Winnie-the-Puff
Midle Weight
- Депозит
- $0
Business Email Compromise (BEC) - это переадресация платежей куда нужно вам, пользуясь доступом к емайлам корпорации.
Основные понятия
В корпорациях два типа платежей
1. Исходящие, они называются Account Payable (AP)
2. Входящие, они называются Account Receivable (AR).
Важно понимать, что наша цель не инициировать платеж, а переадресовать его заменив банковские реквизиты. Инициировать тоже можно, но это сложнее и работает в меньшем количестве случаев.
Если мы хотим переадресовать AR, нам понадобится банковский счет на такое же (это важно) имя компании, но в другом банке. Чтобы узнать эти данные, нам нужен документ - или Invoice или Wire Instructions. Обычно находятся легко.
Ну а если мы переадресовываем AP, понадобится новый счет на контрагента, которому пойдут деньги.
Иерархия в корпорациях
Чтобы понимать как переадресовывать платежи, надо понимать кто за них отвечает.
Chief Financial Officer (CFO) - Финдиректор, главный босс по платежам, в крупных корпорациях он обычно не занимается непосредственно платежами. В маленьких компаниях, где фин отдел до 5 человек, он может и сам платежи высылать.
Controller - подчиненный CFO, обычно в средних и крупных компаниях. В средних компаниях высылает сам платежи, в крупных обычно нет.
Account payable - клерк нижней ступени, который занимается исходящими платежами
Account receivable - клерк нижней ступени, который занимается входящими платежами
Алгоритм разведки
Находим сотрудников, которые занимаются платежами. Способы:
1. Ищем почтовые группы AP, AR, Payments и там будут емайлы сотрудников
2. Ищем на сайте корпорации, через гугл, зуминфо, рокетрич
Далее, мы ищем задолженности AR и AP. Частенько они гуляют в виде эксель таблиц, если этого нет смотреть платежки и/или инвойсы.
В некоторых фирмах большие суммы в AR, в других в AP а в некоторых и то и другое.
Выбираем какое направление (AP или AR) будем менять и кто это будет (сам корп или контрагент).
Теперь время изучить, как осуществляется процесс смены реквизитов.
В маленьких фирмах это может быть просто письмо, или письмо со звонком.
Иногда это можно сделать, дав указание от старшего младшему сотруднку. Вариантов много, всех не описать.
Вариант 1: если мы поняли, что это делает Account Payable, то делаем фейк письмо от CFO контрагента нашему CFO, и он в виде письма с форвардом дает указание Account Payable. Тут надо аккуратно сделать, чтобы Account Payable не написал контрагенту напрямую.
Вариант 2: делаем емайл контрагента и с него пишем. Можем это сделать с домена контрагента (спуф), или с доменом похожим на контрагента.
Теперь время поработать фильтрами. Если у нас админ доступ, то мы можем сделать фильтр на исходящие письма, чтобы контрагенты не получали письма от корпорации. Если же такого доступа нет - уповаем на удачу.
Также необходимо сделать фильтр входящих, чтобы письма от контрагента не приходили в инбокс а в другую папку. В это время мы весь день уже следим за целевым емайлом, чекаем вручную письма от контрагента если там ничего такого нет вручную перетаскиваем его в инбокс.
Ведь все емайлы активные, одно лишнее движение и вся работа коту под хвост.
Аккуратно работайте с форвардингом писем. Форвардинг обычно отслеживается админом, если не знаете как админка работает, лучше с форвардом не связываться.
В емайлах можно закрепляться. Это не хакерское закрепление с кобальт-страйк, это работает так - находите трастовые емайлы с кем переписывается человек, и делаете похожий емайл. Лучше, если этот диалог содержит какие то файлы. Далее, вклиниваетесь в диалог и сохраняете инфу. Если доступ к ящику потеряете, можете инициировать диалог заново - например, сказать "вот таблица это верный вариант?" а доступ к таблице по ссылке сделать чтобы человек вводил данные ящика и в итоге там эта таблица была.
Выводы
Переадресация платежей работает не всегда. Очень важно проявить терпение и дождаться хорошего момента. Например, когда компания по каким то причинам хочет изменить свой банк на другой. С другой стороны, если только выжидать то особо и не переадресуешь ничего. Там уже надо смотреть по ситуации, а это придет только с опытом. Опыт - это сотни тысяч, которые вы потеряете из-за ошибок. Но с каждой ошибкой будет расти скилл. Хороший BEC позволяет высылать платежи неделями, или получить десяток платежей с одной подмены.
В некоторых корпорациях BEC сделать невозможно из-за алгоритма смены реквизитов, но какой это алгоритм - уже за рамками данного поста.
Бонус-трэк
Вы нашли емайл где неделю-две назад компания поменяла реквизиты банковского счета. Шанс упущен? Не-а. Есть такая процедура, отзыв письма. Просите отозвать письмо с данными как некорректное и пишете корректное со своими данными. Будьте готовы, что надо будет сделать прозвон или принятие звонка, возможно даже несколько. Если все правильно сделать, платежи пойдут куда надо вам.
