Business Email Compromise: атака, от которой нет защиты

Киберпреступники изобрели множество вариантов кибератак, отличающихся по сложности технической реализации и эффективности. Среди них особое место занимает атака, которая удивительна своей технической простотой и результативностью, — Business Email Compromise (BEC), или атака с использованием компрометации деловой переписки. Она не требует глубоких технических знаний, имеет высочайшую эффективность, защититься от неё традиционными средствами практически невозможно. По данным ФБР ущерб от таких атак в 2018 году составил более 1,2 млрд долларов США.

Отец Боб Стек из прихода Святого Амвросия в Брансуике, шт. Огайо, был неприятно удивлён, когда ему позвонила компания-подрядчик Marous Brothers Construction, проводившая ремонт и реставрацию здания церкви и поинтересовалась, почему уже в течение двух месяцев не поступает предусмотренная договором оплата. Поскольку отец Боб знал, что деньги перечислялись, он уточнил реквизиты получателя и обнаружил, что платежи уходили не подрядчику, а неизвестным мошенникам. Два месяца назад они прислали от имени Marous Brothers Construction письмо о смене реквизитов. Сотрудники прихода скорректировали номер счёта получателя и в течение двух месяцев отправляли туда оплату за работы. Сумма ущерба составила 1,75 млн долларов США.

Отец Боб Стек обратился в ФБР. В процессе расследования выяснилось, что неизвестные хакеры незадолго до атаки подобрали пароли к почтовым ящикам двух сотрудников прихода, изучили их переписку с подрядчиками, после чего сочинили убедительное письмо от крупнейшего из них, Marous Brothers Construction. Оформление, обратный адрес и все остальные атрибуты были скопированы из старой переписки, поэтому сомнений в их подлинности не возникло. В результате деньги утекли в неизвестном направлении, причём отправили их ничего не подозревающие сотрудники.

Приход отца Боба и он сам стали жертвой BEC-атаки.

Как устроена атака BEC

BEC — это афера, ориентированная главным образом на компании, работающие с иностранными поставщиками, а также предприятия, которые регулярно проводят безналичные платежи. Атака начинается со сбора информации о компании: сведения о руководителях и бухгалтерах, выполняющих платежи, адреса электронной почты сотрудников, данные о контрагентах. С помощью фишинга или вредоносных программ преступники компрометируют учётные записи электронной почты руководителя, финансистов и бухгалтеров, изучают переписку с контрагентами. Их задача — выяснить, каким образом происходят финансовые транзакции, кто запрашивает перевод, кто его подтверждает и кто непосредственно выполняет.

Когда необходимая информация собрана, мошенники действуют по одной из следующих схем:

Фиктивные счета-фактуры

Выяснив детали взаимоотношений компании с поставщиками, мошенники присылают от имени одного из них письмо о смене реквизитов. Сотрудники бухгалтерии корректируют информацию в финансовых документах и пересылают деньги преступникам. Жертвой этой схемы стал приход Святого Амвросия.

Распоряжение лжеруководителя

Используя скомпрометированный почтовый ящик, мошенники направляют в финансовое подразделение письмо от имени генерального директора или другого руководителя, уполномоченного проводить денежные операции. В послании содержится требование срочно перевести деньги на указанный счёт под каким-либо убедительным предлогом.

Письма от лжебухгалтера

Мошенники направляют контрагентам компании письма о смене реквизитов со скомпрометированного е-мейла сотрудника финансового подразделения. Получив сообщение, контрагенты вносят исправления и начинают перечислять деньги мошенникам.

Лжеюрист

Мошенники направляют контрагентам компании письма о смене реквизитов со скомпрометированного е-мейла сотрудника финансового подразделения. Получив сообщение, контрагенты вносят исправления и начинают перечислять деньги мошенникам.

Причины эффективности BEC-атак

  • Социальная инженерия. Письма отправляются под конец рабочего дня или в канун праздников, когда сотрудники торопятся домой. Тексты писем готовятся с учётом особенностей взаимоотношений отправителя и получателя.
  • Легитимный внешний вид. Мошенники применяют собранную информацию для разработки уникального письма, которое по стилю и оформлению будет неотличимо от привычной для сотрудников переписки с контрагентами. Например, бухгалтер может получить указание генерального директора о переводе средств, которое выглядит в точности как аналогичные распоряжения.
  • В отличие от фишинг-мошенничества, электронные письма, используемые в BEC, отправляются в единичном экземпляре с легитимных ящиков и не попадают в спам.
  • Отсутствие вредоносного содержимого. Письма BEC-мошенников не содержат ссылок и вложений, поэтому их спокойно пропускают антивирусы и другие защитные решения.
  • Нет проникновения в систему. Сотрудники переводят деньги по доброй воле, поскольку уверены, что делают всё правильно. Мошенникам не приходится изучать платёжные системы и получать доступ к ним. Даже если банк задаст вопрос относительно новых реквизитов, жертвы дадут необходимые разъяснения и даже приложат усилия, чтобы сделать платёж максимально быстро, а при необходимости — конфиденциально.
  • Срочность и другие манипулятивные усилители. Необходимость срочно решить какую-то проблему под угрозой серьёзных и неотвратимых последствий отключает критическое мышление сотрудников, и они выполняют действия, к которым их подталкивают киберпреступники.

Причины эффективности BEC-атак

Приход Святого Амвросия не стал требовать возмещение ущерба со своих сотрудников, однако далеко не все компании, ставши жертвами BEC, настолько снисходительны. Например, медиакомпания из Шотландии предъявила к своей бывшей сотруднице, выполнившей денежные переводы BEC-мошенникам, иск на сумму 108 тысяч фунтов стерлингов за то, что она проигнорировала предупреждение из банка о мошенническом характере перевода.

