Business E-mail Compromises (BCE) - целевые атаки с помощью социальной инженерии по электронной почте

Что наносит больший ущерб, чем программы-вымогатели?

Что наносит больший ущерб, чем программы-вымогатели?

Business E-mail Compromises (BEC) — это целевые атаки, основанные на техниках социальной инженерии, с помощью которых хакеры принуждают людей к переводу денег на свои счета. С октября 2013 по декабрь 2016 года с помощью подобных атак злоумышленники похитили 5,3 млрд долларов — это около 4,7 млн долларов в сутки. Как работают такие атаки, как их предотвратить или хотя бы минимизировать ущерб, расскажем в статье.

 

 

 

 

  1. Введение
  2. Что такое компрометация корпоративной почты
  3. Как компрометируется корпоративной почта
  4. Выводы и рекомендации по предотвращению BEC-атак

 

Введение

Сообщениями о программах-вымогателях заполнены все сводки новостей. Еще в 2016 году, до появления вирусов WannaCry и Nyetya, подобные программы заработали своим хозяевам более одного миллиарда долларов.

Немалые деньги, скажете вы, но, например, компрометация бизнес-почты (Business E-mail Compromises, BEC) прибыльнее программ-вымогателей на 75%. Тем не менее, о таких способах обмана широкая общественность осведомлена куда меньше.

С октября 2013 по декабрь 2016 года с помощью атак типа BEC злоумышленники похитили 5,3 млрд долларов, что эквивалентно примерно 4,7 млн долларов в сутки. Программы-вымогатели, для сравнения, в 2016 г. похищали около 2,7 млн долларов в сутки. Подробно эти два типа атак рассматриваются в отчете Cisco Midyear Cybersecurity Report

 

Что такое компрометация корпоративной почты

Атаки типа BEC — целевые, основанные на техниках социальной инженерии, с помощью которых хакеры принуждают людей к переводу денег на свои счета. Здесь нет ни вредоносных программ, ни почтовых вложений. В отличие от атак с программами-вымогателями, данные пострадавших не похищаются. Все основано на лжи и манипулировании.

Обычно хакеры какое-то время наблюдают за намеченной жертвой, собирая некоторое досье. Накопив достаточно информации, они посылают фишинговые сообщения топ-менеджерам — как правило, в финансовый отдел. В любом случае, получателем должен быть кто-то, обладающий полномочиями на перевод денежных средств. Очевидно, что чем больше компания, тем больше денег в перспективе могут получить злоумышленники, и, соответственно, крупные предприятия чаще оказываются жертвами. В то же время наблюдается рост числа атак, нацеленных на малый и средний бизнес.

Киберпреступникам необходимо решить две задачи: создать атмосферу доверия и ощущение срочности. И то, и другое важно для того, чтобы заставить жертву совершить транзакцию, не задавая дополнительных вопросов и не проверяя легитимность навязываемых действий.

Например, преступник может по электронной почте представиться государственным чиновником и вынудить компанию заплатить некий штраф или недоплаченные налоги. Иногда в качестве приманки используется собранная злоумышленниками подробная информация о служащих финансового отдела.

 

Как компрометируется корпоративной почта

Представьте, что я — хакер. Несколько дней я собирала досье на компанию и узнала через LinkedIn имена некоторых финансовых директоров. В одном из постов кто-то из них рассказывал о большом совещании, которое состоялось в компании на прошлой неделе. Почитав новости на корпоративном сайте, я узнала, что компания ведет переговоры о серьезном контракте с одним из своих крупнейших клиентов. На самом деле, мне этого достаточно.

От имени одного из финансовых директоров компании я создаю фальшивый адрес электронной почты, который выглядит как локальный вариант основного домена (например, @company.ch вместо @company.com). Затем с этого адреса я посылаю сообщение финансовому менеджеру в другой стране, представляясь директором соседнего офиса. Чтобы письмо выглядело, как личное, я даже приношу свои извинения за то, что не смог побеседовать со своим адресатом на прошедшем совещании. И прошу его помощи в проведении срочного платежа в пользу одного из наших поставщиков. При этом я подчеркиваю, что если компания не заплатит до конца дня, мы рискуем потерять контракт с одним из крупнейших заказчиков.

Все выглядит вполне законно, финансовый менеджер слышал мое имя, я упомянула недавнее внутреннее совещание, адрес электронной почты не вызывает подозрений, моя просьба звучит убедительно. Не успев опомниться, финансовый менеджер проводит запрошенный мною платеж — и осознает свою ошибку только на следующий день, когда уже слишком поздно.

Злоумышленники используют техники социальной инженерии. Опираясь на социальное поведение, любопытство и желание помочь другим, преступники манипулируют людьми, заставляя их выполнять те или иные действия.

Существуют как сложные, так и более простые варианты компрометации бизнес-почты. Злоумышленник может представиться вендором и попросить изменить банковские реквизиты, и тогда на его счет пойдут платежи, адресованные законным поставщикам.

 

Выводы и рекомендации по предотвращению BEC-атак

Предотвратить BEC-атаки довольно сложно, так как в них отсутствуют привычные элементы, на которые обращают внимание службы безопасности. Компаниям следует предупреждать своих служащих о рисках, связанных с компрометацией бизнес-почты, и создать для финансового отдела контрольный список действий.

Приведем некоторые рекомендации.

  • Не следует полагаться только на сообщения электронной почты. Факты необходимо проверять по телефону, но не по тому номеру, который указан в полученном сообщении.
  • Для проверки изменений, вносимых в банковские реквизиты вендоров, должны действовать стандартные процедуры.
  • Следует соблюдать осторожность при работе с доменами, имена которых похожи на имя домена компании. Служба безопасности может отслеживать и помечать такие домены, но определить собственника домена может и любой пользователь с помощью сайте whois.net.
  • Необходимо сформулировать правило, согласно которому будут помечаться все сообщения электронной почты, которые приходят с внешних адресов компаний и у которых имя не соответствует обратному адресу.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru