VD-bedrägeri mot Ubiquiti Networks – förlorade 39 miljoner dollar

 

Ubiquiti Networks Inc, aktiva inom nätverksteknik för företag och tjänsteleverantörer, meddelade i juni 2015 att de varit offer för ett e-postaffärsbedrägeri som resulterade i en förlust på 39,1 miljoner dollar.

Företaget uppger att det under juni månad upptäckt att det fallit offer för ett företagsbedrägeri.
Det verkar som att en anställd i ett av deras dotterbolag, baserat i Hong Kong, blev utsatt för det som i folkmun kallas för “VD-bedrägeri” eller “Business Email Compromise” (BEC)-attack.

VD-bedrägerier en metod där brottslingar efterliknar e-postmeddelanden från en högre anställd inom organisationen. De riktar sig sedan mot någon på ekonomiavdelningen, eller någon som har befogenhet att initiera banköverföringar och lurar dem att överföra stora mängder pengar från företagets bankkonton till bankkonton som kontrolleras av brottslingarna. Mycket ofta ser e-postmeddelandena ut att komma inifrån bolaget självt, men de kan också se ut att komma från en känd leverantör (se vår artikel om VD-bedrägerier).

Ubiquiti Networks beskriver hur bedrägeriet inträffade och säger: ”Händelsen involverade falsk urkund och bedrägliga förfrågningar från en extern enhet riktad mot företagets finansavdelning. Detta bedrägeri resulterade i överföringar av medel på sammanlagt 46,7 miljoner dollar till andra utländska konton som innehas av tredje part. ”

När dotterbolaget blev medvetet om överträdelsen kontaktade Ubiquiti Networks såväl banken som brottsbekämpande myndigheter och lyckades få tillbaka 8,1 miljoner dollar av de stulna pengarna medan ytterligare 6,8 miljoner dollar blev ” föremål för rättsligt föreläggande som rimligen förväntas återvinnas av företaget i sinom tid”. Resterande 30 miljoner dollar var borta.

Ubiquiti genomförde en egen oberoende utredning med hjälp av extern part. Undersökningen ”avslöjade inga bevis för att våra system har trängts igenom eller att någon företagsinformation, inklusive vår finansiella information och kontoinformation, har nåtts av bedragarna.” Undersökningen fann inga bevis för anställdas inblandning i bedrägeriet förutom att företagets interna kontroll över finansiell rapportering ansågs ineffektiv på grund av ”en eller flera väsentliga svagheter.” För att undvika att något liknande skall ske igen har företaget därefter implementerat förbättrade interna kontroller rörande finansiell rapportering och håller på att införa ytterligare rutiner och kontroller enligt rekommendationer från undersökningen.

Ubiquiti är varken det första eller sista företaget som faller offer för en liknande attack. Denna typ av attacker har blivit så vanliga att t.ex. FBI varnat specifikt för dem. I sin varning uppgav FBI att företag redan under 2013 lurats på upp till 214 miljoner dollar, fördelat på ett par tusen företag.

 

Fritt översatt från en artikel publicerad av CSO: Ubiquiti Networks victim of $39 million social engineering attack