Business email compromise — вид фишинговых рассылок, при котором злоумышленники пишут от лица компании-контрагента, партнера или даже руководства самой компании-жертвы и просят сделать что-либо выгодное злоумышленнику, чаще — просто оплатить счет или перевести деньги. Таким образом, атакующие стремятся быстро заработать без проникновения в сеть компании-жертвы с помощью вредоносного ПО.
Ситуация усугубляется тем, что злоумышленники стали чаще подделывать домены или адреса электронной почты, чтобы создать иллюзию легитимности своих писем. Они могут взламывать реальные учетные записи и отправлять фишинговые письма от имени жертв. Наиболее популярными схемами мошенничества с корпоративной электронной почтой являются подставные счета притворных контрагентов, мошенничество от лица топ-менеджмента и от лица юридического представителя.
В России за первые пять месяцев 2023 года, по сравнению с аналогичным периодом 2022 года, на 15% — до 30% от общего объема фишинга — возросла доля BEC, писем, нацеленных на быструю монетизацию атаки через подставные счета от контрагентов, подсчитали для «Известий» аналитики МТС Red.
— Рост таких атак может быть связан с тем, что сотрудники компаний стали более критично воспринимать письма, например, с предложениями поучаствовать в выгодных акциях, приходящие на рабочую почту, — отмечает руководитель центра сервисов кибербезопасности компании МТС Red Андрей Дугин. — Малые и средние предприятия обычно становятся мишенью нетаргетированного фишинга, поскольку компании из этого сегмента часто пренебрегают даже бесплатными мерами повышения киберграмотности сотрудников.
По словам специалиста, подобный фишинг — универсальный инструмент для первого проникновения хакера в инфраструктуру любой организации. Злоумышленники получают точку доступа, а уже использовать ее можно множеством разных способов — от простой продажи в даркнете до многолетнего шпионажа.
По содержанию BEC может быть как «заточенным» под атакуемого (полностью легитимный счет, подменены только реквизиты получателя), так и представлять собой обычное письмо вроде «переполнен почтовый ящик» — такому сообщению, прилетевшему от контрагента, проще пробиться через автоматизированные спам-фильтры. По словам ИБ-инженеров МТС Red, технически реализовать BEC несложно, если иметь на руках логин-пароль и не применять двухфакторную аутентификацию.
В случае с атаками BEC в отдельных случаях злоумышленникам удается достигать впечатляющих объемов хищений, отмечает директор по продуктам компании «Гарда Технологии» Павел Кузнецов. А так как социотехнические атаки продолжают работать в обход всех процессов и систем, стоит ожидать сохранения и развития такой активности, прогнозирует он.
— Как правило, BEC направлены на крупный бизнес, и наши оценки не вполне совпадают со статистикой Microsoft, — говорит эксперт «Гарда Технологии». — Компрометировать компанию с помощью социотехники злоумышленники рискуют в основном ради крупного куша.
По мнению Кузнецова, на практике чаще всего схема мошенничества состоит из множества шагов по приобретению доверия жертвы со стороны якобы ее прямого руководителя и установления неконтролируемого службой безопасности компании канала связи, а финальным шагом становится требование перевода денег со счета компании под предлогом наличия обстоятельств непреодолимой силы. Противиться подбираемым эмоциональным аргументам порой сложно, и люди иногда даже идут на нарушение должностных инструкций, тем более что «руководитель» якобы такое нарушение согласовывает, подчеркивает ИБ-инженер.
— Самый простой способ — уведомление о смене реквизитов и просьба заплатить за товары и услуги на новые счета, — говорит управляющий RTM Group Евгений Царев. — Письмо приходит от давнего контрагента, поэтому может быть принято быстрое решение самим бухгалтером о переводе. Важно, что факт мошенничества может вскрыться только через месяц, квартал, год.
Один из типовых сценариев состоит во встраивании злоумышленника в процесс рабочей переписки, отмечает руководитель направления информационной безопасности iTprotect Кай Михайлов. Начинается атака с компрометации корпоративной электронной почты. Злоумышленник тем или иным способом получает доступ к почте и внимательно изучает переписку и текущую активность жертвы. Данные знания помогают в нужный момент выдать себя за жертву и перевести переписку на себя. Используются поддельные, но очень похожие адреса и домены компаний (в распознавании которых как раз могут помочь антиспам-системы). В итоге злоумышленник «замыкает» переписку с контрагентом на себя и в ключевой момент (например, при пересылке номеров счетов, сумм и т.д.) происходит подмена данных на реквизиты злоумышленника.
— Способов выяснить контрагентов из открытых источников очень много, — говорят в МТС Red. — Это сбор и анализ открытой информации о контрагентах, размещенной на закупочных порталах, логотипы контрагентов на сайтах компаний, тексты договоров, в которых явно указывается, кто какой сервис предоставляет, копилефты веб-студий на сайтах, наконец, пресс-релизы о сотрудничестве.
С каждым годом средства защиты становятся совершеннее, защитники — опытнее, и преступникам не всегда под силу бороться с ними, утверждает аналитик Positive Technologies Федор Чунижеков. Зачастую гораздо проще и быстрее проникнуть в инфраструктуру организации через электронное письмо со вложением в виде трояна, чем долго и тщательно пытаться найти уязвимости в периметре организации.
