Непосредственно к определению того, что такое компрометация деловой электронной почты: компрометация деловой электронной почты (BEC) происходит, когда хакер получает доступ к учетной записи электронной почты компании или подменяет легитимную и принимает личность владельца учетной записи, чтобы совершить мошенничество против компании. Атаки BEC, направленные на коммерческие, правительственные и некоммерческие организации, могут привести к потере огромного количества данных, нарушению безопасности и компрометации финансовых активов. Это распространенное заблуждение, что киберпреступники обычно сосредотачивают свое внимание на крупных корпорациях и организациях корпоративного уровня; в наши дни малые и средние предприятия являются такой же мишенью для мошенничества с электронной почтой, как и крупные игроки отрасли. Захват учетной записи электронной почты жертвы заслуживает доверия. Это также можно назвать атакой с целью выдать себя за другого, когда злоумышленник пытается обмануть компанию, выдавая себя за людей, занимающих авторитарные должности, таких как финансовый директор или генеральный директор, деловой партнер или любой другой человек, которому цель может негласно доверять.
Злоумышленник часто создает учетную запись с адресом электронной почты, почти идентичным тому, который находится в сети компании, часто используя такие приемы, как опечатки (например, amaz0n.com вместо amazon.com) или похожие домены. BEC также называют "атакой человека в электронной почте". Базовые BEC-атаки опасны тем, что их довольно сложно обнаружить, поскольку они могут приходить с законного адреса электронной почты компании, что затрудняет отслеживание встроенных ссылок на сомнительные URL-адреса, используемые хакерами.
Неудивительно, что ФБР классифицировало компрометацию деловой электронной почты (BEC) как "мошенничество на 26 миллиардов долларов", учитывая, что средняя стоимость атаки для предприятий составляет 5,01 млн долл.И эта угроза только растет. Атаки на деловую электронную почту (BEC) направлены на сотрудников, которые используют фиктивные или законные адреса деловой электронной почты. Более 1,8 миллиарда долларов заработали мошенники на BEC в 2020 году, больше, чем на любой другой форме киберпреступности, причем США являются главным центром этого воздействия. Атаки BEC затрагивают более 70 % организаций по всему миру и приводят к потере миллиардов долларов ежегодно.
Ключевые выводы
- Компрометация деловой электронной почты (BEC) - это сложная атака на организации всех размеров, направленная на мошенничество с помощью обманных писем, выдаваемых за доверенные организации.
- BEC в значительной степени опирается на социальную инженерию, используя такие приемы, как обман генерального директора, поддельные счета и похожие домены, чтобы заставить сотрудников перевести деньги или разгласить конфиденциальные данные.
- Внедрение и применение DMARC (с SPF и DKIM) с политикой `p=reject` имеет решающее значение для предотвращения подмены домена и блокирования несанкционированных писем.
- Очень важна многоуровневая стратегия защиты, включающая обучение сотрудников, строгие протоколы проверки платежей, MFA и бдительное противодействие опечаткам.
- Использование дополнительных протоколов безопасности электронной почты, таких как MTA-STS для шифрования TLS и BIMI для распознавания бренда, может еще больше усилить защиту и доверие.
Что такое компрометация деловой электронной почты и как она работает?
При атаке BEC злоумышленники выдают себя за сотрудников или надежных партнеров. Они убеждают жертву совершить какое-либо действие, например, предоставить доступ к конфиденциальной информации или отправить деньги, часто используя сложные атаки социальной инженерии, такие как фишинг, мошенничество с генеральным директором, поддельные счета и подмена электронной почты. Угрожающие субъекты продолжают добиваться успеха, несмотря на растущую осведомленность о компрометации деловой электронной почты. Например, российская кибербанда Cosmic Lynx провела множество сложных BEC-кампаний с использованием хорошо написанных фишинговых писем, что затрудняет их обнаружение. Кроме того, киберпреступники используют такие тенденции, как удаленная работа, рассылая мошеннические письма, выдавая их за популярные инструменты, такие как Zoom, чтобы украсть учетные данные для входа в систему.
