Что такое компрометация корпоративной почты (BEC)?
-
Компрометация корпоративной почты (BEC) — это вид фишинговых атак, нацеленных на организации. Она применяется для кражи денежных средств или критически важной информации.
Компрометация корпоративной почты (BEC) — что это такое?
Компрометация корпоративной почты (BEC) — это вид киберпреступления, при котором злоумышленник с помощью электронной почты вынуждает жертву отправить ему деньги или доверить конфиденциальную корпоративную информацию. Преступник выдает себя за лицо, которому жертва доверяет, а затем просит оплатить поддельный счет или предоставить конфиденциальные данные, которые он затем может использовать для другой аферы. В связи с популяризацией удаленной работы число атак BEC постоянно растет — в прошлом году ФБР зарегистрировало почти 20 тысяч жалоб на мошенничество с использованием BEC.1
Типы афер с использованием компрометации корпоративной почты
91 процент кибератак начинается с отправки электронных писем.2 Подробнее о наиболее распространенных типах скомпрометированных электронных писем.
Кража данных
Иногда злоумышленники вначале нацеливаются на отдел кадров компании, чтобы украсть требуемую информацию, например расписание работы или личный номер телефона конкретного сотрудника. Обладая такими сведениями, проще выполнить другие атаки BEC, придав им больше достоверности.
Схема с поддельными счетами
Выдавая себя за действительного поставщика, с которым ведет дела компания, злоумышленник отправляет по электронной почте поддельный счет, который зачастую очень трудно отличить по внешнему виду от реального документа. Номер счета может отличаться всего на одну цифру. Или вас могут попросить сделать платеж в другой банк, аргументируя это тем, что в вашем банке сейчас проводится аудиторская проверка.
"Директорское мошенничество"
Преступники имитируют или взламывают учетную запись электронной почты руководителя и рассылают сотрудникам электронные письма с инструкциями, согласно которым нужно сделать покупку или произвести безналичную оплату. Злоумышленник даже может попросить сотрудника купить подарочные карты и прислать ему фотографии серийных номеров.
Олицетворение юриста
В этом случае злоумышленники получают неавторизованный доступ к учетной записи электронной почты юридической фирмы. Затем они рассылают клиентам счета или ссылки для оплаты через Интернет. Адрес электронной почты в таких письмах настоящий, а вот банковский счет фальсифицирован.
Компрометация учетной записи
Злоумышленники используют фишинг или вредоносную программу, чтобы получить доступ к учетной записи электронной почты сотрудника финансового отдела, например менеджера, работающего со счетами дебиторов. Затем они рассылают поставщикам компании поддельные счета, чтобы запросить оплату на подмененный банковский счет.
Как работает BEC?
Вот как осуществляется афера с помощью BEC.
1. Злоумышленники определяют свои цели и находят способы выдать себя за них. Иногда они создают поддельные веб-сайты или даже регистрируют компанию с таким же названием в другой стране.
2. Получив доступ, злоумышленник изучает электронные письма, чтобы определить, кто может отправлять или получать деньги. Кроме того, они выделяют привычные шаблоны переписки и находят счета.
3. Ведя переговоры по электронной почте, злоумышленник выдает себя за одну из сторон путем спуфинга домена электронной почты. (Адрес электронной почты может отличаться на одну-две буквы, либо адрес может быть верным, но предоставляться через другой домен, например chris@contoso.com через домен fabrikam.com.)
4. Злоумышленник старается завоевать доверие жертвы, а после этого просит перевести деньги, приобрести подарочные карты или предоставить информацию.
На кого нацелена компрометация корпоративной почты
Целью атак BEC может стать каждый. Коммерческие компании, государственные учреждения, некоммерческие и образовательные организации — все они могут стать жертвами мошенников, в особенности сотрудники, исполняющие следующие роли:
1. Руководители и лидеры, так как сведения о них зачастую можно найти в открытом доступе на веб-сайте компании, поэтому злоумышленники могут притвориться, что знакомы с этими людьми.
2. Сотрудники финансовых служб, например главные бухгалтеры и персонал по работе с кредиторской задолженностью, которые владеют сведениями о банковских операциях, способах платежа и номерах счетов.
3. Руководители отдела кадров, имеющие доступ к сведениям о сотрудниках, таким как номера социального страхования, налоговые декларации, контактные данные и расписания работы.
4. Новые сотрудники или сотрудники низшего звена, которые не смогут проверить подлинность полученного письма у отправителя.
