Що таке порушення безпеки корпоративної електронної пошти?

Може здатися, що шахрайства BEC — це щось зі шпигунського трилера, але методи стоять за ними дуже реальні та ефективні. Нижче описано, як діють кіберзлочинці.

Методи, які використовують зловмисники

Шахраї BEC не покладаються лише на удачу — вони вмілі маніпулятори як технологій, так і людей. Вони можуть:
 

• Підробляти електронні адреси, щоб здавалося, нібито їхні листи надходять від когось, кому ви довіряєте.
• Використовують цільовий фішинг, націлюючись на конкретних співробітників із персоналізованими повідомленнями, які здаються надзвичайно особистими.
• Розгортають зловмисні програми, які надають їм доступ до делікатних розмов і інформації, які вони можуть використати. 

Це не звичайний простий фішинг. Ці атаки ретельно розробляються, щоб уникнути підозри.

Чому атаки BEC важко виявити

Атаки BEC особливо підступними робить їхня витонченість. Шахраї розраховують на те, що люди за природою довірливі, і що багато компаній покладаються на передбачувані процеси. Вони використовують ці тенденції, імітуючи повсякденні запити, як-от схвалення платежів або оновлення рахунків, так добре, що можуть обманути навіть досвідчених співробітників.

Типовий вміст в електронних листах BEC

Електронні листи BEC часто містять явні ознаки, якщо ви знаєте, на що звертати увагу. Серед поширених елементів:
 

• Запити на термінові грошові перекази або покупки подарункових карток.
• Повідомлення на кшталт: “Чи можеш це зробити конфіденційно? Я на нараді".
• Трохи неправильна граматика або електронні адреси, які лише на один символ відрізняються від справжніх. 

Ці листи створюють, щоб змусити вас щось зробити, перш ніж ви призупинитеся та засумніваєтеся. Виявлення цих ознак — перший крок до протидії.

Шахраї BEC націлюються на будь-кого, хто має доступ до грошей або делікатної інформації. Але певні організації та ролі частіше привертають їхню увагу.

Серед поширених жертв:
 

• Компанії всіх розмірів — від великих корпорацій до малих підприємств.
• Державні установи, які управляють бюджетами або контрактами.
• Неприбуткові організації, особливо ті, що обробляють великі пожертви або гранти.
• Школи й університети, у яких адміністративний персонал обробляє платежі за навчання та рахунки постачальників. 

По суті, якщо ваша організація переміщує гроші або виконує делікатні операції, ви під загрозою.

Конкретні ролі, на які націлюються шахраї

Зловмисники націлюють атаки BEC не на всіх співробітників однаково часто. Під загрозою в першу чергу опиняються ролі з фінансовими повноваженнями або високим рівнем доступу. Серед ключових жертв:
 

• співробітники фінансового відділу, як-от контролери та працівники бухгалтерії, які мають банківські реквізити, методи платежів та номери рахунків;
• керівники, особливо генеральні й фінансові директори, оскільки їхні запити мають вагу та терміновість, а відомості про них часто загальнодоступні;
• фахівці відділу кадрів із записами співробітників, такими як номери соціального страхування, податкові декларації, контактна інформація та графіки;
• IT-адміністратори, які мають доступ до систем, що дозволить зловмисникам глибше проникнути в організацію;
• новачки та співробітники на нижчих посадах, яким буде важче перевірити справжність електронного листа. 

Шахраї знають, що ці ролі є воротарями, тому якщо видати себе за них — або безпосередньо обманути, — то можна відкрити двері до активів організації.

Атаки BEC залишають не просто слід — вони залишають кратер. Фінансові, операційні й репутаційні наслідки можуть бути неймовірно великими. Нижче ми розглянемо це детальніше.

Фінансові наслідки атак BEC

Цифри не брешуть — атаки BEC є надзвичайно витратними. ФБР повідомляє, що шахрайства BEC призвели до втрати понад 50 мільярдів доларів США з 2013 року. Але справа не лише у викрадених грошах. Додайте такі витрати:
 

• Відновлення після витоків даних, оскільки зловмисники часто отримують доступ до чутливої інформації.
• Юридичні та регуляторні штрафи, особливо якщо скомпрометовані дані клієнтів або співробітників.
• Операційні порушення, коли ваша команда намагається реагувати на кризу. 

