Lahkame keerukat ent elulist e-posti võltsimise juhtumit, mis lõppes kannataja jaoks märkimisväärse rahalise kahjuga.
Andris Reinman: tõestisündinud lugu e-posti võltsimise tõttu kaotatud rahast
Soovitan seda analüüsi lugeda kõigil, kes e-posti teel arveid saadavad või vastu võtavad. Loetu võib säästa teid peavalust ja raskelt teenitud raha kaotamisest.
Esmalt kirjeldan meie tragöödia osapooled. Algses kirjavahetuses oli neid kolm: Eesti ettevõtja (Müüja), tema partner Hiinas (Tootja) ning klient Aasias (Ostja).
Osapoolte vaheline suhtlus käib kogu aeg e-posti teel ‘Reply To All’ meetodil ehk et iga järgmine kiri adresseeritakse kõigile kirja päises mainitud aadressidele. Algab kirjavahetus tavalisest ärisuhtlusest, lepitakse kokku mida ja kuhu saata, täpne transpordiviis ja muud taolist. Osalisi on lõpuks kirjavahetuse To (adressaat) ja Cc (koopia) ridadel palju.
Ühel hetkel jõutakse nii kaugele, et Eesti ettevõtjast Müüja koostab Ostjale ettemaksuarve, kus on loetletud kauba hind ning transpordikulu. Ostja saab arve kätte, maksab selle ära ja jääb kaupa ootama. Mida ei tule, on kaup. Kui Ostja pöördub lõpuks Müüja poole selgitusnõudega, saab ta vastuseks, et viimane pole raha näinud ja seetõttu kaupa väljastanud.
Mis Ostja rahaga juhtus?
Juhtus see, et meie kurbmängu neljandal osapoolel – Kurjategijal – oli õnnestunud üle võtta kas Müüja, Tootja või Ostja juures mõne kirjavahetuses osalenud inimese postkast. Kelle oma täpselt, ei ole teada ega antud kontekstis ka oluline. Mis järgnes, on aga šokeerivalt lihtne.
Kurjategija sättis ennast osapoolte kirjavahetuses vahemeheks, napsas Müüja poolt Ostjale teele pandud arve, muutis selle rekvisiidid ja saatis selle ise Ostjale edasi. Kuna muus osas oli arvega kõik korras ning see saabus eksisteeriva kirjalõime käigus, koos varasema kirjavahetuse koopiaga, mitte kahtlaselt eraldi, kandis klient tellimuse summa Kurjategija kontole.
Täpsemalt on arve väljastajaks märgitud küll ettevõte ise, kuid saaja pangakonto asub ühes Inglismaa ühistupangas ja kontoomaniku nimeks on märgitud keegi “Mr X”. Arve muu osa – arve read, maksmisele kuuluv summa, ettevõtte logo jne, olid muutmata ja ehtsad.
Kirjavahetuse analüüs
Vaatame nüüd täpsemalt, et kuidas sündmuste käik välja nägi.
Esimeste kirjade päised näevad välja nii (aadressid on siin ja edaspidi muudetud, ostja.tld tähistab kliendi domeeni, müüja.tld Eesti ettevõtte domeeni ja tootja.tld Hiina tehase domeeni, numbrid #1,#2,#3 jne. tähistavad erinevaid isikuid):
From: Ostja #1 <mailto:ostja_1@ostja.tld>
Date: 2016-10-07 12:26
To: Müüja <mailto:müüja_1@müüja.tld> ;
Tootja #1 <mailto:tootja_1@tootja.tld>
CC: Ostja #2 <mailto:ostja_2@ostja.tld> ;
Müüja #2 <mailto:müüja_2@müüja.tld> ;
Müüja #3 <mailto:müüja_3@müüja.tld> ;
Ostja #3 <mailto:ostja_3@ostja.tld> ;
Ostja #4 <mailto:ostja_4@ostja.tld> ;
Ostja #5 <mailto:ostja_5@ostja.tld>
Selliseid üsna paljude osapooltega kirju liigub kõikide osapoolte vahel palju. Muutuvad vaid aadresside asukohad kirja päises – kord on mõni aadress To, kord From real, vastavalt siis konkreetse kirja saatmisele.
