9 примеров компрометации корпоративной почты и способы этого избежать

С тех пор как люди стали активно использовать электронную почту для личной и корпоративной переписки, появилось и мошенничество с письмами. Скорее всего, вы как минимум один раз получали письма от богатых дальних родственников с такой же фамилией, как у вас.

Но если уловки киберпреступников кажутся нелепыми, то компрометация корпоративной электронной почты — это современный метод, использующий технологии и такое слабое звено, как человеческий фактор.

Согласно отчету IC3 за 2022 год:

• потенциальный совокупный ущерб от кибератак и других инцидентов вырос с $6,9 млрд в 2021 году до более чем $10,2 млрд в 2022 году;
• в IC3 поступило 21 832 жалобы на BEC-атаки с объемом убытков более $2,7 млрд, что на 12% больше, чем в 2021 году, и на 628% больше, чем в 2016 году.

В этой статье мы расскажем, какие существуют стратегии, как предотвратить потенциальные убытки, а также приведем примеры, когда компании теряли миллионы долларов, просто не досмотрев информацию в письме.

Что такое компрометация корпоративной почты?

Компрометация корпоративной почты также известна как BEC-атака. Основной целью компрометации корпоративной почты (BEC, business email compromise) является нанесение ущерба компании.

BEC-атака — это фишинговое мошенничество, при котором злоумышленники используют несанкционированный доступ к почте компании или выдают себя за ее представителя или партнера. Часто злоумышленники взламывают почту руководителя компании, например CEO.

С этого аккаунта отправляется сообщение с просьбой перевести деньги или предоставить доступ к конфиденциальным данным. Чтобы убедить получателя, злоумышленники активно используют тактики spear-phishing и социальной инженерии.‍

В последние годы рост числа BEC-атак обусловлен следующими факторами:

• увеличением числа удаленных работников;
• использованием многочисленных корпоративных аккаунтов, регистрация в которых происходит через доступ к аккаунту электронной почты сотрудника;
• применением генеративных инструментов искусственного интеллекта для борьбы с фишингом.

В связи с этим защита корпоративных аккаунтов электронной почты становится все более сложной задачей.

Типы атак, приводящих к компрометации корпоративной почты

Как вы уже поняли, при BEC-атаке киберпреступник не рассылает массовые письма в надежде, что кто-то окажется слишком доверчивым, а готовится, собирает информацию и только потом действует наверняка:

• собирает данные о компании, ее партнерах и поставщиках, а также о персонале, занимающем ключевые позиции;
• выясняет иерархическую структуру компании, чтобы понять, кто принимает финансовые решения.

Вся эта информация используется для выбора объекта атаки и создания убедительных текстов писем, которые вызывают доверие и подталкивают к поспешным действиям, сигнализирующим о срочности или важности. Генеративные технологии искусственного интеллекта помогают злоумышленникам создавать максимально убедительные тексты.

В зависимости от особенностей мошенничества ФБР выделяет следующие пять типов BEC-атак.

Схема фальшивых инвойсов

В этом случае атаке подвергаются почтовые аккаунты, связанные с оплатой счетов в компании. Преступник может выдать себя за партнера, которому компания должна заплатить, и выставить поддельный счет (иногда он отличается от реального только одной цифрой), либо подделать электронный почтовый ящик сотрудника, уполномоченного на обработку платежей по инвойсам, например ответственного менеджера, и от его имени отправить фальшивый инвойс в финансовый отдел компании.

Мошенничество с аккаунтом CEO

Киберпреступники используют для BEC-мошенничества аккаунт электронной почты CEO. От его имени они отправляют письмо сотруднику финансового отдела и поручают ему отправить деньги, обычно срочно и авторитетным тоном, ссылаясь на то, что иначе мы потеряем нашего партнера. Также от имени CEO их могут попросить срочно отправить конфиденциальную информацию подставному партнеру.

Кража данных

Не всегда целью BEC-мошенников является перечисление денег. Иногда основной целью злоумышленников является личная или конфиденциальная информация о сотрудниках компании. Для этого они атакуют представителей финансовых и кадровых отделов, которые владеют такой информацией, чтобы использовать ее в своих целях.

Компрометация аккаунтов электронной почты

Компрометация аккаунта электронной почты — это схема компрометации корпоративной почты, при которой мошенники используют взломанный почтовый аккаунт компании для получения платежей от клиентов компании, при этом они меняют платежные реквизиты на свои и получают все деньги.

Выдача себя за юриста

В этом случае злоумышленники с помощью подставного аккаунта выдают себя за юридического представителя или юриста компании, проверить полномочия которого рядовым сотрудникам сложно. Как правило, сотрудники считают, что это правомерный запрос на проведение какой-либо деловой операции, и предоставляют конфиденциальные данные.

