Какво представлява компрометирането на бизнес имейл (BEC)?

Измамите чрез BEC може да звучат като нещо от шпионски трилър, но техниките, които стоят зад тях, са болезнено реални и тревожно ефективни. Ето как тези киберпрестъпници успяват:

Техники, използвани от нападателите

Измамниците чрез BEC не разчитат само на късмета си; те са опитни манипулатори както на технологиите, така и на хората. Те могат да:
 

• Фалшифицират имейл адреси, за да изглеждат съобщенията им като че ли са изпратени от човек, на когото имате доверие.
• Използват тактики за целеви фишинг, които са насочени към конкретни служители с персонализирани съобщения, които са страшно лични.
• Разполагат злонамерен софтуер, който им дава достъп до чувствителни разговори и информация, която могат да използват като оръжие. 

Това не са типичните фишинг измами. Те са изработени прецизно, за да заобиколят подозренията.

Защо атаките чрез BEC са трудни за откриване

Това, което прави атаките чрез BEC толкова коварни, е тяхната финост. Измамниците разчитат на факта, че хората са по природа доверчиви и че много компании разчитат на предсказуеми процеси. Те се възползват от тези тенденции, като имитират ежедневни искания – като одобрения на плащания или актуализации на фактури – толкова добре, че дори опитни служители могат да бъдат измамени.

Типично съдържание, което се среща в имейли от атаки чрез BEC

Имейлите от атаки чрез BEC често съдържат характерни признаци, ако знаете какво да търсите. Общите елементи включват:
 

• Искания за спешни банкови преводи или покупки на карти за подаръци.
• Съобщения като „Можеш ли да се погрижиш за това насаме? В събрание съм.“
• Леки граматически грешки или имейл адреси, които се различават само с един символ от истинските. 

Тези съобщения са създадени, за да ви подтикнат към действие, преди да спрете, за да ги обмислите. Разпознаването на тези предупредителни знаци е първата стъпка към спирането им.

Измамниците чрез BEC са измамници, които не правят разлика между хората – те ще преследват всеки, който има достъп до пари или чувствителна информация. Но определени организации и роли са по-често в центъра на вниманието им.

Често срещаните мишени са:
 

• Бизнеси от всякакъв мащаб, от големи корпорации до малки предприятия.
• Държавни агенции, които управляват бюджети или договори.
• Неправителствени организации, особено тези, които се занимават с големи дарения или безвъзмездни помощи.
• Училища и университети, където административният персонал обработва плащания за обучение и фактури от доставчици. 

По същество, ако вашата организация прехвърля пари или управлява чувствителни операции, вие сте на радара им.

Конкретни роли, към които се насочват измамниците

Не всички служители са еднакво уязвими при измами чрез BEC. Нападателите се насочват към роли с финансови правомощия или достъп на високо ниво. Сред основните мишени са:
 

• Финансови служители, като контрольори и служители по задълженията, които разполагат с банкови данни, методи на плащане и номера на сметки.
• Ръководители, особено главни изпълнителни директори и финансови директори, тъй като техните искания имат тежест и спешност, а подробностите за тях често са публично достъпни.
• Професионалисти в областта на човешките ресурси с данни за служителите, като номера на социални осигуровки, данъчни декларации, информация за контакт и графици.
• ИТ администратори, чийто достъп до системите може да помогне на нападателите да проникнат по-дълбоко в организацията.
• Нови служители или служители на начално ниво, на които ще им бъде по-трудно да проверят легитимността на даден имейл. 

Измамниците са наясно, че тези длъжности са пазачи, така че представянето им за такива или директната им измама отварят вратите към активите на вашата организация.

Измамите чрез BEC не оставят само следа – те оставят цял кратер. Финансовите, оперативните и репутационните последици могат да бъдат огромни. Нека ги разгледаме по-подробно:

Финансови последици от атаки чрез BEC

Цифрите не лъжат – атаките чрез BEC са изключително скъпи. ФБР съобщава, че измамите чрез BEC са довели до загуби в размер на над 50 милиарда USD от 2013 г. насам. Но не става въпрос само за директно откраднатите пари. Добавете към това разходите за:
 

• Възстановяване от нарушения на защитата на данните, тъй като атакуващите често получават достъп до чувствителна информация по време на измамата.
• Правни и регулаторни глоби, особено ако са компрометирани данни на клиенти или служители.
• Оперативни смущения, докато вашият екип се бори да реагира на кризата. 

