Взлом корпоративной электронной почты: риски, примеры и способы предотвращения.

Ваш финансовый менеджер получает электронное письмо от генерального директора с просьбой о срочном банковском переводе до конца дня. В сообщении используется имя генерального директора, упоминается реальная сделка, которая находится в процессе, и содержится просьба о соблюдении конфиденциальности. Сообщение выглядит серьезным и требующим срочного выполнения. Менеджер обрабатывает перевод и только позже узнает, что генеральный директор никогда не отправлял это письмо.

Это взлом корпоративной электронной почты. И в настоящее время это самая финансово разрушительная форма киберпреступности. ФБР Центр жалоб на интернет-преступность Сообщается о многомиллиардных убытках от BEC только в 2023 году, и реальная цифра, вероятно, выше, поскольку многие инциденты остаются незарегистрированными. Опасность BEC заключается в его простоте. Нет вредоносного ПО. Нет очевидной уязвимости. Просто хорошо продуманная, очень убедительная имитация.

Понимание того, что такое компрометация корпоративной электронной почты, как развиваются эти атаки и какие средства защиты действительно работают, дает организациям больше шансов защитить свои финансовые счета, конфиденциальные данные и основные операции от потерь, которые призвана причинить BEC (компрометация корпоративной электронной почты).

Что такое компрометация корпоративной электронной почты?

Компрометация корпоративной электронной почты — это сложная мошенническая схема, при которой злоумышленники выдают себя за доверенных лиц, включая руководителей, поставщиков, деловых партнеров и коллег, используя электронную почту для манипулирования сотрудниками и побуждения их к действиям, которые принесут злоумышленнику финансовую или информационную выгоду.

Злоумышленникам не нужны технические навыки для взлома систем; им достаточно информации о структуре организации, взаимоотношениях и процессах, чтобы составить правдоподобные электронные письма, имитирующие сообщения сотрудников, имеющих полномочия переводить средства, обмениваться данными или изменять информацию об учетных записях.

Типичный фишинг рассылает идентичные сообщения тысячам случайных получателей, надеясь, что какой-то процент попадется на обман. BEC — это противоположность: одно тщательно подготовленное сообщение, отправленное одной конкретной цели, выдающее себя за одного конкретного доверенного лица и ссылающееся на реальный контекст организации.

Именно такой целенаправленный подход делает BEC (Business Email Compromise) более эффективным и одновременно более дорогостоящим, чем обычный фишинг. Он работает потому, что организации функционируют на основе доверия, основанного на электронной почте. Сотрудники обрабатывают запросы на оплату от руководителей, реагируют на изменения в счетах поставщиков и обмениваются информацией с юристами или аудиторами, не всегда имея возможность проверить личность через другие каналы.

Как работают атаки с использованием компрометации корпоративной электронной почты

Атаки BEC (Business Email Compromise) осуществляются с использованием структурированной методологии, начиная с первоначального исследования и заканчивая выполнением мошеннических запросов.

Шаг 1: Выбор цели и исследование.

Злоумышленники определяют организации и конкретных лиц, представляющих интерес для атаки, как правило, тех, кто обладает финансовыми полномочиями (финансовые директора, менеджеры по расчетам с поставщиками), доступом к конфиденциальным данным (менеджеры по персоналу, помощники руководителей) или контролем над отношениями с поставщиками.

В качестве источников информации для исследования используются профили LinkedIn, демонстрирующие организационную иерархию, веб-сайты компаний, содержащие информацию о руководителях и их должностях, пресс-релизы, объявляющие о партнерствах и сделках, социальные сети, раскрывающие графики поездок и текущие приоритеты, а также публичные финансовые отчеты, показывающие размер компании и объемы транзакций.

Эта фаза исследования может длиться несколько недель. Злоумышленники составляют карты подчиненности, определяют, какие сотрудники обрабатывают платежи, изучают отношения с поставщиками и ищут предстоящие события, такие как приобретения, аудиты или сроки уплаты налогов, которые могут послужить убедительным предлогом для срочных запросов.

Шаг 2: Захват учетной записи или подмена домена.

Злоумышленники получают возможность отправлять убедительные сообщения двумя основными способами: захватом учетной записи и подменой домена.

При захвате учетной записи злоумышленники компрометируют легитимный почтовый аккаунт, часто с помощью фишинга, подбора учетных данных или покупки скомпрометированных учетных данных, и рассылают BEC-сообщения с реального адреса. Эти атаки наиболее убедительны, поскольку исходят от подлинных, доверенных учетных записей.

Когда у злоумышленников нет доступа к учетной записи, они используют методы подмены личности. Они могут применять подмену отображаемого имени, когда имя отправителя выглядит легитимным, даже если базовый адрес электронной почты отличается. В других случаях они регистрируют похожие домены, такие как company-inc.com или cornpany.com, которые очень похожи на настоящий домен и могут пройти проверку на подлинность.

