Рассылка с сюрпризом: кибератаки через почту
На корпоративную почту самых разных компаний периодически приходят письма с открытым перечнем адресатов. На первый взгляд ничего страшного в этом нет. Но на деле чревато неприятными последствиями.
Содержание статьи
Почему это опасно?
В случае, если открытый список адресатов письма случайно окажется в распоряжении мошенников, возможными станут такие сценарии дальнейшего развития событий:
Отправка писем с вредоносными вложениями и ссылками на «вирусные» сайты
Особо изобретательные злоумышленники нередко вслед за настоящим письмом, используя электронную почту с похожим адресом, присылают другое, в котором пишут: «Приносим свои извинения.Ссылка в предыдущем письме оказалась неверной, высылаем правильную». Путь такой ссылки – прямиком на сайт с вредоносным содержимым.
Именно так в 2016 году хакеры представились сотрудниками департамента по борьбе с киберпреступностью Центробанка – ФинЦЕРТа, когда проводили массовую фишинг-рассылку. Департамент, на момент первых атак в марте 2016-го, существовал всего лишь полгода. Официальный адрес электронной почты ФинЦЕРТа: fincert@cbr.ru . Многие сотрудники банков к тому времени еще не успели запомнить, поэтому вложение, отправленное с фейкового адреса info@fincert.net, было открыто более семидесяти раз. И дело вовсе не в том, что адресаты были беспечными. Просто мошенники отправляли письма именно тем работникам, которые их ожидали и потому открывали сразу же.
Выманивание логинов и паролей для получения контроля над корпоративными учетными записями
Возможность перехватить доступ к онлайн-банку практически невозможно. Это стало возможным благодаря так называемой двухфакторной защите, ярким примером которой является требование введения одноразового пароля из SMS-сообщения.
Но есть и множество других «лакомых кусочков» для злоумышленников: учётные записи корпоративной почты, аккаунты фирмы в автоматизированных системах работы с поставщиками, социальные сети и web-сайты.
Попытка добиться от получателя письма о переводе денежных средств на некоторый счёт
Хакеры высылают счета с требованием немедленной оплаты. Кажется невероятным, что на такую уловку кто-то может попасться, но, тем не менее, подобные ситуации очень распространены. На «крючок» злоумышленников попадались даже такие гиганты, как Google и Facebook. Эти компании стали жертвами обмана, в результате чего у первой было украдено 99 миллионов долларов, а у второй – 23 миллиона.
Очень часто мошенники мастерски используют различные сведения об адресате – его род деятельности, факты биографии и прочее. Уже в новом 2020 году успели произойти две крупные аферы, нанесший колоссальный ущерб компаниям. Первая история связана с нидерландским музеем из города Энсхеде – Государственным музеем Твенте. Специалисты этой организации вели на протяжении некоторого времени переговоры по электронной почте с арт-дилером по имени Симон Дикинсон. В определённый момент мошенникам удалось получить доступ к аккаунту Дикинсона и отправить от его имени поддельные сообщения с рядом требований к музею, который в итоге перевел более трёх миллионов долларов на счет «продавца». Вторая же история произошла в Великобритании: жилищная ассоциация перевела 932 тысячи фунтов стерлингов (более чем 76 миллионов рублей!) мошеннику, подошедшему с завидной изобретательностью к своему делу и виртуозно смоделировавшему переписку.
Как защитить себя?
Все приведенные нами истории рассказывают о разных видах BEC-атак (businessemailcompromise – компрометация корпоративной электронной почты). С их помощью в прошлом году мошенники заполучили порядка полутора миллиардов долларов. По мнению Центра приёма жалоб на мошенничество в Интернете при ФБ, BEC-атаки сегодня представляют собой наиболее значительную проблему среди всех способов обмана пользователей Глобальной сети. При этом число атак продолжает расти день ото дня. И факт, что среди пострадавших есть серьезные организации, говорит о том, что невнимательность не может быть названа единственной причиной увеличивающихся масштабов этого бедствия.
Программное обеспечение, служащее в качестве защитного барьера от BEC-атак, способно выполнять лишь функцию дополнительной первичной страховки от того, чтобы пользователь не стал жертвой злоумышленников. К подобным программам можно отнести спам-фильтры, установленные на почтовом сервере, и антивирусные программы.
Существующие алгоритмы поведенческой аналитики способны выявлять особенно уязвимые для манипуляций группы риска. Последним рубежом обороны являются программы, контролирующие непосредственно действия сотрудника, работающего за компьютером (DLP-системы).
Но необходимо помнить и о том, что лучшая оборона от BEC-атак – это в первую очередь работа с человеческим фактором. И подразумевается здесь создание правил корпоративной безопасности и формирование здоровой подозрительности у работников.
Общие рекомендации
Убедитесь в том, что сотрудники имеют представление о сущности BEC-атак и о типичных целях, преследуемых мошенниками. Довести эту информацию до персонала можно самыми разными способами – с помощью лекций, семинаров, киберучений.Помогите им научиться тщательно проверять входящую почту: если письмо, полученное ими, показалось подозрительным, им следует связаться по телефону с отправителем и передать информацию о нём системным администраторам или службе кибербезопасности.
Создайте такую систему проверки счетов, которая будет включать в себя двухфакторную аутентификацию и наличие контрагентов. Также разработайте четкие регламенты относительно того, как нужно проводить различные платежи.
Наконец позаботьтесь о том, чтобы создать запрет на массовые рассылки электронных писем по открытым адресным книгам, чтобы не стать самим источником информации, которая так желанна для каждого мошенника.
Безусловно, самым рациональным решением будет комплексная, последовательная реализация всех перечисленных мер.
Но главный урок, который необходимо усвоить каждому – не нужно своими действиями способствовать облегчению задач мошенников по обману пользователей. Кевин Митник, известнейший в мире хакер, говорил, что хакерские атаки были бы невозможны, если бы не инсайдеры внутри компаний, ставших мишенью. По этому поводу можно добавить: не только инсайдеры, но и простые сотрудники, проявившие халатность на рабочем месте и проигнорировавшие элементарные правила информационной безопасности.
Советует Назиля Нурмамедова
Почти все случаи мошенничества, с которыми к нам обращаются клиенты, — ситуации, в которых специально создается срочность. Неважно, через почту или в телефонном ли разговоре: если кто-то требует оплатить что-то очень быстро, то это первый повод остановиться и все еще раз обдумать.
Предположим, вы знаете, что имеете задолженность перед организацией «Гамма». Вдруг звонит бухгалтер компании и сообщает: счет на оплату и досудебную претензию уже прислали на почту. Если платеж не будет внесен в срочном порядке, дело передадут в суд.
В спешке можно не заметить, что «Гамма», с которой договор заключен, и фирма, на счет которой требуют срочно оплатить — разные организации с одинаковым названием. Если оплата ушла на фирму-однодневку с номинальным директором, то меньшим ущербом окажутся потерянные деньги. Налоговая инспекция и правоохранительные органы могут серьезно заинтересоваться вашими расчетами с сомнительной компанией.
Поэтому самое важное в случае любой спешки остановиться и «поднять» все документы. При наличии подозрений запросить акт сверки взаиморасчетов и проверить совпадают ли вообще данные в акте с вашими. Только после этого можно принимать решение.
С уважением, НЭС - Чарджбэк Блог