Как распознать BEC-атаки

Основная цель текстов BEC-писем — спровоцировать быструю, необдуманную реакцию при их получении. Мы расскажем, на какие тревожные сигналы необходимо обращать внимание при оценке каждого запроса о предоставлении конфиденциальных данных или пересылке денег:

1. Повторяющиеся регулярные рабочие процессы — мошенники часто выбирают рутинные процессы, которые могут выполняться автоматически, такие как письма о сбросе пароля, обмен файлами в интранете и письма о предоставлении доступа из приложений.
2. Они устанавливают доверительные отношения с получателем — например, упоминают некоторые детали транзакции с клиентом или сотрудник делится данными о перечислении зарплаты.
3. В теме и контенте письма прослеживаются срочность и важность, манипулятивный язык, призыв к действию. Вас должны насторожить следующие слова: запрос, просрочка, платежи, немедленное действие.
4. Использование бесплатного ПО — во время атаки вас могут попросить поделиться информацией в Google Forms и Docs либо в другом сервисе, типичном для использования в компании.

Реальные примеры компрометации корпоративной почты

Мы собираем самые громкие примеры компрометации корпоративной переписки, когда компании теряют большие деньги.

BEC-атака на Facebook и Google

В период с 2013 по 2015 год Facebook и Google перечислили на подставные счета $121 млн. Злоумышленники основали фиктивную компанию Quanta Computer, название которой совпадало с названием поставщика оборудования.

Затем они отправляли Facebook и Google правдоподобные инвойсы, которые те исправно оплачивали на подставные банковские счета. Помимо фальшивых инвойсов мошенники готовили поддельные письма и юридические договоры, чтобы банки принимали переводы.

BEC-атака корпорации Toyota Boshoku

В 2019 году мошенники связались с финансово-бухгалтерским отделом дочерней компании Toyota — Boshoku. Письмо было написано от имени официального делового партнера, которому требовался срочный платеж за запчасти. В платежном поручении они указывали, что производство Toyota замедлится, если сделка не будет завершена. И афера с BEC сработала. Представитель компании передал мошенникам заказ на запчасти на сумму более $37 млн по поддельным инвойсам.

Афера с приобретением Scouler Co.

В июне 2014 года один из сотрудников компании Scouler Co. получил письмо от CEO. В поддельном письме говорилось, что Scoular хочет приобрести китайскую компанию, и содержалась инструкция по обращению к юристу бухгалтерской фирмы KPMG, переводу денег и заключению сделки. Сотрудник отправил $17,2 млн. Мошенники использовали фейковые аккаунты сотрудников Elsea и юриста KPMG, играя на доверии жертвы и эксплуатируя межличностные отношения.

Обман от подставной компании

Католический приход Святого Амброза в городе Брунсвик, штат Огайо, потерял $1,75 млн в результате BEC-атаки в 2019 году. Хакеры взломали электронную почту двух приходов и изучили письма, касающиеся платежей подрядчикам. На основе полученной информации они разработали аферу: представились подрядчиком, позвонили от имени строительной компании Marous Brothers и сообщили, что ее банковский счет изменился. Они не получали оплату в течение двух месяцев. Сотрудники прихода не перепроверили информацию и перевели деньги мошенникам.

Приведем еще примеры больших ответных атак:

1. В 2015 году компания Ubiquiti потеряла $46,7 млн в результате компрометации электронной почты поставщика.
2. В 2018 году европейская сеть кинотеатров Pathé понесла убытки в размере $21,5 млн в результате BEC-мошенничества, связанного с фиктивной покупкой кинотеатра в Дубае, где мошенник выдавал себя за CEO и давал указание оплатить покупку.
3. В 2021 году известный предприниматель Обинванне Океке, используя фишинговые письма для защиты учетных данных руководителей компаний (в том числе финансового директора британской компании Unatrac Holding), нанес компании ущерб в размере $11 млн.
4. В 2021 году благотворительная организация Treasure Island потеряла $625 тыс. в результате BEC-атаки, продолжавшейся в течение месяца — хакеры проникли в систему электронной почты бухгалтера организации и рассылали письма от имени партнерских организаций Treasure Island.
5. В 2020 году правительство Пуэрто-Рико перевело $2,6 млн на поддельный банковский счет в связи с землетрясением магнитудой 6,4 балла.

Советы по защите бизнеса от будущих атак

Для борьбы с BEC-атаками используйте следующие основные методы защиты:

• аутентификация отправителей с помощью Sender Policy Framework (SPF), Domain Key Identified Mail (DKIM) и Domain-based Message Authentication, Reporting, and Conformance (DMARC);

Вам также может понравиться

Как улучшить доставляемость с помощью email-аутентификации

• использование двухфакторной аутентификации или MFA для аккаунтов корпоративной электронной почты — запрос пароля, PIN-кода или отпечатка пальца для входа в систему;
• применение средств защиты от вредоносного ПО для защиты сети от вредоносных программ или опасных URL-адресов;
• организация обучения и информирования пользователей — обучение сотрудников распознаванию мошеннических и фишинговых атак и скептическому восприятию каждого письма, независимо от указанного отправителя.

Использование этих эффективных мер защиты от BEC позволяет предотвратить серьезные убытки в виде потери денег и данных.

В завершение

Поскольку BEC-атаки происходят постоянно, а мошенники становятся все более изобретательными в технических аспектах и методах манипулирования, примите все необходимые меры предосторожности, чтобы обезопасить свою компанию.

Во всех примерах компрометации корпоративной электронной почты, о которых мы говорили, решение о переводе большой суммы принимал конкретный человек. Следовательно, главная задача — научить ответственных сотрудников проверять важные письма и перепроверять информацию в них.