Шаг 3: Социальная инженерия и создание сообщений

Используя собранную информацию, злоумышленники создают сообщения, которые кажутся правдоподобными. Они ссылаются на реальные проекты, реальные отношения, текущие деловые события и стиль общения человека, за которого себя выдают. Сообщения часто краткие и профессиональные, достаточно длинные, чтобы быть убедительными, и достаточно короткие, чтобы избежать несоответствий.

Шаг 4: Выполнение мошеннического запроса

Сообщение содержит запрос, предназначенный для быстрой обработки с минимальной проверкой: банковский перевод на новый счет, оплата счета на измененный банковский счет, перенаправление заработной платы сотрудников на счета, контролируемые злоумышленником, или передача конфиденциальных данных по, казалось бы, законной причине.

Срочность и секретность — распространённые тактики давления: «Обработайте это до конца рабочего дня сегодня», «Не используйте обычные каналы связи», «Сохраняйте это в тайне до закрытия сделки». Эти требования призваны предотвратить этапы проверки, которые могли бы выявить мошенничество.

Распространенные виды мошенничества с использованием электронной почты (BEC-мошенничества)

Атаки BEC принимают несколько различных форм, каждая из которых нацелена на разные уязвимости организации.

Мошенничество генерального директора

Наиболее известный вариант BEC-мошенничества, так называемое мошенничество с использованием имени генерального директора, заключается в том, что злоумышленники выдают себя за руководителя организации, чтобы оказать давление на рядовых сотрудников и заставить их срочно принять меры. Финансовый менеджер получает электронное письмо, якобы от генерального директора, с просьбой о немедленном банковском переводе для конфиденциальной сделки по приобретению, минуя обычные процедуры утверждения.

Мошенничество со стороны генерального директора эксплуатирует властные отношения между руководителями и сотрудниками. Большинство людей не ставят под сомнение прямые просьбы генерального директора, особенно если они сопровождаются срочностью и просьбой о соблюдении конфиденциальности.

Мошенничество с выставлением счетов поставщиками

Злоумышленники выдают себя за известного поставщика или подрядчика, сообщая целевой организации об изменении банковских реквизитов и запрашивая перенаправление будущих платежей на новый счет. Поскольку в сообщении упоминаются реальные деловые отношения с поставщиком и текущая деловая активность, оно выглядит как обычная операция.

Этот вариант особенно эффективен, поскольку обработка счетов-фактур предполагает регулярное взаимодействие с внешними сторонами, что затрудняет для отделов расчетов с поставщиками проверку каждого изменения через вторичные каналы.

перенаправление заработной платы

Отделы кадров получают электронные письма, которые выглядят так, будто отправлены сотрудниками с просьбой изменить данные для прямого перечисления заработной платы на новые банковские счета. Если запрос обрабатывается, следующая или несколько зарплат сотрудника перечисляются на счет злоумышленника, а не на счет сотрудника.

Эти атаки нацелены на отдел кадров, а не на финансовый отдел, и используют в своих целях рутинный характер запросов на изменение заработной платы, которые отделы кадров обрабатывают регулярно.

Выдача себя за адвоката

Злоумышленники выдают себя за адвокатов, юридические фирмы или консультантов, занимающихся конфиденциальными вопросами (слияния, поглощения, вопросы соблюдения законодательства или судебные разбирательства), и запрашивают срочные финансовые переводы или конфиденциальную информацию. Использование юридического статуса снижает готовность получателей задавать вопросы или проверять информацию.

В запросах часто подчеркиваются требования юридической конфиденциальности, чтобы отговорить сотрудников от консультаций с коллегами, которые могут задать вопросы.

Кража данных BEC

Не все атаки типа BEC направлены на получение денег. Некоторые нацелены на конфиденциальные данные: формы W-2, содержащие номера социального страхования сотрудников и информацию о заработной плате, интеллектуальную собственность, базы данных клиентов или конфиденциальные документы, касающиеся бизнес-стратегии.

Кража данных (BEC) часто предшествует финансовому мошенничеству. Когда злоумышленники крадут информацию о сотрудниках, например, данные о заработной плате или данные для прямого перечисления средств, они могут впоследствии использовать ее для перенаправления заработной платы или выплат пособий. В то же время внутренние документы, списки контактов и схемы коммуникации дают злоумышленникам необходимую информацию для создания более убедительных электронных писем, имитирующих их действия, в будущих атаках.

Признаки атаки BEC

Сообщения, отправляемые по схеме BEC (Business Email Compromise), созданы таким образом, чтобы выглядеть правдоподобно, но при внимательном рассмотрении определенные закономерности выявляют их истинную природу.