Kirjade liikumise logides on kõik samuti korras ja seda senimaani, kuni saabub üks kummaline kliendipoolne kiri. Täpsemalt näeb logirida välja nii:
03:15:35 (2016-10-10) ... client=mout.gmx.com[74.208.4.200]
03:15:35 (2016-10-10) ... message-id=
<trinity-...@3capp-mailcom-lxa16>
03:15:35 (2016-10-10) ... from mout.gmx.com[74.208.4.200];
from=<ostja_1.ostja@mail.com>
to=<müüja_1@müüja.tld>
proto=ESMTP helo=<mout.gmx.com>
03:15:35 (2016-10-10) ... to=<müüja_2@müüja.tld>
03:15:35 (2016-10-10) ... to=<müüja_3@müüja.tld>
Nagu näha, on meiliteenusepakkuja GMX avanud ühenduse meie MX serverisse ning saadab Eesti ettevõttest Müüja kolmele esindajale kirja. Saajate näol on tegu siis nende aadressidega, mis asuvad kirja To ja Cc ridadel. Mis aga võiks kohe tähelepanu äratada on saatja aadress, mis varasemates kirjades on alati olnud kujul “ostja_1@ostja.tld”, aga nüüd on hoopis “ostja_1.ostja@mail.com”. Lisaks on teenusepakkujaks GMX, mitte kliendi senine tavapärane ISP.
See kiri sisaldab aga kogu eelnevat samas lõimes toimunud vestlust ja aadressiridadel on olemas kõik seotud osapooled, seega Müüjale midagi kahtlast selles ei tundu.
Samuti Cc real olnud Tootja esindaja vastab kirjale (ka tema ei märka midagi kahtlast) ja kogu vestlus käib edasi nagu tavaliselt. Samas kui vaadata edaspidise vestluse osapooli, siis on pilt drastiliselt muutunud.
Nimelt on selles kirjas Eesti e-posti aadressid ja Hiinas asuva Tootja aadress korrektsed, aga kõigi Kliendi esindajate aadressid, nii From kui Cc väljadel on muutunud kujule “ostja_N.ostja@mail.com”. Kuna kirjavahetus käib edasi ‘Reply To All’ meetodil, siis edaspidi jäävad kirjavahetuses kõikide kliendi esindajate aadresside asemel juba võltsitud @mail.com aadressid. Mitte keegi toimunud viga ei märka ja suhtlus käib endiselt edasi.
From: Ostja #1 <mailto:ostja_1.ostja@mail.com>
Date: 2016-10-11 14:56
To: Müüja #1 <mailto:müüja_1@müüja.tld>;
Tootja #1 <mailto:tootja_1@tootja.tld>
CC: Ostja #2 <mailto:ostja_1.ostja@mail.com>;
Müüja #2 <mailto:müüja_2@müüja.tld>;
Müüja #3 <mailto:müüja_3@müüja.tld>;
Ostja #3 <mailto:ostja_3.ostja@mail.com>;
Ostja #4 <mailto:ostja_4.ostja@mail.com>;
Ostja #5 <mailto:ostja_5.ostja@mail.com>
Kurjategija ei hoia mail.com aadressidele saadud kirju vaka all ja saadab laekunud kirjad ilusti Ostja aadressidele edasi, kuid ka seal on toimunud omad muudatused. Nendes kirjades, mis Ostjani jõuavad, on Ostja aadressid õiged, kuid muudetud on Müüja ja Tootja aadressid.
Kusjuures, löödud on üsna laia lauaga, sest Eesti inimeste domeeniks määrab Kurjategija @europe.com ja Hiina Tootja aadressis saab @asia.com.
From: Tootja #1 <mailto:tootja_1.tootja@asia.com>
Sent: 11-10-2016 12:38
To: Ostja #1 <mailto:ostja_1@ettevõte_1>;
Müüja #1 <mailto:müüja_1.müüja@europe.com>
Cc: Ostja #2 <mailto:ostja_2@ostja.tld>;
Müüja #2 <mailto:müüja_2.müüja@europe.com>;
Müüja #3 <mailto:müüja_3.müüja@europe.com>;
Ostja #3 <mailto:ostja_3@ostja.tld>;
Ostja #5 <mailto:ostja_4@ostja.tld>;
Ostja #5 <mailto:ostja_5@ostja.tld>
Vastuskirjades vahetatakse aadressid jälle teistpidi tagasi.
Sisuliselt võib öelda, et ründav pool hakkab proksiks Ostja, Müüja ja Tootja vahele teostades nö Man In the Middle rünnaku. Kirjad jõudsid kõik kohale, kuid seda läbi GMX serveri, kus ründaja omas kõiki vastavaid @mail.com, @europe.com ja @asia.com aadresse ja täielikku kontrolli kirjade sisu üle.
Ründaja eesmärk oli jõuda nii kaugele, et Eesti ettevõtja Müüja väljastaks Ostjale arve. Siis napsas ta selle vahelt, muutis ära ja edastas muudetud kujul Ostjale. Edasi polnudki muud teha, kui oodata rahalaeva laekumist.
Kes on tekkinud olukorras süüdi?
Kuna esimene võltskiri tuli Ostja poolelt, siis kahtlustaks, et Ostja postkast oli häkitud. Samas seda sajaprotsendilise kindlusega väita ei saa, sama hästi võis see ka ükskõik milline teine osapool olla, aadressaate käis tänu vestluse ‘Reply To All’ iseloomule kirjavahetusest läbi ju palju.
