Καναδικό πανεπιστήμιο παραλίγο να χάσει $11,8 εκατ από phishing attack.
Το Πανεπιστήμιο MacEwan στο Έντμοντον, Αλμπέρτα, είναι το τελευταίο επιβεβαιωμένο θύμα των απατεώνων του διαδικτύου, αφού κατάφεραν με ιδιαίτερη μαεστρία να της αποσπάσουν αυτό το ιλιγγιώδες ποσό.
Την Τετάρτη 23 Αυγούστου, το Πανεπιστήμιο MacEwan ανακάλυψε ότι υπήρξε θύμα μιας επίθεσης ηλεκτρονικού ψαρέματος (phishing attack) . Μια σειρά από ψευδή μηνύματα ηλεκτρονικού ταχυδρομείου έπεισαν το πανεπιστημιακό προσωπικό να αλλάξει τις πληροφορίες ηλεκτρονικής τραπεζικής για έναν από τους σημαντικότερους προμηθευτές του πανεπιστημίου.
Η απάτη είχε ως αποτέλεσμα τη μεταφορά του ποσού 11.8 εκατομμύρια δολάρια Καναδά να μεταφερθούν στον τραπεζικό λογαριασμό των επιτήδειων, όμως το προσωπικό είχε την εσφαλμένη εντύπωση πώς τα λεφτά στάλθηκαν στον προμηθευτή τους. όπως συνέβαινε πάντα, διότι δεν υπήρχε κάποιο ύποπτο σημάδι ούτως ώστε να υποπτευθούν για το αντίθετο.
Μετά την ανακάλυψη της απάτης, το πανεπιστήμιο διεξήγαγε ενδελεχής έρευνα των επιχειρηματικών διαδικασιών μέσω της ομάδας εσωτερικού ελέγχου και με τη βοήθεια εξωτερικών εμπειρογνωμόνων.
“Η προκαταρκτική αξιολόγηση κατέληξε στο συμπέρασμα ότι οι έλεγχοι γύρω από τη διαδικασία αλλαγής των τραπεζικών πληροφοριών του προμηθευτή ήταν ανεπαρκείς και ότι χάθηκαν πολλές ευκαιρίες για τον προσδιορισμό της απάτης”, σημείωσαν οι αρμόδιοι.
Ως εκ τούτου,μετά από αυτό το συμβάν τέθηκαν σε εφαρμογή πρόσθετοι έλεγχοι για την πρόληψη περαιτέρω περιστατικών.
Μόλις ανακαλύφθηκε η απάτη, αφού ο πραγματικός πωλητής παραπονέθηκε ότι δεν πληρώθηκε το απαιτούμενο ποσό που έπρεπε να του καταβάλλει το πανεπιστήμιο, και έτσι εντοπίστηκαν οι λογαριασμοί στους οποίους είχαν αποσταλεί τα κεφάλαια στον Καναδά και στο Χονγκ Κονγκ.
Οι τοπικές αρχές χωρίς να χάσουν χρόνο επικοινώνησαν με τα τραπεζικά ιδρύματα να με γνώμονα να ενημερωθούν άμεσα για το περιστατικό.
Οι μονάδες εταιρικής ασφάλειας των τραπεζών που ασχολούνται με τις ηλεκτρονικές μεταφορές κατάφεραν να παγώσουν τα κεφάλαια. Το πανεπιστήμιο συνεργάζεται με νομικούς συμβούλους στο Μόντρεαλ, το Λονδίνο και το Χονγκ Κονγκ με την προοπτική να ασκήσουν αγωγή αστικής ανάκτησης των χρημάτων.
Δεν αποκαλύφθηκαν άλλες λεπτομέρειες σχετικά με την επίθεση phishing, αλλά είναι προφανές ότι πρόκειται για μια παραλλαγή της απάτης για τη συμβιβαστική λύση ηλεκτρονικού επιχειρείν (BEC) : ο λεγόμενος “payment instruction switch” ή “ο παραπλανητικός προμηθευτής”.
«Το ατυχές συμβάν μας βρήκε προφανώς απροετοίμαστους», δήλωσε ο εκπρόσωπος του πανεπιστημίου David Beharry, «αλλά καθώς οι μαθητές μας επιστρέφουν για να ξεκινήσουν το νέο ακαδημαϊκό έτος, θέλουμε να τους διαβεβαιώσουμε ότι τα συστήματα πληροφορικής μας δεν διακυβευτήκαν κατά τη διάρκεια αυτού του συμβάντος. Οι προσωπικές πληροφορίες, τα οικονομικά στοιχεία και όλες οι συναλλαγές που γίνονται με το πανεπιστήμιο είναι ασφαλείς. Θέλουμε επίσης να τονίσουμε ότι εργαζόμαστε για να διασφαλίσουμε ότι το περιστατικό αυτό δεν θα επηρεάσει καθόλου τις ακαδημαϊκές και επιχειρηματικές μας δραστηριότητες».