Несоответствия между отправителем и доменом:

• При наведении курсора или нажатии для просмотра содержимого отображаемое имя не совпадает с фактическим адресом электронной почты.
• В доменных именах используются незначительные вариации: company-inc.com, cornpany.com, company.co вместо company.com.
• Бесплатные почтовые сервисы (Gmail, Yahoo) используются для якобы деловой переписки с руководством.
• Адрес для ответа отличается от адреса отправителя, что приводит к перенаправлению ответов на учетные записи, контролируемые злоумышленником.

Языковые и тональные аномалии:

• Стиль письма, словарный запас или уровень формальности не соответствуют тому, как обычно общается предполагаемый отправитель.
• Стандартные приветствия («Здравствуйте», «Привет, команда») от руководителей, которые обычно обращаются к вам по имени.
• Несколько неуклюжая формулировка, не соответствующая манере речи носителей языка.
• Упоминания о взаимоотношениях или проектах, которые кажутся несколько неуместными или описаны в общих чертах.

Необычные финансовые запросы:

• Запросы на перевод средств на новые, неподтвержденные счета.
• Инструкции по оплате поставщику с измененными банковскими реквизитами.
• Запросы на покупку подарочных карт и обмен кодами (почти повсеместный предупреждающий знак BEC).
• Срочность в отношении сделок, которые обычно проходят установленные процедуры утверждения.

Давление срочности и необходимости сохранения секретности:

• «Необходимо сделать сегодня», «до конца рабочего дня» или другие искусственно созданные временные ограничения.
• Запросы на обход стандартных процедур утверждения
• Инструкции по сохранению конфиденциальности запроса до завершения транзакции.
• Неудобство или разочарование при предложении проверить информацию стандартными способами.

Необычный контекст запроса:

• Финансовые запросы от руководителей, которые обычно не инициируют платежи напрямую.
• Запросы на изменение поставщика без предварительного уведомления или объяснения причин.
• Переписка с адвокатом по вопросам, о которых вы ранее не знали.
• Запросы, полученные в случаях, когда известно, что предполагаемый отправитель находится в поездке или недоступен.

Поддержание чистых, проверенных списков контактов и использование надежных источников информации. инструменты проверки электронной почты Это помогает организациям выявлять случаи получения сообщений с адресов, не соответствующих установленным контактным данным, что является ранним сигналом потенциальной активности в сфере BEC (Business Email Compromise).

Как предотвратить компрометацию деловой электронной почты

Для эффективного предотвращения BEC-атак необходимы многоуровневые меры контроля, охватывающие технические системы, поведение сотрудников, финансовые процессы и организационную политику.

Технический контроль

Ни одно отдельное техническое решение не способно остановить BEC-атаки, поэтому организациям необходимо сочетать аутентификацию, мониторинг и контроль доступа для снижения рисков.

Протоколы аутентификации электронной почты

Правильная настройка записей SPF, DKIM и DMARC. Внедрение политики принудительного исполнения значительно снижает вероятность прямой подмены домена, предотвращая отправку злоумышленниками неаутентифицированных сообщений, которые выглядят так, будто отправлены именно с вашего домена. DMARC p=reject гарантирует, что неаутентифицированные сообщения, якобы отправленные с вашего домена, не дойдут до получателей, защищая как ваших сотрудников от входящих поддельных сообщений, так и ваших клиентов от злоумышленников, выдающих себя за вашу организацию.

Передовые платформы безопасности электронной почты

Инструменты защиты электронной почты на основе искусственного интеллекта отслеживают типичные способы общения людей и ищут активность, выходящую за рамки этих шаблонов. Например, они могут помечать электронные письма, заметно отличающиеся от обычного тона или формулировок отправителя, или попытки входа в систему из незнакомых мест или с незнакомых IP-адресов. Поскольку эти системы анализируют поведение, а не просто сканируют на наличие известных вредоносных ссылок или вложений, они могут обнаруживать хорошо продуманные попытки BEC (Business Email Compromise), которые традиционные фильтры на основе сигнатур часто не могут выявить.

Многофакторная аутентификация (MFA)

Многофакторная аутентификация (МФА) для всех учетных записей электронной почты помогает предотвратить захват учетных записей, что является одной из наиболее убедительных форм BEC (Business Email Compromise). Когда злоумышленники получают доступ к почтовому ящику реального сотрудника, его сообщения выглядят совершенно законными, поскольку они отправлены с подлинного, доверенного адреса. МФА добавляет второй этап проверки, поэтому даже если злоумышленники украдут пароль с помощью фишинга, они все равно не смогут войти в систему и использовать учетную запись для отправки мошеннических сообщений.