В первой и второй половине 2021 года частота таких атак, направленных на аномальных потребителей, выросла на 84 %. Несмотря на это, во второй половине 2021 года частота атак увеличилась до 0,82 на тысячу почтовых ящиков. Угрожающие субъекты часто следуют определенным этапам для осуществления BEC-мошенничества:
- Таргетинг по спискам электронной почты: Вредоносные субъекты собирают целевые электронные письма из LinkedIn, баз данных или веб-сайтов.
- Начало атаки: Они рассылают электронные письма, используя поддельные или похожие домены и фальшивые имена отправителей.
- Социальная инженерия: Злоумышленники выдают себя за доверенных лиц, создавая срочную ситуацию, чтобы выпросить денежные переводы или обмен данными.
- Финансовая выгода: Заключительный этап, на котором происходит финансовая кража или утечка данных.
Упростите безопасность с помощью PowerDMARC!
Каковы основные типы атак, связанных с компрометацией деловой электронной почты?
По данным ФБР, основными видами BEC-мошенничества являются:
Фальшивые благотворительные организации
При атаках BEC одна из наиболее распространенных форм включает отправку электронных писем от поддельных благотворительных организаций, которые утверждают, что собирают деньги на достойное дело. Такие письма часто содержат вложения, содержащие вредоносное программное обеспечение, предназначенное для заражения компьютеров вирусами и другими вредоносными программами.
Проблемы путешествий
Еще одна распространенная афера с использованием BEC связана с рассылкой электронных писем от поддельных туристических агентств, которые утверждают, что возникли проблемы с бронированием вашего рейса или отеля - обычно потому, что кто-то отменил бронирование в последний момент. В письме предлагается обновить туристическую брошюру, нажав на вложение или ссылку, содержащуюся в сообщении. В этом случае вы можете случайно установить на свой компьютер вредоносное ПО или предоставить хакерам доступ к конфиденциальным данным, хранящимся на вашем устройстве.
Налоговые угрозы
Эта атака связана с угрозой правительственного агентства предпринять юридические или официальные действия, если жертвы не заплатят деньги. Такие аферы часто связаны с поддельными счетами и просьбами об оплате, чтобы избежать юридических последствий.
Выдача себя за адвоката
В этих электронных письмах утверждается, что адвокату нужна ваша помощь в решении юридического вопроса - либо его арестовали, либо он пытается взыскать деньги, причитающиеся кому-то другому. В таких случаях мошенники просят предоставить им вашу личную информацию, чтобы они могли "помочь" в решении данного юридического вопроса (например, переслать деньги).
Схема мошеннического счета-фактуры
В этом мошенничестве предприятие отправляет счет-фактуру другому предприятию, обычно на значительную сумму. В счете будет указано, что получатель должен деньги за услуги или товары, которые он не получил. Их могут попросить перевести деньги, чтобы оплатить фальшивый счет.
Кража данных
Это мошенничество предполагает кражу конфиденциальных данных вашей компании и продажу их конкурентам или другим заинтересованным лицам. Воры могут также угрожать опубликовать ваши данные, если вы не выполните их требования.
Как работают BEC-атаки?
Вот как работают атаки BEC:
- Поддельная учетная запись электронной почты или веб-сайт - злоумышленник подделывает адрес электронной почты или веб-сайт, который кажется легитимным, иногда используя такие методы, как typosquatting или lookalike domains. С этого аккаунта злоумышленник рассылает одно или несколько фишинговых писем с просьбой предоставить финансовую информацию, например номера банковских счетов и PIN-коды, или запросить перевод средств. Использование протоколов аутентификации электронной почты, таких как DMARC, SPF и DKIM, поможет вам предотвратить подмену вашего домена хакерами.
