- 20,215
- 46
- 8 Ноя 2022
Балтимор отдал миллион мошеннику, и никто даже не проверил чек.
Власти Балтимора, США, стали жертвой сложной мошеннической схемы, в результате которой из городского бюджета было выведено более 1,5 миллионов долларов. Как следует из отчёта Управления генерального инспектора (OIG), злоумышленник сумел получить доступ к системе Workday, использующейся для работы с поставщиками, и изменить банковские реквизиты одной из компаний, получающих выплаты от города. В итоге $1,52 млн были переведены на счёт, не связанный с реальным поставщиком. Часть средств — $721 236 — удалось вернуть, однако $803 384 до сих пор числятся как утраченные.
Схема была запущена ещё 9 декабря 2024 года, когда мошенник отправил через Workday поддельную форму на добавление нового контактного лица от имени настоящего сотрудника компании-поставщика. При этом был указан личный e-mail, не связанный с корпоративным доменом. Президент компании впоследствии подтвердил, что данный работник не имел отношения к финансовой деятельности. Тем не менее, уже 11 декабря сотрудник департамента расчётов утвердил заявку и добавил фальшивого пользователя к профилю поставщика в системе. Верификация личности или сверка e-mail на тот момент не требовались правилами, а часть данных в форме противоречила уже имеющейся информации в Workday.
Немедленно после получения доступа злоумышленник попытался сменить банковские реквизиты поставщика. Он направлял серию запросов, в том числе поддельный аннулированный чек 4 января 2025 года, а 7 января отправил повторную заявку на изменение банковского счёта. Её 10 января утвердил второй сотрудник финансово департамента, а окончательное одобрение дал третий. Ни один из них не проверил поддельный чек. Согласно записям Workday, 19 февраля реквизиты поставщика были официально заменены на данные мошенника.
Далее последовали два крупных платежа: 21 февраля — на сумму $803 384, и 10 марта — ещё $721 236. Только 13 марта банк города получил сигнал от финансового учреждения получателя о подозрительной активности. После этого стало ясно, что средства были переведены на подставной счёт. Настоящий поставщик подтвердил, что ничего не знал об изменениях. Аккаунт злоумышленника был удалён из Workday, а профиль поставщика временно заморожен.
Несмотря на уведомление Департамента финансов 13 марта, инспекторат узнал о случившемся только 19 марта. Попытка AP связаться с полицией Балтимора оказалась безрезультатной: использовались устаревшие контакты. В результате 31 марта именно сотрудники OIG вышли на правоохранительные органы и инициировали уголовное расследование. Позднее в одном из интервью представители офиса инспектора утверждали, что мошенник обошёл систему геофенсинга города через Starlink. Однако ИТ-специалисты города не нашли доказательств использования спутниковой связи, опровергнув эту версию.
Проверка выявила серьёзные системные проблемы. В момент атаки внутренние процедуры департамента не предусматривали проверку личности при смене платёжных данных, отсутствовали списки уполномоченных представителей поставщиков, а верификация по телефону не требовалась. Эти же слабые места ранее становились причиной аналогичных инцидентов в 2020 и 2022 годах, но прежние рекомендации инспектора реализованы не были.
В ответ на случившееся департамент расчётов провёл внутреннюю проверку, инициировал возврат средств и создал межведомственную рабочую группу с участием специалистов по ИТ, закупкам и управлению рисками. Совместно был выработан и внедрён ряд мер. В частности, переработаны стандартные процедуры по внесению изменений в контактные и банковские данные поставщиков, введена обязательная телефонная верификация при любых корректировках реквизитов, добавлена 48-часовая задержка перед вступлением изменений в силу и реализованы автоматические уведомления для всех контактов поставщика при любом обновлении профиля в Workday.
Кроме того, для повышения безопасности теперь требуется специальная роль пользователя для внесения чувствительных изменений, сотрудники AP проходят дополнительное обучение по распознаванию признаков социальной инженерии , а система Workday ежедневно отслеживается на предмет подозрительной активности, включая дублирующиеся запросы, ускоренные операции и нетипичные изменения профиля. Офис инспектора отметил, что рассматривает произошедшее как стимул к системной модернизации и усилению защиты финансовых операций города.
