Блог Spaceship

Що таке компрометація корпоративної електронної пошти (BEC)?

Оновлено
6 хв читання

Щороку злочинці привласнюють мільярди. Не зламуючи вишукані художні галереї чи банківські сховища, а надсилаючи правильний електронний лист правильній людині в правильний час. Ось як вони це роблять.

У цій статті ви дізнаєтеся:

  • Що таке business email compromise насправді

  • Як здійснюються ці атаки, крок за кроком

  • Найпоширеніші типи BEC-атак

  • Реальний приклад атаки на $37 мільйонів

  • Як захистити свій бізнес, перш ніж він стане ціллю

Що таке business email compromise у кібербезпеці?

Business email compromise — це кібератака, під час якої злочинці видають себе за когось, кому ви довіряєте, щоб обманом змусити вас надіслати гроші або передати конфіденційні дані. Небезпечною її роблять терпіння та планування. Зловмисники тижнями вивчають, як спілкується компанія, хто має повноваження і коли завдати удару. До моменту, коли лист потрапляє у вхідні, він виглядає як звичайний лист від когось, кого ви знаєте.

Як працює атака business email compromise?

Для таких атак існує перевірений і надійний сценарій, і шахраї щоразу діють за ним.

Крок 1 – Знайти ціль

Уся суть атаки business email compromise полягає в тому, що вона має бути переконливою. На щастя для зловмисників, Інтернет — це золота жила інформації про потенційні цілі. Швидкий погляд на ваш профіль у соцмережах може розкрити вашу роботу, близьких друзів і навіть ваш тон спілкування. Додайте до цього пресрелізи про майбутні кроки вашої компанії та біографії з корпоративних сайтів — і все це починає виглядати правдоподібно.

Зловмисники можуть зібрати всю цю інформацію й за лічені секунди створити електронний лист, який виглядає і звучить як справжній.

Крок 2 – Потрапити до вхідних

Щоб вміст листа здавався справжнім, зловмисникам потрібно загорнути його в привабливу й правдоподібну оболонку. Якщо адреса електронної пошти не виглядає як адреса з надійного джерела, уся афера провалиться.

Зловмисники можуть підробити домен, зареєструвавши ім’я на кшталт acme-corp.com замість acmecorp.com. Або, якщо вони достатньо вправні, зламати справжню поштову скриньку, через що відрізнити лист від справжнього повідомлення буде майже неможливо.

Зрештою, якщо щось виглядає як качка і крякає як качка, більшість вирішить, що це качка.

Крок 3 – Завоювати довіру

У таких атаках терпіння — головне. Зловмисники можуть тижнями ховатися у зламаній поштовій скриньці, читаючи ланцюжки листів і вивчаючи стиль спілкування. Коли лист нарешті надходить, він органічно вписується в попереднє листування, повторюючи тон і хід розмови.

Крок 4 – Висунути прохання

Щойно зловмисники дізнаються про вас усе — ваш тон спілкування, імена та посади ваших колег, а також те, що відбувається у вашій компанії, — і успішно проникнуть у вашу пошту, вони надсилають запит.

Зазвичай це щось таке, що нелегко скасувати. Це може бути переказ грошей на банківський рахунок або передавання приватної інформації. Головне, щоб це було незворотним. 

Щойно ціль розуміє, що щось не так, зловмиснику потрібно, щоб шкоду вже було завдано. Якщо вони особливо хитрі, то можуть навіть надіслати такий лист у святковий період, коли всі менш пильні й шанси на успіх вищі.

Крок 5 – Зникнути без сліду

Після переказу коштів їх швидко переміщують через низку проміжних рахунків. Зазвичай вони розташовані за кордоном, тому відстежити рух грошей дуже складно навіть для правоохоронців.

Приклад business email compromise

Business email compromise — це фінальний бос цифрових атак. Зазвичай це стосується великих компаній і захмарних сум грошей. 

