Перейти к основному содержанию
Реклама
Прямой эфир
Армия
Экипаж Ка-52 поразил опорный пункт и личный состав ВСУ в Курской области
Экономика
Приток средств в денежные фонды за год вырос вчетверо
Мир
В Британии на саксонском кладбище обнаружили меч VI века
Мир
В сирийской оппозиции заявили о встречах в Анкаре и Дохе с представителями РФ
Мир
Пентагон отказался комментировать поражение F-16 в Запорожской области
Экономика
Компании начали активно открывать подразделения в регионах
Общество
Синоптики спрогнозировали туман и гололед в Москве 27 декабря
Экономика
Летные испытания импортозамещенных SSJ-100 New пройдут в начале 2025 года
Мир
СМИ сообщили о назначении экс-генсека НАТО главой Бильдебергского клуба
Мир
Ким Чен Ын сделал подарок долгожительнице из КНДР на 100-летний юбилей
Происшествия
На западе Москвы загорелся паркинг
Мир
Около 70 человек на борту затонувшего в водах Марокко судна пропали без вести
Общество
Временные ограничения на полеты введены в аэропорту Казани
Мир
Адвокаты президента Южной Кореи посетят заседание об импичменте
Культура
Новый год начнется с выхода фильма-сказки «Финист. Первый богатырь»
Армия
Пленный солдат ВСУ посоветовал сослуживцам бросать позиции и сдаваться
Общество
Глава Рослесхоза напомнил о штрафах за вырубку новогодних елей
Наука и техника
ИИ обеспечит высокое качество мандаринов на прилавках
Главный слайд
Начало статьи
Озвучить текст
Выделить главное
Вкл
Выкл

Киберпреступники могут рассылать фишинговые сообщения, спам или вредоносные программы от имени скомпрометированной компании или центра управления организациями. По свежим оценкам RTM Group, в России количество BEC-атак (Business email compromise — «компрометация корпоративного e-mail») на малые и средние предприятия за последний год выросло почти на 150%. При этом, по последним данным Microsoft, в мире в 2022 году их число увеличилось на 250% по сравнению с 2021-м. Определенным рискам подвержены государственные и военные структуры. Чем опасны такие атаки и как от них защититься — в материале «Известий».

Даркнет и многолетний шпионаж

Business email compromise — вид фишинговых рассылок, при котором злоумышленники пишут от лица компании-контрагента, партнера или даже руководства самой компании-жертвы и просят сделать что-либо выгодное злоумышленнику, чаще — просто оплатить счет или перевести деньги. Таким образом, атакующие стремятся быстро заработать без проникновения в сеть компании-жертвы с помощью вредоносного ПО.

Ситуация усугубляется тем, что злоумышленники стали чаще подделывать домены или адреса электронной почты, чтобы создать иллюзию легитимности своих писем. Они могут взламывать реальные учетные записи и отправлять фишинговые письма от имени жертв. Наиболее популярными схемами мошенничества с корпоративной электронной почтой являются подставные счета притворных контрагентов, мошенничество от лица топ-менеджмента и от лица юридического представителя.

Фото: РИА Новости/Максим Блинов

В России за первые пять месяцев 2023 года, по сравнению с аналогичным периодом 2022 года, на 15% — до 30% от общего объема фишинга — возросла доля BEC, писем, нацеленных на быструю монетизацию атаки через подставные счета от контрагентов, подсчитали для «Известий» аналитики МТС Red.

— Рост таких атак может быть связан с тем, что сотрудники компаний стали более критично воспринимать письма, например, с предложениями поучаствовать в выгодных акциях, приходящие на рабочую почту, — отмечает руководитель центра сервисов кибербезопасности компании МТС Red Андрей Дугин. — Малые и средние предприятия обычно становятся мишенью нетаргетированного фишинга, поскольку компании из этого сегмента часто пренебрегают даже бесплатными мерами повышения киберграмотности сотрудников.

По словам специалиста, подобный фишинг — универсальный инструмент для первого проникновения хакера в инфраструктуру любой организации. Злоумышленники получают точку доступа, а уже использовать ее можно множеством разных способов — от простой продажи в даркнете до многолетнего шпионажа.

