Опасное письмо: что такое BEC-атака и как защитить от неё бизнес

Не проходит и недели, чтобы в интернете не появлялись новости про очередное киберпреступление в отношении бизнеса. Жертвами киберпреступлений часто становятся крупные и хорошо подкованные в области информационной безопасности компании. Если даже корпорации не всегда могут защитить себя от киберугроз, что делать малому и среднему бизнесу, у которого бюджеты на ИБ на порядки скромнее? О том, что такое BEC-атака и как защитить от неё компанию, порталу Biz360.ru рассказал эксперт по информационной безопасности Алексей Дрозд.

BEC-атака (Business Email Compromise) – компрометация корпоративного почтового ящика. Злоумышленники взламывают электронки контрагентов или самой компании и, ознакомившись с историей переписки, имитируют продолжение коммуникации. Иногда тред в почте может состоять всего из двух-трёх писем, а иногда растягивается на несколько месяцев. Цель злоумышленников – побудить к оплате счёта на подставные реквизиты, получить доступ к инфраструктуре или конфиденциальной информации.

Перед реализацией BEC-атаки мошенники собирают «досье» на потенциальную жертву и компанию, в которой она работает. А затем в подходящий момент внедряются в переписку и заставляют перевести деньги на подставные счета или слить им конфиденциальную информацию.

Во время BEC-акции злоумышленники виртуозно совмещают социальную инженерию и компрометацию корпоративного почтового ящика. Из-за высокой эффективности эта схема с каждым годом набирает популярность среди киберпреступников.

Главная сложность в распознавании BEC-атаки заключается в том, что жертва получает электронное письмо от знакомого контакта с вполне легитимным запросом. О том, что письмо пришло от оператора BEC-атаки, могут свидетельствовать следующие сигналы:

• изменения в процедуре банковского перевода финансовых средств, произошедшие в последнюю минуту;
  
  

• необъяснимая срочность оплаты (в письмах мошенники используют такие слова, как «срочно», «быстро», «напоминание», «важно» и «скоро», особенно в строке темы письма, чтобы заставить действовать получателя как можно быстрее);
  
  

• просьба или требование полной конфиденциальности;
  
  

• коммуникация исключительно по электронной почте и отказ от общения по телефону;
  
  

• угрозы со стороны отправителя письма.

Приведу несколько примеров BEC-атаки. Версии этих сценариев случались с реальными жертвами. Все сообщения были фейковыми, и в каждом случае преступникам отправлялись миллионы.

«Настоящий контрагент»: поставщик, с которым работает ваша компания, отправляет письмо об обновлении почтового адреса или платежных данных. Пример инцидента:

• Кибермошенник заставил корпорацию оплачивать фейковые счета на крупные суммы. Преступник узнал, с каким поставщиком по ремонту устройств сотрудничает организация и основал компанию под таким же названием. Затем мошенник отправил письмо сотруднику корпорации, попросив его обновить платежные данные. Сотрудник не заметил подвоха и внёс изменения. После этого все платежи для реальной компании-поставщика от корпорации поступали на счёт мошенника.

«Приказ от руководителя»: топ-менеджер отправляет срочный запрос сотруднику финотдела на крупный перевод денег. Пример инцидента:

• Мошенники взломали почту операционного директора системы государственных школ Нью-Хейвена, который отвечал за согласование платежей из бюджета и отправку их в финансовый департамент мэрии для окончательного утверждения. Несколько месяцев преступники отслеживали переписку директора с различными поставщиками. Дождавшись удачного момента, они несколько раз внедрились в переписку и от лица директора направляли в финансовый отдел запросы на оплату подставных счетов. В результате инцидента школьная система потеряла более 6 миллионов долларов.