Социальная инженерия является одним из наиболее популярных методов среди киберпреступников: по данным Positive Technologies, за I квартал 2023 года половина успешных атак на организации прошла с участием человеческого фактора, а наиболее популярным каналом социальной инженерии стала электронная почта (86% от числа атак с использованием методов социальной инженерии).
— Если в случае компрометации аккаунта электронной почты преступнику удастся получить больше сведений об организации, ее руководстве и бизнес-процессах, то он сможет представиться одним из руководителей и обмануть, например, главного бухгалтера для получения денег на подставной счет, — раскрывает детали Федор Чунижеков. — За BEC-атаками могут стоять как обычные мошенники без специальной подготовки и нацеленные на получение финансовой выгоды, так и высококвалифицированные члены APT-группировок, целью которых является кибершпионаж и глубокое внедрение в инфраструктуру жертвы.
BEC-атаки проводятся в считаные часы: расследование Microsoft показало, что мошеннику достаточно двух часов для проведения разведки и отправки ложных инструкций для банковского перевода.
Возросшее количество ВЕС-атак в целом говорит о том, что злоумышленникам приходится всё чаще задействовать сценарии социальной инженерии (причем с «тяжелой артиллерией» — с упоминанием топ-менеджмента и силовых структур), поскольку против хорошо защищенного технически и организационно крупного бизнеса действовать другими методами сложно, указывает управляющий RTM Group Евгений Царев. Но особенно хорошо такие атаки работают с небольшими компаниями, преимущественно в сочетании с другими методами (подбором паролей, DDoS-атаками и т.д.), дополняет эксперт.
— В России количество атак на малые и средние предприятия в последние 2–3 года растет, — говорит эксперт. — Особенно этот тренд стал заметен в последний год. Мы видим, что число атак на данный сегмент выросло не менее чем на 150%. Серьезно повлиял уход зарубежных вендоров, отсутствие возможности продолжать пользоваться некоторыми инструментами защиты и производить обновления.
Также, добавляет эксперт, в появление всё большего числа уязвимостей вносит вклад и повсеместное применение решений на Open Source, содержащих множество проблем безопасности.
— Сценарии социальной инженерии оказываются очень действенными в отношении средних и малых предприятий, — отмечает Евгений Царев. — В таких компаниях не так жестко прописана ответственность за нарушения, не проводится регулярное обучение по вопросам информационной безопасности среди сотрудников, а потому «человеческий фактор» может влиять сильнее, чем у крупняка.
Кай Михайлов из iTprotect считает, что потенциал для данных атак со стороны преступников еще не исчерпан, и мы видим усложнение методов и подходов в этом направлении. Если раньше это были массовые рассылки с типовыми текстами и формулировками в расчете на то, что небольшая часть получателей «клюнет» на обман, то теперь это зачастую проработанные, тщательно подготовленные фишинговые рассылки под конкретных адресатов (spearfishing — в зарубежной терминологии), замечает специалист.
В iTprotect поясняют, что количество атак на каждую компанию напрямую зависит от того, как часто ее контактные данные появляются в свободном доступе.
Для защиты от атак Microsoft рекомендует использовать многофакторную аутентификацию, шифрование электронной почты, обучение сотрудников основам кибергигиены и проверки подлинности доменов.
В iTprotect напоминают, что на рынке давно существуют системы антиспама и антифишинга, которые по множеству параметров письма (не только тексту) могут с большой долей вероятности распознать BEC-атаку. Такие системы доступны широкому кругу организаций. Основное требование для качественного распознавания угроз для данных средств защиты — регулярное (несколько раз в день) обновление баз сигнатур. Для большинства зарубежных решений на данный момент это невозможно, и множеству организаций пришлось оперативно импортозаместить такие системы: сейчас на российском рынке уже присутствуют отечественные аналоги.
Для предотвращения BEC-атак в Positive Technologies рекомендуют проводить симуляции фишинговых атак, чтобы научить сотрудников распознавать BEC-атаки, контролировать и поощрять осведомленность сотрудников в вопросах кибербезопасности, установить правила доступа к сети, чтобы ограничить использование персональных устройств и предотвратить обмен информацией за пределами периметра корпоративной сети, а также следить за обновлениями безопасности. Следует убедиться, что все приложения, операционные системы, устройства и внутреннее программное обеспечение обновлены и безопасны. Не лишним будет использовать антиспам и sandbox-решения для фильтрации нежелательной электронной почты и проверки содержимого входящих сообщений.
Сенатор РФ, зампредседателя Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин полагает, что для государственных и военных структур сейчас необходимо тщательно разрабатывать внутренние положения об информационной безопасности, постоянно обучать сотрудников, информировать о новых видах киберугроз.
— Со стороны служб по информационной безопасности необходим строгий контроль за соблюдением правил использования техники и коммуникаций, — говорит сенатор. — Персональная ответственность за решение этих вопросов должна быть возложена на руководителей организаций.
Дмитрий Алексеев