Что такое компрометация корпоративной почты (BEC)?

Схемы BEC могут быть похожи на сюжет шпионского триллера, но методы, стоящие за ними, реально наносят ущерб и их эффективность пугает. Приемы, которые используют киберпреступники.

Методы воздействия мошенников

Мошенники BEC не полагаются на удачу, а искусно манипулируют как технологиями, так и людьми. Они могут:
 

• Использовать поддельные адреса электронной почты, чтобы вам показалось, что это письма от людей, которым вы доверяете.
• Использовать целевой фишинг, нацеленный на конкретных сотрудников с сообщениями очень личного характера.
• Развертывая вредоносное ПО, они получают доступ к конфиденциальным разговорам и информации, чтобы использовать их в своих интересах. 

Это не типичные фишинговые кампании. Они тщательно продуманы, чтобы не вызывать подозрения.

Почему атаки BEC трудно обнаружить

Атаки BEC такие коварные благодаря их тонкой настройке. Мошенники рассчитывают на то, что люди по своей природе доверчивы и что многие компании полагаются на предсказуемые процессы. Они используют эти тенденции, имитируя рутинные запросы, например одобрение платежей или выставление новых счетов. При этом имитируют так хорошо, что могут попасться даже опытные сотрудники.

Типичные признаки, встречающиеся в письмах BEC

В электронных письмах BEC можно заметить характерные признаки, если знать, на что обращать внимание. Наиболее распространенные элементы:
 

• Запрос на срочный денежный перевод или покупку подарочных карт.
• Сообщения вроде: «Можешь решить вопрос конфиденциально? Я на собрании».
• Незначительные орфографические ошибки или адреса электронной почты, которые отличаются от настоящих всего одним символом. 

Цель этих сообщений — заставить вас действовать, прежде чем вы успеете задуматься. Распознавание этих тревожных сигналов — первый шаг к предотвращению мошенничества.

Мошенники BEC применяют свои схемы ко всем, у кого есть доступ к деньгам или конфиденциальной информации. Но определенные организации и должности чаще попадают в их прицел.

Цели общего характера включают:
 

• Любые компании, независимо от размера, от крупных корпораций до малого бизнеса.
• Государственные учреждения, которые распоряжаются бюджетами или заключают контракты.
• Некоммерческие организации, особенно получающие крупные пожертвования или гранты.
• Учебные заведения и вузы, где офисные работники обрабатывают платежи за обучение и счета поставщиков. 

По сути, если ваша организация оперирует крупными суммами или реализует конфиденциальные операции, вы на у них на прицеле.

Конкретные должности, на которые нацеливаются мошенники

Схемы BEC нацеливаются не на всех сотрудников подряд. Их интересуют должности с финансовыми полномочиями или высоким уровнем доступа. Основные цели:
 

• Сотрудники финансовых служб, например главные бухгалтеры и персонал по работе с кредиторской задолженностью, которые владеют сведениями о банковских операциях, способах платежа и номерах счетов.
• Руководители, особенно генеральные и финансовые директора, поскольку их запросы приоритетны и выполняются срочно, а информация о них часто доступна публично.
• Специалисты отдела кадров, имеющие доступ к сведениям о сотрудниках, таким как номера социального страхования, налоговые декларации, контактные данные и расписания работы.
• IT-администраторы. Они имеют доступ к системам, что помогает мошенникам глубже проникнуть в организацию.
• Новые сотрудники или молодые специалисты, которым сложнее проверить подлинность электронного письма. 

Мошенники воспринимают этих сотрудников как точки входа. Поэтому, выдавая себя за них или обманывая их непосредственно, они получают доступ к активам вашей организации.

Мошенничества BEC оставляют не просто царапину, но глубокую рану. Они могут нанести колоссальный урон финансам, рабочим процессам и репутации компании. Разберем каждый из этих аспектов.

Финансовые последствия атак BEC

Цифры не врут — атаки BEC обходятся невероятно дорого. По данным ФБР, с 2013 года ущерб от мошенничеств BEC составил более 50 USD. Но дело не только в буквально украденных деньгах. Добавьте к этому следующие виды убытков.
 