По содержанию BEC может быть как «заточенным» под атакуемого (полностью легитимный счет, подменены только реквизиты получателя), так и представлять собой обычное письмо вроде «переполнен почтовый ящик» — такому сообщению, прилетевшему от контрагента, проще пробиться через автоматизированные спам-фильтры. По словам ИБ-специалистов МТС Red, технически реализовать BEC несложно, если иметь на руках логин-пароль и не применять двухфакторную аутентификацию.

В случае с атаками BEC в отдельных случаях злоумышленникам удается достигать впечатляющих объемов хищений, отмечает директор по продуктам компании «Гарда Технологии» Павел Кузнецов. А так как социотехнические атаки продолжают работать в обход всех процессов и систем, стоит ожидать сохранения и развития такой активности, прогнозирует он.

очки
Фото: РИА Новости/Кирилл Каллиников

— Как правило, BEC направлены на крупный бизнес, и наши оценки не вполне совпадают со статистикой Microsoft, — говорит эксперт «Гарда Технологии». — Компрометировать компанию с помощью социотехники злоумышленники рискуют в основном ради крупного куша.

По мнению Кузнецова, на практике чаще всего схема мошенничества состоит из множества шагов по приобретению доверия жертвы со стороны якобы ее прямого руководителя и установления неконтролируемого службой безопасности компании канала связи, а финальным шагом становится требование перевода денег со счета компании под предлогом наличия обстоятельств непреодолимой силы. Противиться подбираемым эмоциональным аргументам порой сложно, и люди иногда даже идут на нарушение должностных инструкций, тем более что «руководитель» якобы такое нарушение согласовывает, подчеркивает ИБ-инженер.

— Самый простой способ — уведомление о смене реквизитов и просьба заплатить за товары и услуги на новые счета, — говорит управляющий RTM Group Евгений Царев. — Письмо приходит от давнего контрагента, поэтому может быть принято быстрое решение самим бухгалтером о переводе. Важно, что факт мошенничества может вскрыться только через месяц, квартал, год.

Один из типовых сценариев состоит во встраивании злоумышленника в процесс рабочей переписки, отмечает руководитель направления информационной безопасности iTprotect Кай Михайлов. Начинается атака с компрометации корпоративной электронной почты. Злоумышленник тем или иным способом получает доступ к почте и внимательно изучает переписку и текущую активность жертвы. Данные знания помогают в нужный момент выдать себя за жертву и перевести переписку на себя. Используются поддельные, но очень похожие адреса и домены компаний (в распознавании которых как раз могут помочь антиспам-системы). В итоге злоумышленник «замыкает» переписку с контрагентом на себя и в ключевой момент (например, при пересылке номеров счетов, сумм и т.д.) происходит подмена данных на реквизиты злоумышленника.

Фото: ИЗВЕСТИЯ/Михаил Терещенко

— Способов выяснить контрагентов из открытых источников очень много, — говорят в МТС Red. — Это сбор и анализ открытой информации о контрагентах, размещенной на закупочных порталах, логотипы контрагентов на сайтах компаний, тексты договоров, в которых явно указывается, кто какой сервис предоставляет, копилефты веб-студий на сайтах, наконец, пресс-релизы о сотрудничестве.

Справка «Известий»

Средний ущерб от каждой успешной атаки BEC, по оценкам Microsoft, составляет порядка $75 тыс. США.

Всё выше и выше

С каждым годом средства защиты становятся совершеннее, защитники — опытнее, и преступникам не всегда под силу бороться с ними, утверждает аналитик Positive Technologies Федор Чунижеков. Зачастую гораздо проще и быстрее проникнуть в инфраструктуру организации через электронное письмо со вложением в виде трояна, чем долго и тщательно пытаться найти уязвимости в периметре организации.

Социальная инженерия является одним из наиболее популярных методов среди киберпреступников: по данным Positive Technologies, за I квартал 2023 года половина успешных атак на организации прошла с участием человеческого фактора, а наиболее популярным каналом социальной инженерии стала электронная почта (86% от числа атак с использованием методов социальной инженерии).

— Если в случае компрометации аккаунта электронной почты преступнику удастся получить больше сведений об организации, ее руководстве и бизнес-процессах, то он сможет представиться одним из руководителей и обмануть, например, главного бухгалтера для получения денег на подставной счет, — раскрывает детали Федор Чунижеков. — За BEC-атаками могут стоять как обычные мошенники без специальной подготовки и нацеленные на получение финансовой выгоды, так и высококвалифицированные члены APT-группировок, целью которых является кибершпионаж и глубокое внедрение в инфраструктуру жертвы.

