Компрометация корпоративной электронной почты: как распознать и защититься?

Компрометация корпоративной электронной почты представляет собой стремительно развивающуюся киберугрозу, которая причиняет организациям масштабный финансовый урон.

Преступники приступают к реализации атаки с детального анализа сведений о предприятии. Они фокусируются на данных о руководстве и бухгалтерии, а также на адресах электронной почты персонала и информации о контрагентах. При помощи фишинга или вредоносного софта злоумышленники компрометируют их учетные записи, тщательно изучая диалоги с партнерами. В дальнейшем выясняются подробности финансовых транзакций, определяется список лиц, запрашивающих и одобряющих переводы, а также тех, кто непосредственно проводит финансовые операции. Традиционно BEC-атаки разделяют на пять категорий.

Пять основных типов компрометации корпоративной электронной почты

1. Компрометация учетной записи: аккаунт электронной почты сотрудника взламывается и применяется для отправки мошеннических писем иным организациям и контактам.

2. Кража персональных данных персонала: мошенники выбирают целью привилегированных пользователей, обладающих доступом к информации о штате, чтобы извлечь конфиденциальные данные для проведения будущих атак.

3. Фальшивый счет: злоумышленник создает поддельное письмо от лица компании или поставщика, с которым взаимодействует жертва. Сообщение может содержать инвойс с требованием произвести оплату на конкретный счет, находящийся под контролем преступников.

4. Лжеюрист / лжебухгалтер: киберпреступник выдает себя за представителя юридического бюро или налогового органа. Данный сценарий вынуждает сотрудников принимать решения быстро и импульсивно, чтобы оперативно нейтрализовать «угрозу», придуманную атакующим.

5. Лжеруководитель: в этой ситуации преступник имитирует генерального директора предприятия или любого топ-менеджера и направляет сообщения сотрудникам, требуя в экстренном порядке перевести деньги на реквизиты мошенника.

Факторы эффективности BEC-атак

• Социальная инженерия: атаки проводятся в конце смены или перед выходными, когда персонал находится в спешке. Контент писем формируется с учетом специфики взаимоотношений между отправителем и адресатом.

• Легитимный облик: преступники задействуют накопленные сведения для подготовки писем, которые по стилистике и оформлению неотличимы от стандартной переписки с партнерами. Например, бухгалтер может получить распоряжение от директора о транзакции, полностью идентичное по манере письма предыдущим приказам.

• Отсутствие вредоносного вложения: сообщения лишены подозрительных ссылок и файлов, что позволяет обходить антивирусные системы и прочие технические средства защиты.

• Отсутствие факта проникновения в систему: злоумышленники убеждают персонал совершать финансовые операции добровольно, избавляя себя от нужды вскрывать инфраструктуру. Жертвы пребывают в уверенности, что совершают корректные действия, даже если банк запрашивает подтверждение по новым реквизитам.

• Срочность и давление: находясь под давлением тяжелых и неотвратимых последствий, сотрудники действуют без должного анализа, обеспечивая тем самым исполнение команд киберпреступников.

Как выявить компрометацию деловой электронной почты?

Существует несколько подходов, при помощи которых злоумышленники убеждают жертв в достоверности их сообщений, включая самозванство, спуфинг и захват учетной записи электронной почты. Навык распознавания этих тактик становится жизненно важным для обороны вашей компании от BEC-атак.

Самозванство

Простая и популярная тактика, при которой атакующий создает аккаунт электронной почты, визуально крайне похожий на настоящий рабочий адрес. Для этого в почтовое имя добавляется малозаметная опечатка или символы из других алфавитов. Эта форма компрометации базируется на выстраивании доверительного контакта с жертвой, а не на эксплуатации вредоносных файлов для кражи конфиденциальной информации.

Подмена (спуфинг) электронной почты

Заключается в том, что преступники подделывают домен своих фальсифицированных писем так, чтобы он выглядел идентично домену целевой фирмы. Обходя стандарты аутентификации, такие как SPF, DKIM и DMARC, злоумышленники могут отправлять письма так, будто они исходят от легитимного домена, а не с сервера атакующего.

Захват учетной записи электронной почты

Более сложная схема, при которой преступник получает прямой доступ к учетной записи корпоративной почты. Злоумышленник может добыть учетные данные различными путями, например, через фишинг или применяя связки логинов и паролей, полученные в прошлых атаках.

Используя взломанную учетную запись как плацдарм, атакующий проводит разведку внутри организации, изучая контакты, письма и историю диалогов. Вероятнее всего, он также настроит правила пересылки на собственный внешний адрес, чтобы аккумулировать информацию вне периметра жертвы. Это позволяет отслеживать новые письма от заказчиков и находить сообщения, касающиеся финансовых операций. Обнаружив ценные сведения, преступник внедряется в переписку и под видом реального отправителя принуждает жертву поделиться конфиденциальной информацией.

Если вы зафиксировали любой из данных признаков, ваша компания может находиться под прицелом кибератаки. Анализ подобных подозрительных инцидентов служит ключом к защите ваших данных.

Защита от компрометации почты с помощью Гарда DCAP

Сами по себе DCAP-системы не выступают полноценным инструментом предотвращения BEC-атак, они являются элементом комплексной стратегии по снижению рисков. Однако Гарда DCAP эффективно содействует предотвращению инцидентов, связанных с компрометацией переписки.

Предположим, пароль корпоративного пользователя был обнаружен в базе утечек на хакерском ресурсе. При этом данный пользователь имел доступ к почтовым ящикам финдиректора и генерального директора, где хранятся конфиденциальные данные. Завладев такой учетной записью, злоумышленники могут использовать содержимое переписки для реализации последующих атак.

Зачастую права на чтение почтовых ящиков топ-менеджмента выдаются на ограниченный срок (например, на период отпуска). Практика показывает, что после возвращения руководителя временный доступ часто забывают деактивировать.

Гарда DCAP отображает количество лиц, подключенных к конкретному почтовому ящику, а детальные сведения о них доступны в карточке объекта. Таким образом, система помогает обнаружить наличие избыточного доступа к чужой почте и минимизировать риск компрометации, обеспечивая защиту конфиденциальности данных.

Заключение

Важнейшей составляющей системной стратегии безопасности остается обучение персонала распознаванию фишинговых сообщений. Административный контроль со стороны подразделений, не связанных с ИТ (например, повторные проверки платежных документов в бухгалтерии), может стать последним рубежом обороны от финансовых потерь.

Компрометация деловой переписки остается одной из самых затратных форм кибератак для бизнеса. Внедряя многоуровневый подход к кибербезопасности и контролируя активность пользователей через средства автоматизации, такие как Гарда DCAP, вы можете значительно повысить защищенность организации и уберечь персонал от BEC-атак и иных видов киберпреступности.