- Фишинговые письма - Фишинговые письма - это целенаправленные письма, отправляемые непосредственно конкретным сотрудникам, чаще всего из финансовых или кадровых служб. Они часто маскируются под внутренние сообщения от кого-то из сотрудников компании (например, руководителя) и содержат такие темы, как "срочный банковский перевод" или "срочный счет", в которых запрашиваются конфиденциальные данные или немедленные действия.
- Использование вредоносного ПО - Злоумышленники могут установить вредоносное ПО (malware) на компьютер жертвы, часто через вредоносные ссылки или вложения в фишинговых письмах. Они используют вредоносное ПО для отслеживания активности, перехвата нажатий клавиш (кейлоггеры), снятия скриншотов или получения постоянного доступа к системе и сети.
Как предотвратить компрометацию деловой электронной почты?
Успешная атака BEC может стоить предприятию больших денег и причинить значительный ущерб. Однако вы можете предотвратить эти атаки, выполнив несколько простых шагов, например:
1. Защитите свой домен с помощью DMARC, SPF и DKIM
Такие протоколы проверки подлинности электронной почты, как Domain-based Message Authentication, Reporting and Conformance (DMARC), Sender Policy Framework (SPF) и DomainKeys Identified Mail (DKIM), очень важны. SPF позволяет указать, какие почтовые серверы имеют право отправлять электронную почту для вашего домена. DKIM добавляет цифровую подпись к письмам, позволяя получателям убедиться, что письмо не было подделано.
DMARC основывается на SPF и DKIM. Организация может определить, какие источники отправляют электронные письма от имени ее домена, с помощью проверки отправителя и выравнивания домена, используя этот протокол, а также улучшить видимость своих каналов электронной почты. DMARC позволяет владельцам доменов указывать, как получатели должны обрабатывать электронные письма, не прошедшие проверку SPF или DKIM.
Чтобы эффективно предотвратить BEC, необходимо внедрить DMARC с политикой применения. Политиками являются:
p=none
: Контролирует почтовый трафик, не влияя на его доставку. Не обеспечивает защиту от BEC.p=quarantine
: Отправляет подозрительные письма в папку "Спам" или "Нежелательная почта" получателя.p=reject
: Полностью блокирует электронные письма, не прошедшие проверку подлинности. Это рекомендуемая политика для максимальной защиты от BEC.
Внедрение DMARC требует публикации правильно оформленных записей SPF, DKIM и DMARC в вашем DNS. Рекомендуемая DMARC-запись для внедрения может выглядеть следующим образом: v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;
Эта политика отклоняет неработающие электронные письма и отправляет сводные (rua) и криминалистические (ruf) отчеты на указанные адреса для мониторинга. Только политика внедрения reject эффективно минимизирует BEC, предотвращая попадание поддельных писем в почтовые ящики получателей. В то время как антиспам-фильтры защищают от входящего фишинга, DMARC защищает ваш домен от использования в исходящих сообщениях. фишинг и спуфинг нападения.
Регулярный мониторинг с помощью отчетов DMARC (агрегированных и криминалистических) очень важен для отслеживания потока электронной почты, выявления проблем с аутентификацией и обнаружения потенциальных попыток самозванства.
2. Защита от фишинга
Используйте антифишинговое программное обеспечение и шлюзы безопасности электронной почты, которые сканируют входящие письма на наличие вредоносных ссылок, вложений и признаков социальной инженерии, чтобы блокировать угрозы до того, как они попадут к пользователям.
3. Разделение обязанностей и протоколы оплаты
Убедитесь, что критически важные функции, особенно финансовые операции, такие как электронные переводы, не выполняются одним человеком. Разработайте строгие протоколы утверждения платежей, требующие многократной авторизации и вторичного подтверждения (например, телефонного звонка или личного присутствия) для запросов, особенно срочных или связанных с изменением платежных реквизитов.
4. Маркировка внешних сообщений электронной почты
Настройте свою систему электронной почты таким образом, чтобы она четко маркировала письма, приходящие извне вашей организации. Это поможет сотрудникам быстро выявлять потенциально подозрительные сообщения, которые пытаются выдать себя за внутренних отправителей.
