В период с июня 2024 года по декабрь 2025 года аналитики Fortra зафиксировали устойчивую и повторяющуюся активность класса Business Email Compromise, получившую условное название Scripted Sparrow. Эта кампания привлекла внимание не технической сложностью, а высокой степенью организационной дисциплины. В отличие от большинства BEC-атак, Scripted Sparrow не использует вредоносное ПО, фишинговые формы или компрометацию учетных записей. Вся операция строится исключительно на социальной инженерии и точном воспроизведении корпоративных коммуникаций.
Первые сообщения, связанные с Scripted Sparrow, были зафиксированы в середине 2024 года. Они представляли собой поддельные счета за консультационные и коучинговые услуги, направленные в финансовые подразделения компаний в Северной Америке и Европе. Письма выглядели как часть существующей деловой переписки и сопровождались сфабрикованными подтверждениями со стороны руководителей, создавая иллюзию ранее согласованного платежа. Такой подход позволял злоумышленникам не инициировать новое решение, а лишь «подтолкнуть» сотрудника к завершению уже якобы одобренного процесса.
По мере накопления телеметрических данных стало очевидно, что речь идет не о разрозненных инцидентах, а о централизованно управляемой операции. К началу 2025 года Fortra задокументировала сотни уникальных вариантов писем и вложений, при этом общий объем рассылки оставался относительно небольшим. Кампании проводились целевыми партиями, что снижало вероятность обнаружения и делало атаки более устойчивыми по сравнению с массовым фишингом.
Анализ инфраструктуры указывает на наличие четко выстроенной операционной модели. Домены, имитирующие легитимные консалтинговые компании, регистрировались группами в течение короткого времени и использовали скрытые WHOIS-данные. Электронные письма демонстрировали высокую степень единообразия в стиле, структуре и языке. В них фигурировали вымышленные, но правдоподобные названия компаний и последовательные цепочки писем, имитирующие внутренние согласования между руководством и финансовыми отделами.
Ключевым элементом каждой атаки было PDF-вложение со счетом или налоговой формой. Эти документы не содержали вредоносного кода и выглядели максимально легитимно, включая аккуратную верстку, логотипы и фирменные элементы. Суммы платежей подбирались таким образом, чтобы находиться ниже порогов дополнительного утверждения, что позволяло ускорить обработку и минимизировать вероятность ручной проверки.
Финансовая часть операции отличалась масштабируемостью и устойчивостью. На момент анализа было выявлено почти 250 уникальных банковских счетов, задействованных в различных кампаниях Scripted Sparrow. Эти счета распределялись между десятками финансовых учреждений и регулярно ротировались, что указывает на наличие развитой сети вывода и отмывания средств. Пересечения финансовых потоков между кампаниями подтверждают, что речь идет о единой инфраструктуре, а не о независимых попытках мошенничества.
Географические индикаторы, полученные в ходе анализа, носят вероятностный характер. Хотя почтовые заголовки часто указывают на IP-адреса в США, дополнительные данные, включая часовые пояса и особенности сетевой активности, позволяют предположить участие операторов в нескольких регионах, включая Нигерию, Южную Африку, Турцию и Иран. При этом аналитики не исключают присутствие отдельных участников в Северной Америке и Европе, подчеркивая, что подобные атрибуции всегда остаются предварительными.
Отдельного внимания заслуживают поведенческие и лингвистические особенности писем. Scripted Sparrow последовательно воспроизводит корпоративный стиль общения, используя формальный, но ненавязчивый тон, отсутствие агрессивной срочности и единообразное форматирование. Электронные письма выглядят «обычно» и не выбиваются из повседневного рабочего потока, что существенно снижает вероятность того, что получатель воспримет их как угрозу.
Начиная с 2024 года в кампаниях наблюдается постепенная эволюция. Обновляется визуальное оформление счетов, повторно используются вымышленные компании и персонажи, а домены возвращаются в оборот спустя несколько месяцев с минимальными изменениями. При этом стратегическая цель группы остается неизменной: инициировать реальные финансовые переводы без взлома систем и кражи данных.
С точки зрения защиты такие атаки представляют особую сложность. Отсутствие вредоносного кода и фишинговых ссылок делает традиционные средства обнаружения менее эффективными. Детектирование становится возможным только при корреляции косвенных признаков, таких как аномалии в маршрутах доставки, массовые регистрации доменов и повторяющиеся текстовые шаблоны, встречающиеся в разных отраслях.
Кампания Scripted Sparrow наглядно демонстрирует смещение фокуса BEC-угроз от технической эксплуатации к эксплуатации процессов и доверия. Ее устойчивость и масштаб подтверждают, что даже низкотехнологичные методы могут оставаться эффективными при наличии дисциплины, повторяемости и глубокого понимания корпоративной среды. Для организаций это означает необходимость пересмотра не только технических средств защиты, но и самих процедур финансового взаимодействия, где электронная почта по-прежнему слишком часто воспринимается как достаточное подтверждение легитимности запроса.