až po vládní stimulační balíčky. Věnujte proto zvýšenou pozornost e-mailové komunikaci, aby na druhé straně nebyla skupina kyberzločinců podobná Florentine Banker,” dodává Pavel Krejčí.

Jak se proti podobným hrozbám a útokům chránit?

1. Zabezpečte svou e-mailovou komunikaci. Kyberzločinci pro útoky na organizace stále nejčastěji využívají e-maily. Phishingové zprávy se snaží ukrást přihlašovací údaje nebo oběť přimět ke kliknutí na škodlivý odkaz/soubor. Organizace musí vždy využívat řešení pro zabezpečení e-mailů, které automaticky zabrání podobným útokům.

2. Vzdělávejte zaměstnance. Velmi důležité je průběžně vzdělávat zaměstnance a informovat je o nových hrozbách.

3. Dvakrát měř, jednou řež. Při zpracování bankovních převodů je potřeba si vše znovu ověřit a zavolat osobě nebo organizaci, která požádala o převod a je příjemcem financí.

4. Informujte obchodní partnery. Pokud ve vaší organizaci zjistíte podobné narušení bezpečnosti, nezapomeňte také informovat všechny své obchodní partnery. Jakékoli prodlevy ve sdílení informací hrají ve prospěch útočníků.