5. Внимательно изучите адреса и данные электронной почты
Научите сотрудников внимательно изучать адрес электронной почты отправителя на предмет тонких различий, опечаток или похожих доменов. Проверьте, совпадает ли адрес "ответ на" с адресом "от". Опасайтесь писем, требующих срочности или секретности.
6. Обучайте своих сотрудников
Лучшая защита от атак BEC - это обучение и информирование сотрудников. Сотрудникам необходимо рассказать об угрозе BEC, о том, как она работает, о распространенных тактиках (например, срочность, выдача себя за представителя власти) и о том, как они могут стать объектом атаки. Они должны понимать политику компании в отношении использования электронной почты, обмена данными и финансовых операций, включая процедуры проверки. Проводите имитационные фишинговые тесты, чтобы оценить уровень осведомленности и выявить людей, нуждающихся в дополнительном обучении. Поощряйте сотрудников немедленно сообщать о любых подозрительных письмах или запросах, не опасаясь репрессий.
7. Включите многофакторную аутентификацию (MFA)
Внедрите MFA для всех учетных записей электронной почты и других критически важных систем. MFA добавляет дополнительный уровень безопасности, помимо пароля, значительно снижая риск компрометации учетной записи даже в случае кражи учетных данных. Для повышения уровня безопасности используйте MFA с учетом рисков или местоположения.
8. Запрет автоматической переадресации электронной почты
Отключите автоматическую пересылку писем на внешние адреса в настройках системы электронной почты вашей организации. Хакеры могут использовать эту функцию для скрытого мониторинга переписки или перенаправления конфиденциальной информации после взлома учетной записи.
9. Внедрение дополнительных протоколов безопасности
Рассмотрите возможность дальнейшего усиления безопасности электронной почты:
- MTA-STS (Mail Transfer Agent Strict Transport Security): Обеспечивает TLS-шифрование электронной почты в пути, защищая от подслушивания и атак типа "человек посередине". Используйте TLS-RPT (TLS Reporting) для получения отчетов об успехах и неудачах переговоров TLS.
- BIMI (Brand Indicators for Message Identification): Прикрепляет логотип вашего проверенного бренда к аутентифицированным сообщениям электронной почты, повышая запоминаемость бренда и помогая получателям визуально идентифицировать легитимные сообщения в поддерживаемых почтовых клиентах. BIMI требует применения DMARC.
- Управление SPF-записями: Убедитесь, что ваша SPF-запись не выходит за пределы 10 DNS-поисков, чтобы избежать ошибок проверки. Такие инструменты, как сглаживание SPF, помогают управлять сложными записями.
10. Сообщить о мошенничестве
Если вы заподозрили или стали жертвой BEC-мошенничества, немедленно сообщите об этом в соответствующие органы (например, в IC3 ФБР в США) и в свои финансовые учреждения. Сообщение помогает правоохранительным органам отслеживать такие преступления и потенциально возвращать средства.
Заключение
Аферы с компрометацией деловой электронной почты обходят даже самые передовые меры безопасности, часто нацеливаясь на ключевых сотрудников, таких как генеральный или финансовый директор, с помощью одного хорошо составленного письма. В итоге BEC - это действительно коварный вектор атаки, который по-прежнему широко распространен в деловом мире. А это значит, что вы должны быть очень внимательны к нему, независимо от размера вашей организации. Для создания надежной защиты необходимо сочетание технических средств контроля, таких как применение DMARC, надежных внутренних процедур и постоянного обучения сотрудников.
Используйте DMARC-анализатор инструмент PowerDMARC, чтобы убедиться, что электронные письма вашего домена доставляются, и избежать отправки фальшивых писем. Прекратив подделку, вы не просто защищаете свой бренд. Вы обеспечиваете выживание своего бизнеса, внедряя важнейшую часть стека аутентификации электронной почты, который также может включать SPF, DKIM, BIMI, MTA-STS и TLS-RPT для комплексной защиты.