• Восстановление после утечек данных, поскольку во время атаки мошенники часто получают доступ к конфиденциальной информации.
• Судебные иски и штрафы, особенно если скомпрометированы данные клиентов или сотрудников.
• Операционные сбои, поскольку весь коллектив должен срочно реагировать на кризис. 

По мере совершенствования схем BEC, совершенствуются и стратегиизащиты от угроз. Подробнее о решениях Майкрософтдля  защиты от угроз электронной почты .

Примеры компрометации корпоративной почты

Угрозы BEC отнюдь не теоретические. Это происходит с организациями каждый день. Вот несколько примеров атак BEC из реальной жизни.

Пример 1: "Срочно оплатите счет!"

Предположим, вы сотрудник финансового отдела компании. Вы получаете письмо от финансового директора с приказом немедленно оплатить просроченный счет. На самом деле, конечно, это послание отправил вовсе не финансовый директор. Либо злоумышленник притворяется представителем интернет-провайдера вашей компании и присылает вам не вызывающий подозрений счет.

Пример 2: "Какой у вас номер телефона?"

Руководитель компании присылает сообщение следующего содержания: "Мне нужно, чтобы Вы кое-что сделали. Отправьте мне ваш номер телефона, и я пришлю Вам SMS." SMS-сообщения кажутся более личными и безопасными, чем электронные письма, поэтому злоумышленник рассчитывает на то, что вы сообщите ему сведения о платеже или другую конфиденциальную информацию. Это прием называется смишингом, или фишингом с помощью SMS (текстовых) сообщений.

Пример 3: "Секретное приобретение"

Ваш руководитель просит сделать первоначальный взнос для приобретения компании-конкурента. "Прошу не распространять эту информацию," — предупреждает он в электронном письме, и вы отказываетесь от мысли проверить запрос. Поскольку подробности слияний&поглощений часто держат в секрете вплоть до успешного финала, на первый взгляд, в этой просьбе нет ничего подозрительного.

Сравнение BEC и традиционного фишинга

И BEC, и фишинг — мошенничества на основе электронной почты, но их тактики и последствия сильно различаются.

• BEC — это точно нацеленные персонализированные атаки. Мошенники тщательно готовятся и завоевывают доверие, имитируя конкретных людей и процессы. Эти атаки нацелены на такие ценные активы, как денежные переводы или конфиденциальные данные.
• Традиционный фишинг — быстрые атаки на широкую аудиторию. Например, поддельные страницы для входа в аккаунт, сообщения типа «вы выиграли приз» или тактики, основанные на страхе. Их легче распознать, и часто они нацелены на кражу паролей или небольших денежных сумм.

Ущерб от атак BEC гораздо выше, поэтому для организаций критически важно сделать приоритетом защиту от этих продвинутых мошенничеств.

Чтобы не допустить атаку BEC, необходимо сочетание проактивных мер, технологических защит и четкого плана действий, если вдруг что-то случится. Эти меры помогут защитить организацию.

Организационные меры и обучение сотрудников

Ваша первая линия защиты — это ваши сотрудники, и благодаря осведомленности они станут не потенциальными уязвимостями, а вашими союзниками в обеспечении кибербезопасности. Все должны уметь распознавать следующие признаки атак.
 

• Фишинговые ссылки.
• Несоответствие домена и адреса электронной почты.
• Подозрительно срочные запросы.

Вы даже можете имитировать атаку BEC, чтобы научить людей ее распознавать.

Безопасные почтовые шлюзы и технические решения

Технологии усиливают вашу защиту. Для обнаружения и блокировки вредоносных электронных писем разработаны следующие инструменты.

• Безопасные почтовые шлюзы (SEG). Они действуют как фильтр, анализируя входящие сообщения на предмет признаков мошенничества или подделки.
• Многофакторная аутентификация (MFA). Даже если мошенники получают доступ к учетным данным, MFA дает дополнительный уровень безопасности.
• Идентификация сообщений, создание отчетов и определение соответствия по доменному имени (DMARC). Этот протокол помогает предотвратить подделку вашего домена электронной почты. 

Внедрение этих инструментов может значительно снизить риск успешной атаки BEC.