Samuti ei ole teada, et kuidas esimese võltskirja lõime istutamine täpselt käis. Kas see oli 100% võltsitud, st selle koostas ründaja ise või oli see kuidagi vahelt võetud, ehk selle kirjutas klient, kuid ründaja muutis seda enne kohale toimetamist endale sobivaks. On ka võimalik, et häkitud oli hoopis Hiina Tootja postkast ja IMAP’i kaudu vahetati seal Ostja poolt saadetud legitiimne kiri ära võltsingu vastu.
Igatahes on fakt, et ründajal oli ligipääs mõne osalise kirjakastile, sest ainult nii sai ta tekitada selle esimese võltsitud Reply kirja, mis sisaldas ka sama lõime eelnevate kirjade sisu. Konkreetset häkitud postkasti aga vähemalt meile kätte saadavate tõendite alusel siiski välja tuua ei saa.
Võib ju mõelda, et kui rumal saab keegi olla, kui maksab valele arvele nii palju raha. Kuid arvestada tuleb, et tegu oli rahvusvahelise äriga, kus eri pooled asusid maailma eri külgedel ning üksteise tavadest on raske aru saada. Lisaks, kuna kirjade ümbersuunamise ja arve väljastamise vahele jäi tervelt nädal aega Kurjategija vahendusel peetud meilivahetust, siis arve saamise hetkeks oli klient tarnijatega juba mitmeid kirju @mail.com ja @europe.com aadresside kaudu vahetanud, seega ei olnud need aadressid enam päris võõrad.
Mis järeldused sellest kõigest teha?
Konkreetsel juhul on kahju juba tehtud ning raske on uskuda, et jalutama läinud ülekannet enam tagasi pöörata saaks.
Selle konkreetse pettuse eest ei kaitse mitte ükski spämmi- ega viirusetõrje (ükski kiri ei olnud masspostitus ega sisaldanud viiruseid).
Kirjade võltsimise vastu võiks teoorias aidata SPF või DKIM reegel, aga kuna Kurjategija ei võltsinud aadresse, vaid vahetas need julmalt enda omade vastu, siis mingit hoiatust nende meetmete poolt ei oleks tekkinud.
E-posti klient võiks ju olla võimeline tuvastama, et adressaadid on lõime edenemise käigus vahetunud ja seda kuidagi ka hoiatuseks välja kuvada, kuid ka see kõlab lihtsamalt, kui tegelikult teostada saaks, nii et vähemalt praeguste võimaluste juures taolisi pettusi tehniliste vahendite abil ära hoida ei ole sisuliselt võimalik. Asja teeb raskemaks ka see, et paljud meilikliendid ei kuvagi üldse aadresse, vaid ainult saatjate nimesid.
Ainukene asi, mis oleks osapooli aidanud, oleks avaliku võtme krüptograafia kasutamine kirjade terviklikkuse ja autentsuse kontrollimiseks. Kui Eestis asuvate osapoolte vahel oleks selle teostamine ravuslikku PKI taristut kasutades lihtne, siis rahvusvaheliselt kahjuks veel nii ei ole.
Ainus mida kohe praegu teha saab, on olla ise tähelepanelikum. Ostja peab alati 100% veenduma, et saabunud arve peal on kõik korrektne ning viimase hetke muudatustesse arve numbris või muudes saaja atribuutides tuleb suhtuda äärmiselt skeptiliselt.
Müüja peab hoidma silmad lahti anomaaliate suhtes oma kirjavahetuses ning olulisi kirju saates mitte kasutada Reply või Reply To All nuppu, vaid alati kas aadressi käsitsi sisestades või kontakti valimisega aadressiraamatust.
Ühtlasi soovitame (eriti rahvusvalhelises!) äris mitte kasutada üldkasutatavaid e-posti identiteete nagu @hot.ee, @online.ee, @mail.com, @gmail.com ja suhtuda nende kirjavahetusse tekkimisse äärmise ettevaatlikkusega. Selliste aadresside kasutamisel on kirjavahetuse osapoole tuvastamine sisuliselt võimatu ja teise osapoole asemele hüppamine äärmiselt lihtne.
Usaldusväärses tippdomeenis ettevõtte enda nimele domeeni puhul on vähemalt mingitki abi registrite ja registripidajate tehtavast autententimistööst ning WHOIS protokollist.
Reply aadresside võltsimine on siiski ju niiöelda the ‘oldest trick in the book’, lihtsalt nüüd tehakse seda veelgi filigraansemalt kui varem.
NB! Ülaltoodud lugu ilmus esmalt zone.ee ajaveebis