Почтовый вор: в РФ зафиксирован всплеск мошеннических атак на компании
За последние три месяца произошел всплеск целевых атак на российские компании через электронную почту. Начиная с мая было зафиксировано более 100 попыток, сообщили «Известиям» в «Лаборатории Касперского». Тенденцию подтвердили участники рынка, а также другие организации, которые специализируются на кибербезопасности. Под прицел попал бизнес из сферы авиаперевозок, промышленности, ритейла, IT и доставки. Злоумышленники завоевывают доверие сотрудников, а затем вынуждают их перевести деньги на подложный счет или направить конфиденциальные документы.
ВЕСомый довод
ВЕС-атаки (Business Email Compromise) начинаются с переписки с сотрудником компании с целью завоевать его доверие. Затем его убеждают проделать ряд действий, которые в итоге нанесут ущерб бизнесу: например, перевести деньги на подложный счет контрагента или предоставить конфиденциальные документы подставному адвокату, рассказал «Известиям» руководитель отдела развития методов фильтрации контента в «Лаборатории Касперского» Алексей Марченко. Он подчеркнул, что нападения и атаки, как правило, готовятся от нескольких недель до нескольких месяцев и могут привести к многомиллионному ущербу для организации.
― Зачастую для проведения ВЕС-атак злоумышленники используют взломанные аккаунты сотрудников или адреса, визуально похожие на официальную почту компании, но отличающиеся на несколько символов. Обычно злоумышленники хорошо осведомлены о структуре компании и ее процессах, а также знают, как использовать приемы социальной инженерии. Некоторые такие атаки становятся возможными из-за того, что преступники с легкостью находят в открытом доступе имена и позиции сотрудников, их местоположение, даты отпусков и списки контактов, ― разъяснил Алексей Марченко.
За май-июль 2021 года «Лаборатория Касперского» предотвратила более 100 целевых BEC-атак на российские компании, сообщил эксперт. Он подчеркнул, что в последнее время такие случаи участились. Нападениям подвергались компании из сферы авиаперевозок, промышленности, ритейла, IT, доставки. Чаще всего жертвами становятся сотрудники, имеющие доступ к финансам и к важным для злоумышленников документам, отметил Алексей Марченко.
«Известия» направили запросы в крупнейшие компании из сфер, где были зафиксированы попытки таких взломов. Их представители подтвердили рост количества атак через почтовые адреса. Так, нападения на «Марвел-Дистрибуцию» в 2021 году участились по сравнению с 2020-м и происходили еженедельно. Чаще всего это были письма с подменой адресов сотрудников с различными вложениями, замаскированными под внутренние документы компании. Для защиты от мошенников предприятие перешло на более надежные внешние и внутрикорпоративные системы и каналы связи, пересмотрело текущие права доступа у разных категорий сотрудников и ввело ряд других мер, сообщил директор департамента безопасности Дмитрий Насведко.
В IT-холдинге «Ланит» для противодействия атакам используют технологии, затрудняющие подмену почтовых адресов, и проводят ежеквартальные тренинги персонала по информационной безопасности, рассказал руководитель отдела проектирования и внедрения департамента информационной безопасности организации Дмитрий Дудко. В РТ-Информ (дочка госкорпорации «Ростех») отметили, что кроме использования систем фильтрации писем и обучения пользователей один из департаментов проводит внеплановые проверки, рассылая через электронную почту вредоносные сообщения и анализируя действия сотрудников при их получении.
Бизнес под прицелом
Учащение ВЕС-атак «Известиям» также подтвердили специалисты по кибербезопасности из ГК InfoWatch и Zecurion. Однако, несмотря на повышение количества попыток напасть на компании, их эффективность в 2021 году снизилась, считает руководитель аналитического центра Zecurion Владимир Ульянов. Причиной тому стало улучшение осведомленности персонала, особенно в крупных компаниях. Однако злоумышленники стараются охватить всё большее число людей и предприятий. При целевых нападениях риски для больших организаций выше, так как по ним проще собирать информацию, особенно за счет нынешней тенденции к повышению открытости бизнеса, отметил эксперт.
Утечки данных, которые злоумышленники используют для ВЕС-атак, происходят как по халатности, так и с помощью целенаправленного слива информации, добавил Владимир Ульянов. Помимо этого, для таких нападений в организацию специально может устроиться «подсадной» сотрудник с задачей получить нужные данные ― тогда для подготовки достаточно примерно месяца.
В остальном для BEC-атак требуются минимальные ресурсы, знает заместитель руководителя департамента расследований высокотехнологичных преступлений Group-IB Вадим Алексеев: большинство инструментов для них можно купить на подпольных форумах, а инфраструктуру для проведения нападения, например, доменные имена и почтовые ящики ― создать с помощью бесплатных сервисов.
Наиболее эффективное противодействие такого рода нападениям ― регулярные мероприятия по обучению сотрудников, отметил руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. Он подчеркнул: важно, чтобы работники проверяли адреса отправителей писем, не торопились выполнять какие-либо требования без дополнительной верификации входящих данных и личности отправителя и с осторожностью относились к ссылкам и вложениям. Также в компании следует установить средства контроля учетных записей, добавил эксперт.
«Известия» направили запрос в МВД о росте числа кибератак на российские компании.
