9 прикладів компрометації корпоративної пошти та способи цього уникнути

Відтоді як люди стали активно використовувати електронну пошту для особистого і корпоративного листування, з'явилося і шахрайство з листами. Найімовірніше, ви щонайменше один раз отримували листи від багатих далеких родичів з таким самим прізвищем, як у вас.

Але якщо хитрощі кіберзлочинців здаються безглуздими, то компрометація корпоративної електронної пошти — це сучасний метод, що використовує технології та таку слабку ланку, як людський фактор.

Згідно зі звітом IC3 за 2022 рік:

• потенційний сукупний збиток від кібератак та інших інцидентів зріс із $6,9 млрд у 2021 році до більш ніж $10,2 млрд у 2022 році;
• до IC3 надійшло 21 832 скарги на BEC-атаки з обсягом збитків понад $2,7 млрд, що на 12% більше, ніж у 2021 році, і на 628% більше, ніж у 2016 році.

У цій статті ми розповімо, які існують стратегії, як запобігти потенційним збиткам, а також наведемо приклади, коли компанії втрачали мільйони доларів, просто не перевіривши інформацію в листі.

Що таке компрометація корпоративної пошти?

Компрометація корпоративної пошти також відома як BEC-атака. Основною метою компрометації корпоративної пошти (BEC, business email compromise) є нанесення шкоди компанії.

BEC-атака — це фішингове шахрайство, під час якого зловмисники використовують несанкціонований доступ до пошти компанії або видають себе за її представника чи партнера. Часто зловмисники зламують пошту керівника компанії, наприклад CEO.

З цього акаунта надсилається повідомлення з проханням переказати гроші або надати доступ до конфіденційних даних. Щоб переконати одержувача, зловмисники активно використовують тактики spear-phishing і соціальної інженерії.‍

Останніми роками зростання кількості BEC-атак зумовлене такими чинниками:

• збільшенням кількості віддалених працівників;
• використанням численних корпоративних акаунтів, реєстрація в яких відбувається через доступ до акаунта електронної пошти співробітника;
• застосуванням генеративних інструментів штучного інтелекту для боротьби з фішингом.

У зв'язку з цим захист корпоративних акаунтів електронної пошти стає дедалі складнішою задачею.

Типи атак, що призводять до компрометації корпоративної пошти

Як ви вже зрозуміли, під час BEC-атаки кіберзлочинець не надсилає масових листів, сподіваючись, що хтось виявиться надто довірливим, а готується, збирає інформацію і тільки потім діє напевно:

• збирає дані про компанію, її партнерів і постачальників, а також про персонал, що займає ключові позиції;
• з'ясовує ієрархічну структуру компанії, щоб зрозуміти, хто ухвалює фінансові рішення.

Уся ця інформація використовується для вибору об'єкта атаки і створення переконливих текстів листів, які викликають довіру і підштовхують до поспішних дій, що сигналізують про терміновість або важливість. Генеративні технології штучного інтелекту допомагають зловмисникам створювати максимально переконливі тексти.

Залежно від особливостей шахрайства ФБР виділяє такі п'ять типів BEC-атак.

Схема фальшивих інвойсів

У цьому випадку атаці піддаються поштові акаунти, пов'язані з оплатою рахунків у компанії. Злочинець може видати себе за партнера, якому компанія має заплатити, і виставити підроблений рахунок (іноді він відрізняється від реального лише однією цифрою), або підробити електронну поштову скриньку працівника, уповноваженого на опрацювання платежів за інвойсами, наприклад відповідального менеджера, і від його імені надіслати фальшивий інвойс у фінансовий відділ компанії.

Шахрайство з акаунтом CEO

Кіберзлочинці використовують для BEC-шахрайства акаунт електронної пошти CEO. Від його імені вони надсилають листа співробітнику фінансового відділу і доручають йому переказати гроші, зазвичай терміново та авторитетним тоном, посилаючись на те, що інакше ми втратимо нашого партнера. Також від імені CEO їх можуть попросити терміново передати конфіденційну інформацію підставному партнеру.

Крадіжка даних

Не завжди метою BEC-шахраїв є перерахування грошей. Іноді основною метою зловмисників є особиста або конфіденційна інформація про співробітників компанії. Для цього вони атакують представників фінансових і кадрових відділів, які володіють такою інформацією, щоб використати її у своїх цілях.

Компрометація акаунтів електронної пошти

Компрометація акаунта електронної пошти — це схема компрометації корпоративної пошти, за якої шахраї використовують зламаний поштовий акаунт компанії для отримання платежів від клієнтів компанії, водночас вони змінюють платіжні реквізити на свої й отримують усі гроші.

Вдавання себе юристом

У цьому випадку зловмисники за допомогою підставного акаунта видають себе за юридичного представника або юриста компанії, перевірити повноваження якого пересічним співробітникам складно. Зазвичай співробітники вважають, що це правомірний запит на проведення будь-якої ділової операції, і надають конфіденційні дані.