У 2019 році один із великих постачальників Toyota втратив десятки мільйонів за один переказ. Зловмисник проник у поштову систему Toyota Boshoku. Він читав повідомлення й вивчав, як компанія спілкується. Коли в розмові з’явився великий грошовий переказ, він попросив когось у компанії, хто мав повноваження переміщувати кошти, оновити банківські реквізити для цього переказу. Це виглядало законно, і гроші було відправлено.

І ось так — $37 мільйонів зникли.

Типи атак business email compromise

Не всі приклади business email compromise виглядають однаково. Звісно, мета завжди одна — обманом змусити людей віддати якомога більше грошей, але підхід може дуже відрізнятися.

CEO Fraud (видавання себе за керівника)

Це найвідоміша форма BEC. Зловмисник видає себе за топкерівника, зазвичай CEO або CFO, і тисне на когось із фінансового відділу, щоб той переказав гроші. Це працює через владну динаміку. Коли бос чогось хоче, більшість людей не зупиняється, щоб запитати чому. Якщо це ще й поєднати з правдоподібною передісторією, цього достатньо, щоб змусити людину діяти, не замислюючись.

Компрометація електронної пошти постачальника

Зловмисники націлюються на зв’язки поза межами компанії, а не вдають когось усередині неї. Вони атакують надійних постачальників і підрядників, вбудовуються в наявні листування та підміняють справжні платіжні реквізити своїми. З боку жертви це виглядає як звичайне оновлення рахунку від постачальника, з яким вона працює роками.

Захоплення облікового запису

Це найнебезпечніший варіант, тому що тут немає підміни. Зловмисник використовує справжній обліковий запис. Лист надходить із реальної адреси й написаний у правильному тоні. Повідомлення виглядає цілком звичайним, бо технічно таким і є.

Перенаправлення зарплати

Цей варіант не націлений на гроші компанії. Натомість він націлений на працівників. Зловмисники видають себе за HR або працівника й просять оновити платіжні дані для зарплати, непомітно перенаправляючи її на рахунок, який вони контролюють. 

Жертва дізнається про це лише в день зарплати, а оскільки суми менші й запит виглядає звичайним, це рідко викликає попередження про шахрайство. Це повільніша версія BEC, але якщо вразити достатньо працівників, сума швидко зростає.

BEC vs Phishing – У чому різниця?

Фішингові листи існують уже давно, і більшість людей знає, як вони виглядають. Це ті листи, у яких вам повідомляють, що ви виграли приз, або що нігерійському принцу потрібна ваша допомога. Їх надсилають масово й розраховують на кількість, щоб застати когось зненацька.

Якщо фішинг — це сітка, то BEC — це снайпер. Зловмисники тижнями досліджують одну компанію, а іноді й одну конкретну людину. До моменту, коли лист потрапляє у вхідні, він виглядає як звичайне повідомлення у вівторок вранці від когось, кого ви знаєте.

Фішинг зазвичай полює на ваші облікові дані для входу, але BEC повністю пропускає цей крок і одразу націлюється на гроші або дані.

Як розпізнати атаку business email compromise

BEC-атаки створені так, щоб виглядати звичайно. Але якщо знати, на що звертати увагу, ознаки є.

  • Поспіх— Лист, який підштовхує вас швидко переказати гроші, не залишаючи часу зупинитися й перевірити.

  • Раптова зміна — Постачальник або колега раптом ні з того ні з сього оновив свої платіжні дані.

  • Майже правильна адреса — Електронна адреса відправника відрізняється від справжньої лише одним символом.

  • Тон, у якому щось не так— Щось здається дивним: надто формально, надто невимушено або підозріло таємничо.

  • Запит нізвідки — Вас просять зробити щось, що зазвичай проходить через інший канал.

Як запобігти атаці business email compromise

Розуміння того, як працюють ці атаки, — це половина справи. Інша половина — переконатися, що ваш бізнес не є легкою ціллю.

Зателефонуйте

Якщо в листі вас просять переказати гроші або оновити платіжні реквізити, не відповідайте на нього. Зателефонуйте людині напряму, використовуючи номер, який у вас уже є, а не той, що вказаний у листі. Це займає тридцять секунд, і це найефективніше, що ви можете зробити.

