Киберпреступники используют множество вариантов кибератак, различных по сложности технической реализации и эффективности. Среди них особое место занимает очень простая в реализации и в то же время очень результативная атака — Business Email Compromise (BEC), или атака с использованием компрометации деловой переписки. Это целевая атака на основе компрометации электронной почты с целью кражи денег, конфиденциальной информации или учетных данных организаций. Эти атаки сложно предотвратить, поскольку преступники могут использовать методы социальной инженерии, такие как самозванство и запугивание в целях манипулирования пользователями.
Компрометация корпоративной электронной почты — это быстро растущая киберугроза, которая наносит большой финансовый ущерб организациям.
Злоумышленники начинают атаку с тщательного сбора информации о компании. Они акцентируют внимание на данных о руководителях и бухгалтерах, а также на адресах электронной почты сотрудников и информации о контрагентах. С помощью фишинга или вредоносных программ злоумышленники компрометируют их учетные записи, внимательно изучая переписку с контрагентами. Далее выясняют детали финансовых транзакций, определяют круг лиц, запрашивающих и утверждающих денежные переводы, а также тех, кто непосредственно осуществляет финансовые операции. Сами BEC-атаки можно разделить на пять типов.
Компрометация учетной записи: учетная запись электронной почты сотрудника взламывается и используется для рассылки мошеннических сообщений другим организациям и контактам.
Кража персональных данных сотрудников: Мошенники выбирают своей целью привилегированных пользователей, которые имеют доступ к информации о сотрудниках, чтобы получить конфиденциальные данные для выполнения будущих атак.
Фальшивый счет: Злоумышленник подделывает электронное письмо от организации или поставщика, с которым работает жертва. Это письмо может содержать счет с требованием оплаты на определенный счет, который контролируется злоумышленниками.
Лжеюрист/бухгалтер: Киберпреступник выдает себя за представителя юридической фирмы или налоговой службы. Такой типа атаки заставляет сотрудников действовать быстро и необдуманно, чтобы срочно избавиться от «угрозы», выдуманной преступником.
Лжеруководитель: В этом сценарии злоумышленник выдает себя за генерального директора компании или любого руководителя и рассылает электронные письма сотрудникам, требуя срочно отправить деньги на счет мошенника.
Причины эффективности BEC-атак
Социальная инженерия: атаки осуществляются в конце рабочего дня или перед праздниками, когда сотрудники находятся в спешке. Тексты писем разрабатываются с учетом особенностей взаимоотношений между отправителем и получателем.
Легитимный внешний вид: Злоумышленники используют собранную информацию для создания писем, стилистически и внешне неотличимых от обычной переписки с контрагентами. Например, бухгалтер может получить указание генерального директора о переводе средств, идентичное по стилю предыдущим распоряжениям.
Отсутствие вредоносного содержимого: Письма лишены ссылок и вложений, что помогает нейтрализовать антивирусные программы и другие защитные меры.
Нет проникновения в систему: Злоумышленники убеждают сотрудников проводить финансовые операции по своей воле, избегая необходимости взламывать системы. Жертвы уверены, что выполняют корректные действия, даже при возможных запросах банка относительно новых реквизитов.
Срочность и манипуляции: Под угрозой серьезных и неотвратимых последствий сотрудники действуют без должного размышления, тем самым обеспечивая выполнение указаний киберпреступников.
Как распознать компрометацию деловой электронной почты?
Существует несколько методов, с помощью которых злоумышленники убеждают жертв в подлинности их электронной почты, включая самозванство, подделку и захват учетной записи электронной почты. Умение распознать эти тактики будет жизненно важным для защиты вашей организации от компрометации деловой электронной почты.
Самозванство
Распространенная и простая тактика, при которой злоумышленник создает учетную запись электронной почты, внешне очень похожую на реальную учетную запись деловой электронной почты. Для этого в адрес электронной почты злоумышленника добавляется незаметная орфографическая ошибка или специальные символы других языков.
Эта форма компрометации деловой электронной почты основана на установлении доверительных отношений с жертвой, а не на использовании вредоносных файлов и ссылок для осуществления мошеннических переводов или сбора конфиденциальной информации.
Подделка электронной почты
Заключается в том, что злоумышленники подделывают домен своих фальшивых писем так, чтобы он выглядел точно так же, как домен целевой организации. Обходя стандарты аутентификации электронной почты, такие как SPF, DKIM и DMARC, злоумышленники могут подделать свои письма так, чтобы они выглядели как исходящие от легитимного домена, а не от почтового сервера злоумышленника.
Захват учетной записи электронной почты
Более продвинутая форма атаки, при которой злоумышленник получает доступ к учетной записи корпоративной электронной почты. Злоумышленник может получить учетные данные различными способами, например с помощью фишинга или используя имена пользователей/пароли, полученные в ходе предыдущих атак.
Используя взломанную учетную запись в качестве плацдарма, злоумышленник может провести разведку организации-жертвы, анализируя ее контакты, электронные письма и разговоры. Злоумышленник также, скорее всего, установит правила пересылки на свою собственную внешнюю почту, чтобы собирать информацию за пределами организации-жертвы.
Теперь злоумышленник может отслеживать новые электронные письма от партнеров и клиентов и находить сообщения, касающиеся конфиденциальной информации и финансовых операций. Обнаружив что-то интересное, злоумышленник может внедриться в переписку и под видом легитимного отправителя заставить жертву, например, поделиться конфиденциальной информацией.
Если вы обнаружили любой из этих признаков, то ваша организация может быть мишенью кибератаки, связанной с компрометацией деловой электронной почты. Анализ этих подозрительных событий станет ключом к защите ваших данных.
Защита от компрометации корпоративной электронной почты
с помощью Makves DCAP
DCAP-системы сами по себе не являются прямым решением для предотвращения ВЕС-атак, они являются частью более широкой стратегии по уменьшению рисков, связанных с кибератаками. Однако Makves DCAP помогает предотвратить инциденты, связанные с компрометацией деловой почты.
Предположим, что пароль одного из корпоративных пользователей был скомпрометирован на хакерском сайте. При этом пользователь был подключен к почтовым ящикам руководителя финансовой службы и генерального директора, содержащим конфиденциальную информацию. Получив доступ к такой учетной записи, злоумышленники могут использовать информацию переписки для дальнейших атак.
Зачастую доступ к почтовым ящикам руководителей выдается временно, например, на время отпуска руководителя. Как показывает практика, по истечении необходимого срока временный доступ забывают отключать.
Makves DCAP отображает количество подключенных пользователей к почтовому ящику. А подробная информация о подключенных пользователях отображается в карточке почтового ящика.
Таким образом, Makves DCAP помогает выявить наличие доступа к чужой почте и минимизировать риск компрометации, обеспечивая сохранение конфиденциальности переписки.
Заключение
Критически важным компонентом комплексной стратегии безопасности является обеспечение надлежащей подготовки сотрудников по вопросам фишинговых писем. Административный контроль со стороны отделов, не связанных с ИТ, например, дополнительные проверки бухгалтерии/платежных ведомостей и процедуры по предотвращению мошенничества с электронными переводами, может послужить последней защитой от финансового ущерба.
Компрометация деловой электронной почты остается одной из самых дорогостоящих форм кибератак, которым подвергаются организации по всему миру. Внедряя многоуровневый подход к контролю кибербезопасности и отслеживая действия пользователей с помощью решений по автоматизации безопасности, таких как Makves DCAP, вы можете повысить уровень безопасности вашей организации и защитить своих пользователей от BEC-атак и других форм киберпреступности.