С развитието на схемите за BEC се развиват и стратегиите за защита от заплахи. Научете повече за решенията на Microsoft за защита от имейл заплахи.

Примери за компрометиране на бизнес имейл

BEC не е само теория – това се случва в организациите всеки ден. Ето няколко примера за това как може да изглежда BEC на практика:

Пример №1: Платете тази спешна сметка

Да кажем, че работите във финансовия отдел на фирмата ви. Получавате имейл от финансовия директор със спешно искане за просрочена сметка, но всъщност той не е от финансовия директор. Или измамникът се представя за интернет доставчика на вашата компания и ви изпраща по имейл убедително изглеждаща фактура.

Пример №2: Какъв е вашият телефонен номер?

Ръководител на фирмата ви изпраща имейл „Имам нужда от помощта ви за бърза задача. Изпратете ми телефонния си номер и ще ви изпратя SMS съобщение.“ Изпращането на текстови съобщения изглежда по-безопасно и по-лично от имейлите, така че измамникът се надява, че ще му изпратите текстово съобщение с информация за плащане или друга чувствителна информация. Това се нарича „фишинг чрез SMS съобщение“.

Пример №3: Строго секретно придобиване

Шефът ви иска плащане в брой, за да придобие един от вашите конкуренти. В имейла пише „Нека това си остане между нас“, което не ви позволява да проверите искането. Тъй като подробностите за M&A често се пазят в тайна, докато всичко не е окончателно, тази измама може да не изглежда подозрителна на пръв поглед.

BEC срещу традиционните фишинг атаки

Макар че BEC и фишингът са измами, основани на имейли, тактиките и въздействието им са доста различни:

• BEC – Силно целенасочени, персонализирани атаки. Измамниците се подготвят много добре, имитирайки конкретни хора и процеси, за да спечелят доверие. Тези атаки са насочени към ценни активи, като банкови преводи или чувствителни данни.
• Традиционен фишинг – широкомащабни атаки от типа „на сляпо“. Например фалшиви страници за вход, имейли от типа „спечелихте награда“ или общи тактики за плашене. Те са по-лесни за забелязване и често имат за цел да откраднат пароли или малки суми пари.

Залогът при BEC е много по-висок, което прави от решаващо значение за организациите да дадат приоритет на защитата срещу тези усъвършенствани измами.

Спирането на атака чрез BEC в самото ѝ начало изисква комбинация от проактивни мерки, технологични защити и солиден план за реагиране, когато нещата се объркат. Ето как да поддържате сигурността на вашата организация:

Организационни мерки и обучение на служителите

Първата ви линия на защита са вашите служители, а осведомеността превръща потенциалните слаби звена в съюзници в киберсигурността. Уверете се, че всички знаят как да разпознават:
 

• Фишинг връзки.
• Несъответствие между домейн и имейл адрес.
• Подозрително спешни искания.

Можете дори да симулирате измама на BEC, за да могат хората да я разпознаят, когато се случи.

Сигурни имейл шлюзове и технически решения

Технологиите могат да подсилят защитата ви. Инструментите, предназначени за откриване и блокиране на злонамерени имейли, включват:

• Сигурни имейл шлюзове (SEG) – Те действат като филтър, анализирайки входящите съобщения за признаци на измама или фалшифициране.
• Многофакторно удостоверяване (MFA) – Дори ако измамниците получат достъп до данните за вход, MFA добавя допълнително ниво на защита.
• Базирано на домейн удостоверяване, отчитане и осигуряване на съответствие за съобщения (DMARC) – този протокол помага да се предотврати подправянето на вашия имейл домейн от хакери. 

Внедряването на тези инструменти може значително да намали риска от успешна BEC атака.