Всем удачи!
Ваш бро - Винни-Пых.
Основные понятия
В корпорациях два типа платежей
1. Исходящие, они называются Account Payable (AP)
2. Входящие, они называются Account Receivable (AR).
Важно понимать, что наша цель не инициировать платеж, а переадресовать его заменив банковские реквизиты. Инициировать тоже можно, но это сложнее и работает в меньшем количестве случаев.
Если мы хотим переадресовать AR, нам понадобится банковский счет на такое же (это важно) имя компании, но в другом банке. Чтобы узнать эти данные, нам нужен документ - или Invoice или Wire Instructions. Обычно находятся легко.
Ну а если мы переадресовываем AP, понадобится новый счет на контрагента, которому пойдут деньги.
Иерархия в корпорациях
Чтобы понимать как переадресовывать платежи, надо понимать кто за них отвечает.
Chief Financial Officer (CFO) - Финдиректор, главный босс по платежам, в крупных корпорациях он обычно не занимается непосредственно платежами. В маленьких компаниях, где фин отдел до 5 человек, он может и сам платежи высылать.
Controller - подчиненный CFO, обычно в средних и крупных компаниях. В средних компаниях высылает сам платежи, в крупных обычно нет.
Account payable - клерк нижней ступени, который занимается исходящими платежами
Account receivable - клерк нижней ступени, который занимается входящими платежами
Алгоритм разведки
Находим сотрудников, которые занимаются платежами. Способы:
1. Ищем почтовые группы AP, AR, Payments и там будут емайлы сотрудников
2. Ищем на сайте корпорации, через гугл, зуминфо, рокетрич
Далее, мы ищем задолженности AR и AP. Частенько они гуляют в виде эксель таблиц, если этого нет смотреть платежки и/или инвойсы.
В некоторых фирмах большие суммы в AR, в других в AP а в некоторых и то и другое.
Выбираем какое направление (AP или AR) будем менять и кто это будет (сам корп или контрагент).
Теперь время изучить, как осуществляется процесс смены реквизитов.
В маленьких фирмах это может быть просто письмо, или письмо со звонком.
Иногда это можно сделать, дав указание от старшего младшему сотруднку. Вариантов много, всех не описать.
Вариант 1: если мы поняли, что это делает Account Payable, то делаем фейк письмо от CFO контрагента нашему CFO, и он в виде письма с форвардом дает указание Account Payable. Тут надо аккуратно сделать, чтобы Account Payable не написал контрагенту напрямую.
Вариант 2: делаем емайл контрагента и с него пишем. Можем это сделать с домена контрагента (спуф), или с доменом похожим на контрагента.
Теперь время поработать фильтрами. Если у нас админ доступ, то мы можем сделать фильтр на исходящие письма, чтобы контрагенты не получали письма от корпорации. Если же такого доступа нет - уповаем на удачу.
Также необходимо сделать фильтр входящих, чтобы письма от контрагента не приходили в инбокс а в другую папку. В это время мы весь день уже следим за целевым емайлом, чекаем вручную письма от контрагента если там ничего такого нет вручную перетаскиваем его в инбокс.
Ведь все емайлы активные, одно лишнее движение и вся работа коту под хвост.
Аккуратно работайте с форвардингом писем. Форвардинг обычно отслеживается админом, если не знаете как админка работает, лучше с форвардом не связываться.
В емайлах можно закрепляться. Это не хакерское закрепление с кобальт-страйк, это работает так - находите трастовые емайлы с кем переписывается человек, и делаете похожий емайл. Лучше, если этот диалог содержит какие то файлы. Далее, вклиниваетесь в диалог и сохраняете инфу. Если доступ к ящику потеряете, можете инициировать диалог заново - например, сказать "вот таблица это верный вариант?" а доступ к таблице по ссылке сделать чтобы человек вводил данные ящика и в итоге там эта таблица была.
Выводы
Переадресация платежей работает не всегда. Очень важно проявить терпение и дождаться хорошего момента. Например, когда компания по каким то причинам хочет изменить свой банк на другой. С другой стороны, если только выжидать то особо и не переадресуешь ничего. Там уже надо смотреть по ситуации, а это придет только с опытом. Опыт - это сотни тысяч, которые вы потеряете из-за ошибок. Но с каждой ошибкой будет расти скилл. Хороший BEC позволяет высылать платежи неделями, или получить десяток платежей с одной подмены.
В некоторых корпорациях BEC сделать невозможно из-за алгоритма смены реквизитов, но какой это алгоритм - уже за рамками данного поста.
Бонус-трэк
Вы нашли емайл где неделю-две назад компания поменяла реквизиты банковского счета. Шанс упущен? Не-а. Есть такая процедура, отзыв письма. Просите отозвать письмо с данными как некорректное и пишете корректное со своими данными. Будьте готовы, что надо будет сделать прозвон или принятие звонка, возможно даже несколько. Если все правильно сделать, платежи пойдут куда надо вам.
Всем удачи!
Ваш бро - Винни-Пых.