BEC-атаки проводятся в считаные часы: расследование Microsoft показало, что мошеннику достаточно двух часов для проведения разведки и отправки ложных инструкций для банковского перевода.

Возросшее количество ВЕС-атак в целом говорит о том, что злоумышленникам приходится всё чаще задействовать сценарии социальной инженерии (причем с «тяжелой артиллерией» — с упоминанием топ-менеджмента и силовых структур), поскольку против хорошо защищенного технически и организационно крупного бизнеса действовать другими методами сложно, указывает управляющий RTM Group Евгений Царев. Но особенно хорошо такие атаки работают с небольшими компаниями, преимущественно в сочетании с другими методами (подбором паролей, DDoS-атаками и т.д.), дополняет эксперт.

мужчина с ноутбуком
Фото: РИА Новости/Александр Гальперин

В России количество атак на малые и средние предприятия в последние 2–3 года растет, — говорит эксперт. — Особенно этот тренд стал заметен в последний год. Мы видим, что число атак на данный сегмент выросло не менее чем на 150%. Серьезно повлиял уход зарубежных вендоров, отсутствие возможности продолжать пользоваться некоторыми инструментами защиты и производить обновления.

Также, добавляет эксперт, в появление всё большего числа уязвимостей вносит вклад и повсеместное применение решений на Open Source, содержащих множество проблем безопасности.

— Сценарии социальной инженерии оказываются очень действенными в отношении средних и малых предприятий, — отмечает Евгений Царев. — В таких компаниях не так жестко прописана ответственность за нарушения, не проводится регулярное обучение по вопросам информационной безопасности среди сотрудников, а потому «человеческий фактор» может влиять сильнее, чем у крупняка.

Кай Михайлов из iTprotect считает, что потенциал для данных атак со стороны преступников еще не исчерпан, и мы видим усложнение методов и подходов в этом направлении. Если раньше это были массовые рассылки с типовыми текстами и формулировками в расчете на то, что небольшая часть получателей «клюнет» на обман, то теперь это зачастую проработанные, тщательно подготовленные фишинговые рассылки под конкретных адресатов (spearfishing — в зарубежной терминологии), замечает специалист.

В iTprotect поясняют, что количество атак на каждую компанию напрямую зависит от того, как часто ее контактные данные появляются в свободном доступе.

Как защищаться от BEC-атак

Для защиты от атак Microsoft рекомендует использовать многофакторную аутентификацию, шифрование электронной почты, обучение сотрудников основам кибергигиены и проверки подлинности доменов.

В iTprotect напоминают, что на рынке давно существуют системы антиспама и антифишинга, которые по множеству параметров письма (не только тексту) могут с большой долей вероятности распознать BEC-атаку. Такие системы доступны широкому кругу организаций. Основное требование для качественного распознавания угроз для данных средств защиты — регулярное (несколько раз в день) обновление баз сигнатур. Для большинства зарубежных решений на данный момент это невозможно, и множеству организаций пришлось оперативно импортозаместить такие системы: сейчас на российском рынке уже присутствуют отечественные аналоги.

хакер
Фото: РИА Новости/Владимир Трефилов

Для предотвращения BEC-атак в Positive Technologies рекомендуют проводить симуляции фишинговых атак, чтобы научить сотрудников распознавать BEC-атаки, контролировать и поощрять осведомленность сотрудников в вопросах кибербезопасности, установить правила доступа к сети, чтобы ограничить использование персональных устройств и предотвратить обмен информацией за пределами периметра корпоративной сети, а также следить за обновлениями безопасности. Следует убедиться, что все приложения, операционные системы, устройства и внутреннее программное обеспечение обновлены и безопасны. Не лишним будет использовать антиспам и sandbox-решения для фильтрации нежелательной электронной почты и проверки содержимого входящих сообщений.

Сенатор РФ, зампредседателя Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин полагает, что для государственных и военных структур сейчас необходимо тщательно разрабатывать внутренние положения об информационной безопасности, постоянно обучать сотрудников, информировать о новых видах киберугроз.

— Со стороны служб по информационной безопасности необходим строгий контроль за соблюдением правил использования техники и коммуникаций, — говорит сенатор. — Персональная ответственность за решение этих вопросов должна быть возложена на руководителей организаций.

Читайте также
Прямой эфир