BEC. Платим злоумышленнику по приказу начальника

С чем обычно сталкиваются люди в спам-письмах, которые приходят в личные ящики? Реклама сомнительных услуг, инвест идеи с 1 000 000% годовых прибыли и прочее подобное. Что шлют спамеры на корпоративные e-mail? Рекламу курсов, тренингов и троянцы под видом счетов или заказов.

До недавнего времени список выше можно было считать исчерпывающим все это, включая еще фишинговые письма, и распространялось «многомиллионными тиражами» по ящикам компаний, не озаботившихся защитой от спама.

Но жизнь циклична, как и все в ней. И к настоящему времени такое явление как «социальная инженерия», бывшее бичом всея Интернета в начале двухтысячных, уже начали забывать. Возможно, именно поэтому этот простой до нелепости метод мошенничества снова стал эффективным, в том числе — в атаках на корпоративные ресурсы, включая электронную почту. Появился даже новый термин — «BEC-мошенничество» (Business E-mail Compromises), дословно — скомпрометированная бизнес-корреспонденция.

От мошенничества подобного рода страдает все больше и больше компаний. С 2013 года по оценкам ФБР ущерб от атак подобного рода составил более $12,5 млрд. Причем динамика их прироста поистине геометрическая.

Буквально месяц назад о подобном инциденте заявила компания «Toyota». Детали не известны, но факт, что даже такие гиганты страдают от таких мошеннических действий.

Например, при открытии подобного «заказа» придется заказывать уже расшифровку в саппорте «Доктор Веб».

Как это работает?

Суть метода в том, что сотрудник, отвечающий за электронные платежи компании, получает от бухгалтера или своего руководителя письмо с требованием немедленно перевести определенную сумму какому-то партнеру/поставщику за некие услуги/товары.

Письмо приходит с корректного адреса с корректной подписью и, вполне вероятно, даже с привычным обращением (вида «Виталь, оплати ребятам отгрузку, плиз».

Такое письмо минует любой антивирусный фильтр, ведь оно «чистое» — либо не содержит вложений вообще — реквизиты злоумышленников указаны прямо в теле письма, либо к нему приложен вполне безобидный документ с реальными реквизитами. Сотрудник без опасений делает перевод и забывает об этом. О том, что письмо было отправлено неизвестно кем и деньги ушли неясно куда — выясняется обычно значительно позже.

Осложняется дело тем, что подобные «письма счастья» приходят в компании, которые работают с иностранными партнерами, а потому и платеж зачастую уходит за рубеж без шанса его отменить. Но и оплата на счет российской фирмы-однодневки не сильно повышает шансы на возврат средств.

Как с этим бороться?

Перезванивать на каждую и лично уточнять каждый счет? Неисполнимо, так как их количество может исчисляться десятками в день, вся работа встанет. Проверять отправителя? Он правильный, ошибок и нестыковок там нет. Проверять реквизиты? Если это новый реальный поставщик — есть риск не выполнить легитимный платеж и получить «по шапке» за срыв сделки.

Средство в данном случае всего одно — надежная система защиты корпоративной почты. То есть вопрос должны решать технические специалисты, а не финансисты или бухгалтера. BEC-мошенничество представляет собой социальную инженерию лишь на последнем шаге —попросить сотрудника фирмы перевести деньги злоумышленникам. Начинается все с технических моментов — получения доступа к электронной почте (для отправки нужных писем от имени жертвы) или удачной спам-рассылки (с той же просьбой, но подделанным адресом отправителя, сделать это не сложно).

Для предотвращения самой возможности получения сотрудниками таких писем нужно использовать комплексную защитную систему, включающую все необходимые компоненты. Например, продукты компании «Доктор Веб». Антивирусные компоненты защитят от вирусов и вредоносного ПО, которое поможет тем или иным способом обеспечить злоумышленникам доступ к почте, Брандмауэр исключит сетевые атаки на ресурсы компании, а Антиспам избавит от нежелательных писем, в том числе — фишинговых. При таком раскладе ни «левые» письма до ответственных сотрудников не дойдут, ни почта директора или бухгалтера «проходным двором» не станет.

BEC — тот редкий случай, когда с социальной инженерией можно бороться только техническими методами. И инструмент Dr.Web Enterprise Security Space идеально подойдет для этой цели.

Сотрудники компании должны четко знать правила кибербезопасности. Должны проводиться регулярные тренинги по этой теме.

Должны быть четко прописаны правила и условия финпереводов. Идеально, если бы перевод согласовывало бы несколько человек.

И помните, что успех BEC-атаки зависит именно от количества собранных данных из почты сотрудника. Сама атака отличается минимальным технологическим уровнем. В ход идет социальная инженерия.