Що складнішими стають схеми атак BEC, то більше вдосконалюються стратегії захисту від них. Дізнайтеся більше про рішення Microsoft для захисту електронної пошти від загроз.

Приклади BEC

BEC — це не просто теорія. Такі атаки відбуваються з організаціями щодня. Ось кілька прикладів BEC:

Приклад 1: термінова оплата рахунку

Уявімо, що ви працюєте у фінансовому відділі компанії. Ви отримуєте електронний лист від фінансового директора з проханням терміново оплатити прострочений рахунок. Насправді цей лист від зловмисника. Крім того, шахрай може видати себе за представника інтернет-провайдера й надіслати підроблений рахунок, схожий на оригінальний.

Приклад 2: надсилання номера телефону

Ви отримуєте електронний лист від директора компанії з проханням допомогти швидко виконати якесь завдання. Він просить вас надіслати номер телефону, щоб пояснити всі деталі. Спілкування за допомогою текстових повідомлень здається безпечнішим і більш особистим, ніж електронною поштою, тому зловмисник сподівається, що ви передасте йому платіжну інформацію або інші делікатні дані. Це називається смсшингом або фішингом через SMS-повідомлення.

Приклад 3: надсекретна угода

Ваш керівник просить сплатити внесок, щоб придбати одну з компаній-конкурентів. В електронному листі він застерігає, щоб про це ніхто не дізнався, і в такий спосіб відбиває у вас бажання перевіряти його ідентичність. Оскільки такі відомості часто не розголошуються до останнього моменту, спочатку ви можете не запідозрити про те, що стали жертвою шахраїв.

Порівняння BEC і традиційних фішингових атак

Хоча і BEC, і фішинг є схемами на основі електронної пошти, їх тактики та наслідки досить різні:

• BEC — цілеспрямовані, персоналізовані атаки. Шахраї проводять дослідження, щоб імітувати конкретних людей і процеси з метою завоювати довіру. Ці атаки зосереджуються на цінних активах, як-от грошові перекази або делікатні дані.
• Традиційний фішинг — атаки широкого спектра спрямованості. Наприклад, підроблені сторінки входу, електронні листи "ви виграли приз" або загальні тактики залякування. Їх легше помітити, і їх метою часто є паролі або невеликі суми грошей.

У разі BEC ставки значно вищі, що робить критично важливим для організацій у першу чергу захиститися від цих просунутих схем.

Зупинка атаки BEC на ранньому етапі вимагає поєднання проактивних заходів, технологічних засобів захисту й чіткого плану реагування на випадки, коли щось йде не так. Ось як захистити організацію:

Організаційні заходи й навчання співробітників

Вашою першою лінією захисту є ваші співробітники, а обізнаність перетворює потенційно слабкі ланки на союзників у кібербезпеці. Переконайтеся, що всі знають, як виявити:
 

• Фішингові посилання.
• Невідповідність домену й адреси електронної пошти.
• Підозріло термінові запити.

Можете навіть симулювати атаки порушень безпеки корпоративної електронної пошти, щоб навчати працівників розпізнавати їх.

Безпечні електронні шлюзи та технічні рішення

Технології можуть зміцнити ваш захист. Інструменти, призначені для виявлення та блокування електронних листів від зловмисників, включають такі:

• Безпечні електронні шлюзи (SEG) — ці шлюзи діють як фільтр, аналізуючи вхідні листи на ознаки шахрайства або підробки.
• Багатофакторна аутентифікація (БФА) — навіть якщо шахраї отримують доступ до облікових даних, БФА додає ще один рівень безпеки.
• Автентифікація повідомлень, звітування та узгодженість на рівні домену (DMARC) — цей протокол допомагає запобігти підробці вашого домена електронної пошти. 

Впровадження цих інструментів може значно знизити ризик успішної атаки BEC.