Власти Балтимора, США, стали жертвой сложной мошеннической схемы, в результате которой из городского бюджета было выведено более 1,5 миллионов долларов. Как следует из отчёта Управления генерального инспектора (OIG), злоумышленник сумел получить доступ к системе Workday, использующейся для работы с поставщиками, и изменить банковские реквизиты одной из компаний, получающих выплаты от города. В итоге $1,52 млн были переведены на счёт, не связанный с реальным поставщиком. Часть средств — $721 236 — удалось вернуть, однако $803 384 до сих пор числятся как утраченные.
Схема была запущена ещё 9 декабря 2024 года, когда мошенник отправил через Workday поддельную форму на добавление нового контактного лица от имени настоящего сотрудника компании-поставщика. При этом был указан личный e-mail, не связанный с корпоративным доменом. Президент компании впоследствии подтвердил, что данный работник не имел отношения к финансовой деятельности. Тем не менее, уже 11 декабря сотрудник департамента расчётов утвердил заявку и добавил фальшивого пользователя к профилю поставщика в системе. Верификация личности или сверка e-mail на тот момент не требовались правилами, а часть данных в форме противоречила уже имеющейся информации в Workday.
Немедленно после получения доступа злоумышленник попытался сменить банковские реквизиты поставщика. Он направлял серию запросов, в том числе поддельный аннулированный чек 4 января 2025 года, а 7 января отправил повторную заявку на изменение банковского счёта. Её 10 января утвердил второй сотрудник финансово департамента, а окончательное одобрение дал третий. Ни один из них не проверил поддельный чек. Согласно записям Workday, 19 февраля реквизиты поставщика были официально заменены на данные мошенника.
Далее последовали два крупных платежа: 21 февраля — на сумму $803 384, и 10 марта — ещё $721 236. Только 13 марта банк города получил сигнал от финансового учреждения получателя о подозрительной активности. После этого стало ясно, что средства были переведены на подставной счёт. Настоящий поставщик подтвердил, что ничего не знал об изменениях. Аккаунт злоумышленника был удалён из Workday, а профиль поставщика временно заморожен.
Несмотря на уведомление Департамента финансов 13 марта, инспекторат узнал о случившемся только 19 марта. Попытка AP связаться с полицией Балтимора оказалась безрезультатной: использовались устаревшие контакты. В результате 31 марта именно сотрудники OIG вышли на правоохранительные органы и инициировали уголовное расследование. Позднее в одном из интервью представители офиса инспектора утверждали, что мошенник обошёл систему геофенсинга города через Starlink. Однако ИТ-специалисты города не нашли доказательств использования спутниковой связи, опровергнув эту версию.
Проверка выявила серьёзные системные проблемы. В момент атаки внутренние процедуры департамента не предусматривали проверку личности при смене платёжных данных, отсутствовали списки уполномоченных представителей поставщиков, а верификация по телефону не требовалась. Эти же слабые места ранее становились причиной аналогичных инцидентов в 2020 и 2022 годах, но прежние рекомендации инспектора реализованы не были.
В ответ на случившееся департамент расчётов провёл внутреннюю проверку, инициировал возврат средств и создал межведомственную рабочую группу с участием специалистов по ИТ, закупкам и управлению рисками. Совместно был выработан и внедрён ряд мер. В частности, переработаны стандартные процедуры по внесению изменений в контактные и банковские данные поставщиков, введена обязательная телефонная верификация при любых корректировках реквизитов, добавлена 48-часовая задержка перед вступлением изменений в силу и реализованы автоматические уведомления для всех контактов поставщика при любом обновлении профиля в Workday.
Кроме того, для повышения безопасности теперь требуется специальная роль пользователя для внесения чувствительных изменений, сотрудники AP проходят дополнительное обучение по распознаванию признаков социальной инженерии , а система Workday ежедневно отслеживается на предмет подозрительной активности, включая дублирующиеся запросы, ускоренные операции и нетипичные изменения профиля. Офис инспектора отметил, что рассматривает произошедшее как стимул к системной модернизации и усилению защиты финансовых операций города.
- Источник новости
- www.securitylab.ru