Увімкніть двофакторну автентифікацію

Якщо зловмисник отримає чиїсь облікові дані для входу, 2FA може заблокувати повне захоплення поштової скриньки. Це не зупинить усе, але значно ускладнить компрометацію облікового запису.

Навчіть свою команду розпізнавати норму

Регулярне навчання про те, що таке BEC, як воно працює і як виглядають тривожні сигнали, може перетворити ваших працівників на лінію захисту.

Дозвольте інструментам взяти частину роботи на себе

Спам-фільтри та інструменти автентифікації домену, як-от SPF, DKIM, and DMARC, можуть відфільтровувати спроби BEC ще до того, як вони дійдуть до вашої команди. Виявлення на основі AI іде ще далі. Воно вивчає, як виглядає нормальна поведінка електронної пошти у вашій організації, і позначає все підозріле.

Часті запитання

Business email compromise — це коли злочинець видає себе в електронній пошті за когось, кому ви довіряєте, щоб обманом змусити вас надіслати гроші або поділитися конфіденційною інформацією. Зловмисники надсилають переконливий лист, який повторює тон корпоративного листування і навіть надходить з адреси електронної пошти компанії.

Вони пов’язані, але це не одне й те саме. Фішинг закидає широку сітку, надсилаючи загальні листи якомога більшій кількості людей. BEC-атаки є цільовими. Зловмисники досліджують конкретну компанію, конкретну людину і конкретний момент. У результаті це набагато переконливіше й набагато дорожче обходиться.

Більшість шахрайських схем business email compromise починаються з дослідження. Зловмисники вивчають структуру компанії та її комунікацію. Коли вони дізнаються достатньо, то або підробляють надійну електронну адресу, або захоплюють справжню.

CEO fraud. Зловмисник видає себе за топкерівника і тисне на когось із фінансового відділу, щоб той швидко переказав гроші. Це працює, тому що більшість людей не ставить під сумнів термінове прохання від боса.

Так. Захист від business email compromise починається з людей. Навчіть свою команду помічати тривожні сигнали, перевіряти платіжні запити телефоном і використовувати такі інструменти, як 2FA і DMARC, щоб ускладнити компрометацію вашої електронної пошти. Жоден окремий захід не є бездоганним, але правильне поєднання робить вас значно складнішою ціллю.

Фото профілю Josh Horritt
Написано

Josh Horritt

Джош — копірайтер і UX-райтер із Манчестера, Велика Британія. Він розпочав свою кар’єру як журналіст на BBC, а зараз працює над email-продуктами Spaceship, пишучи блоги та тексти, орієнтовані на користувачів. Поза роботою його зазвичай можна знайти в горах або за створенням музики з друзями.
Більше статей від Josh Horritt

Оцініть цю статтю

5/52 Відгуків
Поділитися цією статтею

Рекомендовані статті

Як Spacemail захищає вас від відстеження
Ймовірно, вашу активність в електронній пошті відстежують без вашого відома. Дізнайтеся, як видаляти трекінгові посилання без жодної втрати функціональності.
Jamie L.
4 хв читання
Різні обличчя загроз електронної пошти
Ознайомтеся з найпоширенішими шахрайськими схемами в електронній пошті, щоб захистити себе від них.
Jamie L.
15 хв читання
Як залишатися в безпеці в електронній пошті в цифрову епоху
Значна частина інтернет-злочинів відбувається через електронну пошту. Дізнайтеся про найпростіші способи впровадити безпеку електронної пошти у вашому бізнесі за допомогою цих порад щодо безпеки email.
Jamie L.
8 хв читання
Як зупинити email-спам: тактики, які працюють
Завалені спамом? Цей посібник допоможе вам повернути контроль над вхідною скринькою та захистити свою онлайн-безпеку.
Stefania S.
5 хв читання

Поділіться своїми думками

Потрібно більше 10 символів.
Ваша ідентичність для публічного відображення.
Надання вашої електронної адреси є необов'язковим. Вона не буде передана третім особам.
Зміст

Допоможіть нам покращити наш блог

Поділіться своїми думками в короткому двохвилинному опитуванні.

Потрібна дійсна адреса електронної пошти