Реагування на можливу атаку BEC

Якщо ви підозрюєте атаку BEC, швидкість має вирішальне значення. Ось що робити:
 

1. Заморозьте транзакцію — якщо грошовий переказ уже ініційовано, негайно зв’яжіться з вашим банком, щоб зупинити або скасувати платіж.
2. Попередьте вашу IT-команду — вони можуть дослідити джерело електронного листа та заблокувати подальші листи від зловмисника.
3. Перегляньте та оновіть процеси — шукайте прогалини у існуючих протоколах безпеки та усувайте їх, щоб запобігти інцидентам у майбутньому. 

Наявність плану реагування забезпечує готовність до дій, коли кожна секунда на рахунку.

ШІ і захист електронної пошти

Розвиток ШІ для кібербезпеки та машинного навчання є революцією в безпеці електронної пошти. Ці технології:

• Аналізують характерну поведінку, повʼязану з електронною поштою, щоб виявляти аномалії, такі як неочікуваний запит на грошовий переказ.
• Виявляють малопомітні ознаки підробки, такі як незначні варіації в адресах електронної пошти.
• Постійно адаптуються до нових загроз, через що шахраям складніше випереджати можливості інструментів виявлення. 

Інтегруючи рішення SecOps на основі ШІ у вашу систему безпеки, ви отримуєте захист від дедалі складніших атак зловмисників.

У попередженні атак BEC важливо бути на крок попереду. Кіберзлочинці постійно вдосконалюють свої тактики, тому ваші заходи безпеки повинні бути такими ж динамічними, як і самі загрози. Нижче описано, як підтримувати надійність і актуальність вашого захисту.

Безперервний моніторинг і оновлення

Атаки BEC не є загрозою типа “налаштував і забув”. Шахраї постійно вдосконалюють свої методи, щоб обійти існуючі інструменти безпеки, тому вам потрібно залишатися пильними та застосовувати:

• Регулярні аудити безпеки для виявлення слабких місць у захисті.
• Часті оновлення ПЗ для усунення вразливостей і забезпечення захисту від нових експлойтів.
• Моніторинг загроз у реальному часі для виявлення незвичайної активності — від підозрілих електронних листів до спроб несанкціонованого доступу. 

Тільки постійно вдосконалюючи систему захисту, ви зможете встигати протидіяти цим динамічним загрозам.

Збір відомостей про нові загрози

Залишаючись в курсі останніх новин у сфері аналізу кіберзагроз, ви можете виявити потенційні загрози до того, як вони стануть серйозними проблемами. Щоб бути попереду:

• Підпишіться на блоги та розсилки з кібербезпеки, щоб регулярно отримувати відомості про нові методи BEC.
• Приймайте участь у галузевих форумах безпеки для обміну інформацією та навчання на досвіді інших організацій.
• Спілкуйтеся з експертами з кібербезпеки, щоб зрозуміти відстеження загроз і як вони можуть вплинути на ваш бізнес. 

Чим більше ви знаєте про те, як шахраї адаптуються до виявлення загроз і реагування на них, тим краще ви будете підготовлені зупинити їх.

Microsoft Defender для Office 365 — це надійне рішення для виявлення та зменшення ризиків атак BEC для організацій, які використовують Microsoft Office 365. Воно забезпечує:
 

• Розширений захист від фішингу — блокує підозрілі електронні листи та сповіщає користувачів про потенційні загрози.
• Моніторинг і звітність в реальному часі з протидією загрозам у кінцевих точках (EDR), щоб допомогти вам виявити ознаки порушення безпеки у той момент, коли вони відбуваються.
• Автоматизовані дії з реагування на інциденти, такі як надсилання до карантину шкідливих електронних листів і блокування відомих загроз.

Інтегруючи Microsoft Defender для Office 365 у вашу систему безпеки, ви отримуєте потужного союзника у боротьбі з BEC, який постійно оновлюється, щоб встигати за загрозами, що динамічно змінюються.

Крім того, функція автоматичної мінімізації атаки у Microsoft Defender XDR може зупинити атаки, що тривають, наприклад BEC, і запобігти подальшому боковому зміщенню.