Как следует из доклада Управления генерального инспектора (OIG), неизвестный получил доступ к системе Workday, используемой для взаимодействия с городскими подрядчиками, и незаметно изменил банковские данные одной из компаний. В результате два крупных перевода были направлены не на счёт поставщика, а в руки злоумышленника.
Инцидент начался 9 декабря 2024 года, когда мошенник подал фальшивую форму в Workday от имени настоящего сотрудника компании-подрядчика, указав при этом личный e-mail вместо корпоративного.
Президент компании позже подтвердил, что этот человек не имел отношения к финансам. Несмотря на очевидные несоответствия, сотрудник расчётного отдела 11 декабря одобрил добавление поддельного пользователя к профилю поставщика.
Далее последовала попытка смены реквизитов. Сначала мошенник предоставил поддельный аннулированный чек, а 7 января подал повторный запрос на изменение счёта. Его утвердили два сотрудника финансового отдела, а затем третий окончательно одобрил. Никто из них не стал проверять достоверность предоставленных документов. К 19 февраля данные в системе были обновлены, и мошенник получил полный контроль над платежами.
Два перевода (на $803 384 и $721 236) прошли 21 февраля и 10 марта. Только спустя три дня после второго перевода банк города получил сигнал о подозрительной активности. Поставщик, чьё имя фигурировало в документах, не знал о произошедшем. После подтверждения мошенничества профиль в Workday заморозили, а злоумышленник был удалён из системы.
Несмотря на то, что Департамент финансов уведомили 13 марта, сам инспекторат узнал о случившемся лишь 19 марта. Попытки связаться с полицией по старым контактам не дали результата, и только 31 марта сотрудники OIG самостоятельно обратились в правоохранительные органы и добились начала расследования.
Отдельным пунктом в докладе стали технические споры. По одной из версий, преступник обошёл географическую блокировку через Starlink, но городской ИТ-отдел не подтвердил эту гипотезу.
Анализ показал, что в момент атаки система была уязвима, т. к. не существовало протоколов идентификации при изменении реквизитов, отсутствовали списки уполномоченных лиц и не требовалось телефонное подтверждение. Эти же уязвимости уже приводили к аналогичным происшествиям в 2020 и 2022 годах, но прежние рекомендации по улучшению системы не были реализованы.
Ещё по теме:
- Будильник на iPhone скрывает странную особенность выбора времени
- 🔥 9 сентября 2025: WWDC 2025 в Санкт-Петербурге
- США разворачивают политику в сторону поддержки шифрования