Як розпізнати BEC-атаки

Основна мета текстів BEC-листів — спровокувати швидку, необдуману реакцію при їх отриманні. Ми розповімо, на які тривожні сигнали необхідно звертати увагу під час оцінювання кожного запиту про надання конфіденційних даних або переказ грошей:

1. Повторювані регулярні робочі процеси — шахраї часто вибирають рутинні процеси, які можуть виконуватися автоматично, як-от листи про скидання пароля, обмін файлами в інтранеті та листи про надання доступу з застосунків.
2. Вони налагоджують довірчі відносини з одержувачем — наприклад, згадують деякі деталі транзакції з клієнтом або співробітник ділиться даними про перерахування зарплати.
3. У темі та контенті листа простежуються терміновість і важливість, маніпулятивна мова, заклик до дії. Вас мають насторожити такі слова: запит, протермінування, платежі, негайна дія.
4. Використання безплатного ПЗ — під час атаки вас можуть попросити поділитися інформацією в Google Forms і Docs або в іншому сервісі, типовому для використання в компанії.

Реальні приклади компрометації корпоративної пошти

Ми збираємо найгучніші приклади компрометації корпоративного листування, коли компанії втрачають великі гроші.

BEC-атака на Facebook і Google

У період з 2013 до 2015 року Facebook і Google перерахували на підставні рахунки $121 млн. Зловмисники заснували фіктивну компанію Quanta Computer, назва якої збігалася з назвою постачальника обладнання.

Потім вони надсилали Facebook і Google правдоподібні інвойси, які ті справно оплачували на підставні банківські рахунки. Крім фальшивих інвойсів шахраї готували підроблені листи і юридичні договори, щоб банки приймали перекази.

BEC-атака корпорації Toyota Boshoku

У 2019 році шахраї зв'язалися з фінансово-бухгалтерським відділом дочірньої компанії Toyota — Boshoku. Лист було написано від імені офіційного ділового партнера, якому був потрібен терміновий платіж за запчастини. У платіжному дорученні вони вказували, що виробництво Toyota сповільниться, якщо угоду не буде завершено. І афера з BEC спрацювала. Представник компанії передав шахраям замовлення на запчастини на суму понад $37 млн за підробленими інвойсами.

Афера з придбанням Scouler Co.

У червні 2014 року один зі співробітників компанії Scouler Co. отримав листа від CEO. У підробленому листі йшлося про те, що Scoular хоче придбати китайську компанію, і містилася інструкція зі звернення до юриста бухгалтерської фірми KPMG, переказу грошей і укладення угоди. Співробітник переказав $17,2 млн. Шахраї використовували фейкові акаунти співробітників Elsea і юриста KPMG, граючи на довірі жертви та експлуатуючи міжособистісні стосунки.

Шахрайство від підставної компанії

Католицька парафія Святого Амброза в місті Брунсвік, штат Огайо, втратила $1,75 млн унаслідок BEC-атаки у 2019 році. Хакери зламали електронну пошту двох парафій і вивчили листи, які стосувалися платежів підрядникам. На основі отриманої інформації вони розробили аферу: представилися підрядником, зателефонували від імені будівельної компанії Marous Brothers і повідомили, що її банківський рахунок змінився. Вони не отримували оплати впродовж двох місяців. Співробітники парафії не перевірили ще раз інформації та переказали гроші шахраям.

Наведемо ще приклади великих атак у відповідь:

1. У 2015 році компанія Ubiquiti втратила $46,7 млн унаслідок компрометації електронної пошти постачальника.
2. У 2018 році європейська мережа кінотеатрів Pathé зазнала збитків у розмірі $21,5 млн унаслідок BEC-шахрайства, пов'язаного з фіктивною купівлею кінотеатру в Дубаї, де шахрай видавав себе за CEO і давав вказівки оплатити покупку.
3. У 2021 році відомий підприємець Обінванне Океке, використовуючи фішингові листи для захисту облікових даних керівників компаній (зокрема фінансового директора британської компанії Unatrac Holding), завдав компанії збитків на суму $11 млн.
4. У 2021 році благодійна організація Treasure Island втратила $625 тис. унаслідок BEC-атаки, яка тривала впродовж місяця — хакери проникли в систему електронної пошти бухгалтера організації та надсилали листи від імені партнерських організацій Treasure Island.
5. У 2020 році уряд Пуерто-Ріко переказав $2,6 млн на підроблений банківський рахунок у зв'язку з землетрусом магнітудою 6,4 бала.

Поради щодо захисту бізнесу від майбутніх атак

Для боротьби з BEC-атаками використовуйте такі основні методи захисту:

• автентифікація відправників за допомогою Sender Policy Framework (SPF), Domain Key Identified Mail (DKIM) і Domain-based Message Authentication, Reporting, and Conformance (DMARC);

Вам також може сподобатися

Як покращити доставлюваність за допомогою email-автентифікації

• використання двофакторної автентифікації або MFA для акаунтів корпоративної електронної пошти — запит пароля, PIN-коду або відбитка пальця для входу в систему;
• застосування засобів захисту від шкідливого ПЗ для захисту мережі від шкідливих програм або небезпечних URL-адрес;
• організація навчання та інформування користувачів — навчання співробітників розпізнаванню шахрайських і фішингових атак і скептичному сприйняттю кожного листа, незалежно від зазначеного відправника.

Використання цих ефективних заходів захисту від BEC дає змогу запобігти серйозним збиткам у вигляді втрати грошей і даних.

На завершення

Оскільки BEC-атаки відбуваються постійно, а шахраї стають дедалі винахідливішими в технічних аспектах і методах маніпулювання, вживіть усіх необхідних запобіжних заходів, щоб убезпечити свою компанію.

У всіх прикладах компрометації корпоративної електронної пошти, про які ми говорили, рішення про переказ великої суми приймала конкретна людина. Отже, головна задача — навчити відповідальних працівників перевіряти важливі листи та двічі перевіряти інформацію в них.