Мониторинг домена

Зарегистрируйте похожие на домен вашего бренда варианты, например, с незначительными орфографическими ошибками или вариантами с дефисом, чтобы предотвратить их использование злоумышленниками. Кроме того, отслеживайте активность регистрации новых доменов, которые очень похожи на ваш бренд. Раннее обнаружение таких доменов может сигнализировать о подготовке к кампании BEC (Business Email Compromise) и дать вам время для расследования или принятия мер защиты до отправки мошеннических писем.

Обучение персонала

Регулярное обучение на основе реальных сценариев, ориентированное на борьбу с BEC (Business Email Compromise), позволяет сотрудникам распознавать едва заметные признаки, которые могут быть упущены автоматизированными средствами безопасности. Сотрудники должны практиковаться в выявлении:

• Подмена отображаемого имени по сравнению с фактическими адресами отправителя
• тактика давления, основанная на срочности и секретности
• Необычные модели финансовых запросов
• Как подтвердить запросы через вторичные каналы

Упражнения по моделированию BEC, в ходе которых ИТ-специалисты отправляют контролируемые фиктивные сообщения BEC для проверки реакции сотрудников, выявления пробелов в обучении и развития практических навыков распознавания, более эффективных, чем только обучение в классе.

Финансовый контроль

Финансовые гарантии обеспечивают, что даже если вводящее в заблуждение электронное письмо дойдёт до сотрудника, оно не сможет немедленно инициировать необратимые действия по выплате заработной платы.

Двойная авторизация для банковских переводов

Для банковских переводов, превышающих установленные пороговые значения, требуется два независимых подтверждения. Атаки BEC (Business Email Compromise) часто используют ситуации, когда только один человек имеет право переводить средства, что делает его главной мишенью для обмана. Требование двойного подтверждения гарантирует, что даже если один из сотрудников будет введен в заблуждение, вторая проверка обеспечит критически важную защиту до того, как деньги покинут организацию.

Внеполосная проверка

Введите политику, требующую телефонной верификации с использованием известных, заранее установленных номеров телефонов для любых платежных инструкций, касающихся новых счетов, измененных банковских реквизитов или необычных сумм. Сотрудники ни в коем случае не должны полагаться на контактную информацию, указанную в самом электронном письме, при подтверждении таких запросов. Простой звонок для верификации по надежному каналу может предотвратить многие попытки мошенничества с использованием электронной почты (BEC) до перевода средств.

процедуры запроса на изменение платежа

Разработайте структурированную процедуру обработки запросов на изменение банковских операций поставщиков, включающую несколько этапов проверки перед утверждением любых обновлений. Это должно включать прямой обратный звонок установленным контактным лицам поставщика и периоды ожидания перед обработкой. Стандартизированные процессы внесения изменений снижают эффективность злоумышленников.

Применение политики

Четкие, письменные правила, касающиеся финансовой авторизации, запросов на изменение платежей и необычных запросов на обмен данными, предоставляют сотрудникам основу для реагирования на подозрительные ситуации, не создавая у них ощущения, что они ставят под сомнение законные полномочия. Правила, в которых прямо указано: «Мы никогда не будем запрашивать срочные банковские переводы только по электронной почте», снижают давление, которое используют атаки BEC (Business Email Compromise).

Очистка списков рассылки регулярно способствует эффективному обнаружению BEC, поскольку высокий подпрыгивать Низкая скорость обработки сообщений и плохая репутация отправителя могут ослабить фильтрацию безопасности, которая помогает выявлять подозрительные сообщения.

Выводы

Взлом корпоративной электронной почты успешен, потому что он использует доверие внутри организации, а не технические уязвимости. Злоумышленники вкладывают средства в исследования, создают убедительные имитации и нацеливаются на конкретных людей и процессы, обрабатывающие финансовые транзакции и конфиденциальные данные, не нуждаясь при этом ни в одной строке вредоносного кода.

Для предотвращения подобных инцидентов необходима многоуровневая защита, дополняющая эту изощренность: протоколы аутентификации, предотвращающие подмену доменов, многофакторная аутентификация, блокирующая захват учетных записей, обучение сотрудников, развивающее навыки распознавания BEC-атак, и финансовый контроль, требующий внеполосной проверки перед обработкой необычных запросов.

Поддержание чистоты почтовой инфраструктуры является частью вашей стратегии защиты от BEC-атак. Используйте ДеБаунс Это позволяет проверять списки контактов и уменьшать количество недоставленных писем, которые подрывают репутацию отправителя. Когда ваши контактные данные точны, а средства аутентификации правильно настроены, становится проще обнаруживать сообщения, поступающие извне установленных отношений с поставщиками и партнерами, что затрудняет успешное осуществление попыток BEC (Business Email Compromise).