Greenberg Traurig, Sullivan & Cromwell, Cravath, Wachtell и спуфинг

Greenberg Traurig, Sullivan & Cromwell, Cravath, Wachtell и спуфинг

​​Две недели назад ФБР рассекретило информацию о том, как в 2008 году неизвестные пытались хакнуть четыре американских бигло — Greenberg Traurig, Sullivan & Cromwell, Cravath, Wachtell.

История эта очень странная. Потому что вроде как клиенты не пострадали, но ни одна из фирм публично ситуацию не комментирует.

Как все было.

Летом 2008 года злоумышленники создали фейковые сайты юрфирм и разместили их на доменах, очень похожих на оригинальные. Например, сайт Вактел находится по адресу wlrk.cоm, а злоумышленники запарковали его на домен wlrklaw.cоm.

28 июня злоумышленники сменили на вики-страничках фирм линки с оригинальных на слегка.

Эти фейки быстро вскрылись.

В Greenberg Traurig позвонил сотрудник Гугла и сказал, что их практикант сообщил Гуглу, что они меняют домен и подал заявку на регистрацию стапицот новых мейл аккаунтов. Но карточка практиканта не сработала. Вот Гугл и решил проверить. Юристы быстро написали C&D и регистраторы заблочили домен.

У Вактел была другая история. Судя из рассекреченных документов, Вактелу написал хостинг провайдер и попросил оплатить хостинг нового (фейкового) домена. Бестлойеры быстро написали жалобу хостеру (GoDaddy) и сайт снесли. Через несколько дней Вактелу прилетело уведомление от другого хостинг провайдера (Network Solutions) о том, что контент сайта Вактел wlrk.cоm (оригинальный) якобы полностью слизан с сайта wlrklaw.cоm (это фейковый). Бестлойеры это тоже быстро разрулили.

Но снесли только хостинг. Фейковый домен быстро снести нельзя. Через две недели партнер Саливан и Кромвель получил странный мыл от партнера Вактел (адрес был @wlrklaw.cоm ) и позвонил другану. Салливан и Кромвель провели внутреннее расследование и установили, что еще пара партнеров получили фейковые мейлы.

Вактел настолько прокачались в фишинге и спуфинге, что обнаружили на Википедии фейковый линк на сайт Саливан и Кромвель. Бестлойеры написали хостеру и те сайт снесли.

Говорят, ничьи данные не пострадали, на деньги тоже никто не попал, потому в 2010 году ФБР дело закрыло.

Очень странно. Похоже на то, что бывший сотрудник решил мокнуть работодателей. Потому что не похоже это на целенаправленный хак, иначе бы разослали клиентам мейлы с просьбой платить на другие счета, или что-то подобное. Мотивация злоумышленников в этой истории непонятна вообще. Правда, возможно, атаковали не 4 фирмы, а намного больше. Только в ФБР пожаловались эти 4, а те, у кого и правда пострадали данные, возможно не заявили об этом, а урегулировали по тихому.

Вактел после той истории выкупил 150 доменов с похожим написанием. Это где-то 18К долларов в год им обходится.