Опасность BEC
Если атака с компрометацией корпоративной почты окажется успешной, организации может быть нанесен следующий ущерб:
1. Потеря от сотен тысяч до миллионов долларов.
2. Масштабная кража удостоверений, если были похищены личные сведения.
3. Нечаянная утечка конфиденциальной информации, например интеллектуальной собственности.
По мере совершенствования схем BEC, совершенствуются и стратегии защиты от угроз. В прошлом году корпорация Майкрософт заблокировала 32 млрд угроз с применением электронной почты.3 Подробнее о решениях Майкрософт для защиты от угроз с применением электронной почты.
Примеры компрометации корпоративной почты
Пример 1. "Срочно оплатите счет!"
Предположим, вы сотрудник финансового отдела компании. Вы получаете письмо от финансового директора с приказом немедленно оплатить просроченный счет. На самом деле, конечно, это послание отправил вовсе не финансовый директор. Либо злоумышленник притворяется, что действует от лица компании, выполнившей ремонтные работы, или поставщика интернет-услуг, и присылает вам убедительный на вид счет.
Пример 2. "Какой у вас номер телефона?"
Руководитель компании присылает сообщение следующего содержания: "Мне нужно, чтобы Вы кое-что сделали. Отправьте мне ваш номер телефона, и я пришлю Вам SMS." SMS-сообщения кажутся более личными и безопасными, чем электронные письма, поэтому злоумышленник рассчитывает на то, что вы сообщите ему сведения о платеже или другую конфиденциальную информацию. Это прием называется смишингом, или фишингом с помощью SMS- (текстовых) сообщений.
Пример 3. "Срок вашей аренды истек!"
Злоумышленник получает доступ к электронной почте риэлтерской компании и находит незавершенные операции. Он отправляет клиентам сообщение: "Высылаем счет для оплаты аренды офиса на следующий год" или "Вот ссылка для оплаты депозита за аренду". Буквально недавно преступники таким образом исхитрились выманить у жертвы более 500 тыс. долларов США.4
Пример 4. "Секретное приобретение"
Ваш руководитель просит сделать первоначальный взнос для приобретения компании-конкурента. "Прошу не распространять эту информацию," — предупреждает он в электронном письме, и вы отказываетесь от мысли проверить запрос. Поскольку подробности слияния и поглощения часто держат в секрете вплоть до успешного финала, на первый взгляд в этой просьбе нет ничего подозрительного.
Советы по предотвращению BEC
Используйте эти пять рекомендаций для борьбы с компрометацией электронной почты.
Используйте безопасное решение для работы с электронной почтой
Приложения для работы с электронной почтой, такие как Office 365, автоматически помечают и удаляют подозрительные сообщения или извещают вас о том, что отправитель не прошел проверку. Поэтому вы можете заблокировать некоторых отправителей и пометить их сообщения как спам. Defender для Office 365 предоставляет еще больше средств предотвращения BEC, таких как расширенная защита от фишинга и обнаружение подозрительной пересылки.
Настройте многофакторную проверку подлинности (MFA)
Включите многофакторную проверку подлинности, чтобы вашу электронную почту было труднее скомпрометировать. В этом случае, кроме пароля, пользователю для входа нужно будет также указать код (например, PIN-код) или предоставить отпечаток пальца.
Научите сотрудников определять тревожные сигналы
Убедитесь, что все сотрудники знают, как обнаруживать фишинговые ссылки, несовпадение в адресах доменов и электронной почты и прочие "красные флаги". Сымитируйте атаку BEC, чтобы люди научились ее распознавать.
Задайте параметры безопасности по умолчанию
Администраторы могут ужесточить требования безопасности во всей организации, установив обязательную для всех многофакторную проверку подлинности, тестирование нового или рискованного доступа с помощью проверки подлинности и принудительный сброс паролей в случае утечки данных.
Используйте средства проверки подлинности электронной почты
Используйте проверку подлинности отправителей с помощью протоколов SPF, DKIM и DMARC, чтобы вашу электронную почту было труднее подделать.
Реализуйте платформу безопасных платежей
Откажитесь от обмена счетами по электронной почте и перейдите на систему, специально созданную для проверки подлинности платежей.
Защите от компрометации корпоративной почты
Защитите свою организацию с помощью решений, позволяющих обнаруживать подозрительные электронные письма, таких как Microsoft Defender для Office 365, который может выполнять следующие функции:
1. Автоматически анализировать стандарты проверки подлинности электронной почты, обнаруживать спуфинг и отправлять письма в папки карантина или нежелательной почты.
2. Использовать ИИ, чтобы моделировать привычные для конкретного человека схемы работы с электронной почтой и помечать аномальную активность.