Впрочем, устрашение персонала вряд ли можно всерьёз рассматривать в качестве эффективной меры защиты от BEC-атак. По-настоящему действенным будет сочетание организационных и технических мероприятий.

Причины эффективности BEC-атак

  1. Обучить сотрудников внимательно проверять каждое письмо, если оно касается денежных переводов или других значимых распоряжений от высшего руководства. Особое внимание уделять срочным и конфиденциальным письмам.
  2. Проводить тренировки сотрудников по распознаванию BEC-атак. ИБ-подразделения должны научить каждого сотрудника принципам выявления скомпрометированных писем.
  3. В обязательном порядке проверять все письма и запросы финансового характера. Если поставщик прислал уведомление о смене реквизитов, перезвонить ему и убедиться в том, что документ настоящий, причём использовать для звонка номер телефона с официального сайта компании или из договора, а не из полученного письма.

Причины эффективности BEC-атак

Поскольку BEC-письма не содержат ссылок, вложений и, как правило, не имеют типичных признаков вредоносных писем, традиционные защитные решения не справляются с их выявлением. Помочь тут может комплексная защита для электронной почты с использованием искусственного интеллекта и машинного обучения.

В Trend Micro мы используем ИИ-инструмент, получивший название Expert System. Он имитирует процесс принятия решения специалистом по безопасности. Для этого система оценивает провайдера, от которого отправлено письмо, сопоставляет адрес электронной почты отправителя с действительным адресом организации. Если письмо пришло от руководителя организации, производится проверка наличия такого руководителя в штатном расписании, а также его доступность по контактным данным.

На следующей стадии экспертная система выполняет контент-анализ содержимого электронного письма, выявляя намерения отправителя на предмет характерных для BEC-писем факторов — срочности, важности и требований выполнить финансовые действия. Результаты анализа передаются в систему машинного обучения.

5.jpg

Выявление автора письма среди руководителей компании Enron

Если в письме не выявлено ничего подозрительного, в дело вступает система анализа стиля текста — Writing Style DNA («ДНК стиля письма»). Эта разработка Trend Micro использует систему машинного обучения, чтобы сравнить послание руководителя или контрагента с его предыдущими сообщениями. Writing Style DNA использует более 7 тысяч характеристик сообщения для выявления уникального стиля отправителя. В их числе использование заглавных букв в словах и знаков препинания, длина предложений, излюбленные слова и выражения и многое другое.

Для создания модели стиля искусственному интеллекту требуется проанализировать от 300 до 500 ранее отправленных писем. Важный момент: для защиты конфиденциальности ИИ извлекает только метаданные, характеризующие стиль отправителя, но не сам текст.

Что в итоге

Компрометация деловой переписки отличается от обычных атак минимальной технологичностью. Успех BEC-атак напрямую зависит от качества собранной информации и работы социальных инженеров. Фактически эти атаки ближе к обычному «офлайновому» мошенничеству, что и обуславливает сложность противодействия им с помощью традиционных технических решений.

Успешно выявлять и блокировать BEC-атаки позволяет использование защитных систем на базе машинного обучения и искусственного интеллекта в сочетании с обучением сотрудников и другими организационными мероприятиями.

Хотите быть в курсе последних событий?
Подпишитесь на рассылку новостей Axoft
Следите за нашими новостями в социальных сетях
Популярное
Acronis представил Acronis Backup 12.5 Advanced

Компания Acronis - мировой лидер в сфере защиты и хранения данных, представляет долгожданный выпуск Acronis Backup 12.5 Advanced.

В данном решении был обновлен функционал, а также добавлены новые эксклюзивные технологии Acronis Active Protection и Acronis Notary.

Подробнее
13.09.2017 09:00:00
Axoft стал единственным дистрибутором Kerio в странах СНГ
Компания Axoft, сервисный IT-дистрибутор, стала единственным дистрибутором Kerio в странах СНГ. В новом статусе Axoft сконцентрируется на повышении узнаваемости Kerio в регионе присутствия среди пользователей, а также решении технических вопросов, возникающих при внедрении и эксплуатации продуктов производителя.
Подробнее
17.09.2017
Последние новости
Palo Alto Networks стал лидером тестирования межсетевых экранов от компании NSS Labs в 2019 году
Результаты общего тестирования межсетевых экранов в компании NSS Labs 2019 года (17 июля) вновь признали Palo Alto Networks как лидера этого тестирования — с самой высокой эффективностью защиты и полным обнаружением всех техник обхода среди всех протестированных решений. В этот рaз, тесты были проведены на модель PA-5220. Следующее поколение файерволов (систем межсетевой защиты) является ключевым элементом многих стратегий безопасности в киберпространстве, и все же большинство этих продуктов в этих испытаниях удалось легко обойти.
Подробнее
22.08.2019 16:03:00
Maestro Hyperscale Network Security – новый продукт в портфеле решений Axoft от Check Point

Глобальный сервисный IT-дистрибутор Axoft сообщает о появлении в портфеле решений нового продукта от Check Point – Maestro Hyperscale Network Security, масштабируемой платформы, позволяющей наращивать производительность межсетевых экранов без замены имеющегося оборудования. Технический специалист дистрибутора прошел обучение по данному решению. Теперь Axoft может оказывать партнерам и их клиентам помощь в настройке и администрировании продукта, выявлении и устранении проблем в его работе.

Подробнее
22.08.2019 09:00:00