Egy iskola építésére szánt dollármilliókat csaltak el bűnözők a social engineering módszerével egy észak-karolinai megye képviselőitől. Az összegeknek csupán a kisebb részét sikerült visszaszerezniük.
Social engineeringnek vagy pszichológiai manipulációnak nevezik az olyan csalásokat, amikor bűnözők másoknak adva ki magukat csalnak ki kisebb-nagyobb pénzösszegeket (vagy információkat) emberektől, cégektől. Az ilyen csalások elkövetéséhez minimális informatikai tudás szükséges, sokkal inkább az emberi elme működésének és a cég belső folyamatainak ismeretére van szükség, kiegészítve mindezt némi okirat-hamisítással.
Ezúttal az észak-karolinai Cabarrus megye hatóságait sikerült megtéveszteniük a bűnözőknek. A megyében épp elkezdtek építeni egy új iskolát, a West Cabarrus High-t, az építéssel megbízott partnercég pedig a virginiai székhelyű Branch and Associates nevű vállalat volt. A problémák 2018 novemberében kezdődtek, amikor az iskola építéséért felelős megyei hatóságok egy hamisított e-mailt kaptak, melyben az állt, hogy megváltozott az építő cég bankszámlaszáma.
A hasonló változások nem ritkák, de nem is túl gyakoriak, ezért a pénzek átutalásáért felelős kolléga további iratokat kért a cégtől, hogy meggyőződjön, a bankszámla tényleg megváltozott. A kommunikáció továbbra is e-mailen folyt, a csalók pedig bemutatták a kért dokumentumokat – ezeket nyilván meghamisították – , így egy bank által aláírt nyilatkozatot is, hogy a számlaszám tényleg megváltozott. A megyei hatóságok elfogadták az iratokat, és december 21-én valamivel több mint 2,5 millió dollárt utaltak a hamis bankszámlára.
A karácsonyi ünnepek gondtalanul teltek el, majd január 8-án az építtető vállalat jogos és hiteles képviselője jelentkezett, hogy elmaradt az aktuális számla fizetése. A hatóságok értesítették a rendőrséget, majd a nyomozók és a biztosító képviselőinek közös nyomozása kiderítette, hogy a számítógépes rendszereket nem érte támadás, hanem a social engineering tipikus példájával állnak szembe, amikor egy hamisított e-mail, valamint a belső részletek ismerete elég volt a csalás sikeres kivitelezéséhez. Az e-mail egy külső szolgáltatótól érkezett, amelyet a csalók úgy állítottak be, hogy az építtető vállalat levelezési címének nézzen ki – egy informatikus erről könnyen ki tudta volna deríteni, hogy hamis.
Persze, nem mindenki tudja, hol is kell az e-mail címek valódiságát megvizsgálni.
Cabarrus megye képviselői ott tévedtek, hogy a megváltozott bankszámla bizonyításához továbbra is e-mailen kérték a bizonyítékokat, azaz ugyanazt a csatornát használták az információk tisztázására.
A megye képviselői természetesen azonnal leállítottak minden jövőbeli utalást. A csalók több számlákon keresztül utaztatták a pénzt, de a nyomozóknak az elcsalt összeg egy részét sikerült visszaszerezniük, így végül 1,7 millió dolláros kár érte a megyét. Ahhoz, hogy az iskola építkezése tovább folytatódjon, a hatóságok a vésztartalékból szabadították fel a hiányzó összeget. Sajnos, a biztosító csupán 75 ezer dollárnyi kárt térített meg.
Az ilyen csalások ellen oktatással és ügyiratkezelési szabályok bevezetésével lehet védekezni.
A cikk és a kép forrása: Cabarrus megye weboldala