3. Настраивать защиту электронной почты для пользователя, домена и почтового ящика.
4. Исследовать угрозы, определять, кто является их целью, обнаруживать ложные срабатывания и определять злоумышленников в обозревателе угроз.
5. Проверять шаблоны работы с электронной почтой в рамках домена и указывать на аномальную активность с помощью расширенных алгоритмов аналитики спуфинга.
Подробнее о Microsoft Security
Шесть советов по обеспечению безопасности электронной почты
Используйте эти рекомендации, чтобы защититься от BEC.
Суть мошенничества с подарочными картами
Ознакомьтесь с реальными письмами от злоумышленников, пытающихся провести атаку BEC, чтобы быть готовыми к аналогичной ситуации.
Механизм атаки BEC
Узнайте, как работают злоумышленники, на примере реальных случаев компрометации корпоративной почты.
Предотвращение атак путем распыления пароля
Узнайте, как блокировать такую атаку на электронную почту, и выявите уязвимых сотрудников в вашей организации.
Полезная информация для директоров по информационной безопасности
Узнайте о том, в каком состоянии находится обучение приемам безопасности и как научить команду защищаться от фишинга.
Предотвращение фишинга с помощью MFA
Воспользуйтесь одной из самых простых и быстрых мер предотвращения атак BEC: включите многофакторную проверку подлинности.
Подразделение Digital Crimes Unit
Узнайте, как команда Майкрософт по киберпреступлениям противодействует атакам BEC с помощью инновационных продуктов, исследований и технологий ИИ.
Вопросы и ответы
-
Отправьте жалобу в Центр приема жалоб на мошенничество в Интернете (IC3) под эгидой ФБР. Сообщите об инциденте через поставщика услуг электронной почты, пометив письмо как нежелательную почту или спам. Если у вас нет такой возможности, поставьте в известность руководителя.
-
Фишинг — лишь одна и составляющих компрометации корпоративной почты. BEC — это собирательный термин, обозначающий тип атаки, которая часто включает в себя фишинг, спуфинг, олицетворение и поддельные счета.
-
Для защиты корпоративной почты соблюдайте рекомендации по безопасности электронной почты: используйте безопасного поставщика электронной почты, включите многофакторную проверку подлинности (MFA), придумайте надежный пароль для электронной почты и почаще его меняйте, не публикуйте личные сведения в интернете. Если вы администратор, попробуйте внедрить решения для обеспечения безопасности электронной почты, такие как Defender для Office 365, настройте параметры безопасности и отслеживайте аномальную активность.
-
Чтобы обнаружить мошенничество с использованием BEC, обращайте внимание на необычные явления: сообщения, отправленные в нерабочее время, неправильно написанные имена, несоответствие адресов отправителя и получателя ответа, призывы поторопиться, странные ссылки и вложений или изменения, касающиеся информации для платежей или выставления счетов. Атаки BEC можно также обнаружить, проверив удаленные электронные письма и правила пересылки в учетной записи электронной почты — так вы сможете определить, была ли скомпрометирована ваша учетная запись. Если приложение электронной почты помечает некоторые письма как подозрительные или не прошедшие проверку, это еще один признак мошенничества с помощью BEC.
-
Спуфинг электронной почты — это подделка адреса электронной почты, чтобы он был похож на адрес, принадлежащий другому лицу. Спуфинговые адреса электронной почты могут выглядеть как реальные, но относиться к другому домену, что трудно заметить без специальной проверки (chris@contoso.com через домен fabrikam.com), иметь едва заметные отличия в написании (chris@cont0so.com) или просто принадлежать другому домену (chris@fabrikam.com).
1. Отчет ФБР о преступлениях в Интернете за 2021 г. Центр приема жалоб на мошенничество в Интернете, 2021.
2. Ganacharya, Tanmay. Protecting against coronavirus themed phishing attacks (Танмай Ганачарья "Защита от фишинговых атак, спекулирующих на теме коронавируса"). Блог Microsoft Security. 20 марта 2020 г.
3. Отчет Майкрософт о состоянии цифровой защиты. за октябрь 2021 г.
4. Министерство юстиции США. Rhode Island Man Pleads Guilty to Conspiracy to Launder Funds of Email Compromise Fraud Targeting Massachusetts Lawyer (Житель Род-Айленда признает себя виновным в сговоре с целью отмывания средств, полученных в результате мошенничества с электронной почтой, нацеленного на юриста из Массачусетса). 15 июля 2020 г.
Следите за новостями Microsoft 365