Реагиране на подозрение за атака чрез BEC

Ако подозирате атака от типа BEC, бързината е от решаващо значение. Ето какво трябва да направите:
 

1. Замразете транзакцията – Ако е започнат банков превод, незабавно се свържете с банката си, за да спрете или отмените плащането.
2. Уведомете вашия ИТ екип – той може да проучи източника на имейла и да блокира по-нататъшна комуникация от страна на хакера.
3. Прегледайте и актуализирайте процесите – Потърсете пропуски в съществуващите протоколи за защита и ги укрепете, за да предотвратите бъдещи инциденти. 

Наличието на план за реагиране ви гарантира, че сте готови да действате, когато всяка секунда е от значение.

ИИ и защита на имейла

Възходът на ИИ за киберсигурността и машинното обучение променя изцяло правилата на играта в областта на защитата на имейла. Тези технологии:

• Анализират моделите на поведение в имейлите, за да открият аномалии, като например внезапно искане за банков превод.
• Идентифицират фините признаци на фалшифициране, като например леки разлики в имейл адресите.
• Непрекъснато се адаптират към нови заплахи, което затруднява измамниците да изпреварват инструментите за откриване. 

Чрез интегрирането на унифицирани SecOps решения с подкрепата на ИИ във вашата система за защита, вие получавате предимство пред все по-усъвършенстваните хакери.

Когато става въпрос за предотвратяване на атаки чрез BEC, е от съществено значение да бъдете една крачка напред. Киберпрестъпниците постоянно развиват тактиките си, затова вашите мерки за защита трябва да бъдат толкова динамични, колкото и самите заплахи. Ето как да поддържате защитата си силна и актуална:

Непрекъснато наблюдение и актуализации

Атаките чрез BEC не са заплахи от типа „настрой веднъж и забрави“. Измамниците постоянно усъвършенстват методите си за заобикаляне на съществуващите инструменти за защита, затова трябва да бъдете бдителни по отношение на:

• Редовни проверки за защита, за да се идентифицират слабостите във вашата защита.
• Чести актуализации на софтуера, за да се отстраняват уязвимости и да се гарантира, че сте защитени от нови атаки.
• Непрекъснато наблюдение на заплахи за откриване на необичайни дейности в реално време, от подозрителни модели на имейли до опити за неупълномощен достъп. 

Само чрез непрекъснато усъвършенстване на вашето положение на защитата можете да се справите с тези променящи се заплахи.

Да бъдете информирани за най-новите заплахи

Като бъдете информирани за най-новите тенденции в областта на разузнаване за заплахи, ще можете да идентифицирате потенциални заплахи, преди те да се превърнат в сериозни проблеми. Бъдете една крачка напред:

• Абонирайте се за блогове и бюлетини за киберсигурност, за да получавате редовни актуализации за новите техники на BEC.
• Участвайте в специализирани форуми за защита, за да споделяте информация и да се учите от опита на други организации.
• Сътрудничете си с експерти по киберсигурност, за да разберете какво представлява проактивното търсене на заплахи и как те могат да повлияят на вашия бизнес. 

Колкото повече знаете за това как измамниците се адаптират към откриването и реакция на заплахи, толкова по-добре ще сте подготвени да ги спрете.

За организации, които използват Microsoft Office 365, Microsoft Defender за Office 365 предлага надеждно решение за откриване и ограничаване на атаките чрез BEC. Той предоставя:
 

• Разширена защита от фишинг, блокиране на подозрителни имейли и предупреждаване на потребителите за потенциални заплахи.
• Наблюдение и докладване в реално време с откриване и реакция в крайна точка (EDR), за да ви помогне да забележите признаците на компрометиране в момента, в който се появят.
• Автоматизирани действия за отговор на инциденти, като карантина на злонамерени имейли и блокиране на известни заплахи.

Чрез интегрирането на Microsoft Defender за Office 365 във вашата система за защита, вие получавате мощен съюзник в борбата срещу BEC – такъв, който се актуализира непрекъснато, за да бъде в крак с развиващите се заплахи.

Освен това функцията за автоматично прекъсване на атаките в Microsoft Defender XDR може да спре текущи атаки като BEC и да предотврати по-нататъшно странично движение.