«Срочное письмо»: сотрудника, обладающего достаточными полномочиями, просят отправить активы по некоему адресу. Пример инцидента:

• От кибератаки пострадал банк Бангладеш – центральный банк страны, отвечающий за надзор за драгоценными валютными резервами страны. Инцидент начался с неисправности принтера. После перезагрузки принтера сотрудники получили срочные сообщения от Федерального резервного банка в Нью-Йорке, где банк держит часть своих активов. Оказалось, что Федеральный резервный банк получил сообщения от бангладешского банка опустошить весь счёт (около миллиардов долларов). Как выяснилось позже, хакеры скрывались в компьютерных системах Бангладешского банка в течение года. Используя разницу во времени между Бангладеш и Нью-Йорком, хакеры спланировали пятидневную операцию, чтобы вывести 951 миллион долларов. По счастливой случайности часть транзакций заблокировал ФРС из-за того, что автоматизированные системы не приняли название банка Манилы, куда пытались перевести деньги хакеры. Другой перевод заблокировала благотворительная организация, сотрудник которой заметил орфографическую ошибку и заблокировал перевод. В итоге 81 миллион долларов всё же был утерян. Не миллиард, конечно, но потерянные деньги все равно стали огромным ударом для банка.

Почта – не единственный инструмент, который могут использовать мошенники. Киберпреступники стали использовать площадки для видеоконференций, чтобы более убедительно разыгрывать «спектакли» и заставлять сотрудников перевести деньги. В ряде случаев во время видеозвонка мошенники используют дипфейк-технологии. Пример инцидента:

• Мошенники отправили фишинговое письмо сотруднику финансового отдела гонконгского филиала транснациональной компании. В письме злоумышленники от лица финансового директора британского филиала попытались убедить сотрудника срочно совершить секретную транзакцию. Это письмо вызвало недоверие у финансиста гонконгской компании, поэтому мошенники предложили ему созвониться по видеосвязи. Все участники видеоконференции выглядели и говорили как коллеги из британского офиса. Сразу после звонка сотрудник выполнил просьбу «финансового директора» и осуществил 15 переводов на общую сумму 25,6 миллионов долларов.

Подпишитесь и получайте раз в неделю рассылку с лучшими статьями о бизнесе

Рассказываем бизнес-истории, предупреждаем об изменениях в законодательстве, делимся опытом автоматизации

Подписываясь на рассылку, вы соглашаетесь с политикой персональных данных

BEC-атака существует на стыке технологических и социальных приёмов мошенничества, поэтому защита должна строиться комплексно. Чтобы компания не стала жертвой инцидента с компрометацией деловой электронной почты, делайте следующее

Используйте технические инструменты защиты

На рынке представлено программное обеспечение для борьбы с внешними угрозами, например, NGFW – для предотвращения сетевых атак, различные антиспам-инструменты – для снижения вероятности получения фишинга, спецификацию DMARC с применением механизмов SPF и DKIM можно использовать для проверки подлинности отправителей.

Есть инструменты, которые лучше справляются с тем, чтобы идентифицировать похожий, но фальшивый домен или выполнить проверку его репутации – и поместить на карантин любое подозрительное письмо. 

В будущем может появиться умный анти-фишинг, который будет анализировать входящие письма. Например, недавно стало известно о том, что отечественные разработчики создают программу на основе ИИ, которая в режиме реального времени сможет распознавать сообщения от мошенников. Нейросеть обучается на распространённых мошеннических сообщениях.

Обучайте своих сотрудников

Так как BEC-атаки – это не чисто хакерская история, то технических инструментов может быть недостаточно. Сотрудники компании должны знать о вероятности корпоративного фишинга и уметь распознавать попытки обмана. Различные тренинги и тестовые рассылки помогут сотрудникам быть более бдительными и самостоятельно выявить BEC-атаку, прошедшую через слои защиты.

Введите регламенты

Внутри компании следует ввести регламенты, по которым сотрудники будут проводить проверку платежей вне электронной почты или любые другие действия, которые обеспечат многофакторную аутентификацию.

Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал, страницу в «ВКонтакте» и канал на «Яндекс.Дзен».
biz360