Меры реагирования при подозрении на атаку BEC

При подозрении на атаку BEC критически важна скорость реакции. Надо принять следующие меры.
 

1. Заморозьте транзакцию. Если был отправлен денежный перевод, немедленно свяжитесь с банком, чтобы остановить или отменить платеж.
2. Сообщите вашей ИТ-отделу. Они могут определить источник электронного письма и заблокировать дальнейшие сообщения от злоумышленника.
3. Пересмотрите и обновите процессы. Найдите уязвимости в существующих протоколах безопасности и исправьте их, чтобы предотвратить инциденты. 

Наличие плана реагирования гарантирует, что вы готовы действовать, когда каждая секунда на счету.

Безопасность электронной почты с ИИ

Повышение роли ИИ в кибербезопасности и технологии машинного обучения радикально меняют подход к безопасности электронной почты. Применяйте следующие технологии.

• Анализ паттернов поведения в электронной почте для выявления таких аномалий, как внезапный запрос на денежный перевод.
• Идентификация таких тонких признаков подделок, как небольшие изменения в адресах электронной почты.
• Постоянная адаптация к новым угрозам, не позволяя мошенникам опережать развитие инструментов их обнаружения. 

Интеграция унифицированной системы решений для безопасности SecOps на базе ИИ в вашу систему безопасности дает вам преимущество перед все более изощренными атаками.

Когда речь идет о предотвращении атак BEC, крайне важно быть на шаг впереди. Киберпреступники постоянно совершенствуют свои методы, поэтому ваши меры безопасности должны быть такими же динамичными, как сами угрозы. Следующие методы помогут укрепить защиту и поддерживать ее актуальность.

Постоянный контроль и обновления

Атаки BEC это не такая угроза, от которой один раз защитился и забыл. Мошенники постоянно совершенствуют методы обхода существующих инструментов безопасности. Следующие инструменты помогут вам не терять бдительность.

• Регулярные проверки безопасности для выявления уязвимостей в вашей защите.
• Частые обновления программного обеспечения для устранения уязвимостей и надежной защиты от новых атак.
• Постоянный мониторинг угроз для обнаружения необычной активности в реальном времени, от подозрительных шаблонов электронной почты до попыток несанкционированного доступа. 

Только постоянно развивая свою стратегию безопасности, вы сможете справляться с этими изменяющимися угрозами.

Быть в курсе последних угроз

Зная последние новости в сфере аналитики киберугроз, вы сможете выявлять потенциальные угрозы, прежде чем они станут серьезными проблемами. Будьте всегда на шаг впереди.

• Подпишитесь на блоги и новостные рассылки по теме кибербезопасности и регулярно узнавайте о новых методах BEC.
• Участвуйте в форумах по безопасности в своей сфере деятельности, обменивайтесь информацией и изучайте опыт других организаций.
• Привлекайте экспертов по кибербезопасности, чтобы лучше понимать, как выявлять угрозы и какой ущерб они могут нанести вашему бизнесу. 

Чем больше вы знаете о том, как мошенники адаптируются к обнаружению угроз и реагированию, тем лучше вы сможете их предотвратить.

Для организаций, использующих Microsoft Office 365, Microsoft Defender для Office 365 предлагает надежное решение для обнаружения атак BEC и снижения рисков. Вы получаете следующие инструменты.
 

• Расширенная защита от фишинга, блокирующая подозрительные электронные письма и предупреждающая пользователей о потенциальных угрозах.
• Контроль и получение отчетов в реальном времени с помощью обнаружения и нейтрализации атак на конечные точки (EDR) помогут вам выявить признаки компрометации, как только они появятся.
• Автоматическоереагирование на инциденты. Это такие действия, как помещение вредоносных писем на карантин и блокировка известных мошенников.

Интеграция Microsoft Defender для Office 365 в вашу систему безопасности дает вам мощного союзника в борьбе с BEC, который постоянно обновляется и всегда в курсе совершенствующихся угроз.

Кроме того, функция автоматического срыва атаки в Microsoft Defender XDR может остановить уже запущенные атаки BEC и предотвратить их распространение по сети.