Тяжелая инженерия: компании стали чаще попадаться на многоходовый почтовый фишинг

Тяжелая инженерия: компании стали чаще попадаться на многоходовый почтовый фишинг

Киберпреступники могут рассылать фишинговые сообщения, спам или вредоносные программы от имени скомпрометированной компании или центра управления организациями. По свежим оценкам RTM Group, в России количество BEC-атак (Business email compromise — «компрометация корпоративного e-mail») на малые и средние предприятия за последний год выросло почти на 150%. При этом, по последним данным Microsoft, в мире в 2022 году их число увеличилось на 250% по сравнению с 2021-м. Определенным рискам подвержены государственные и военные структуры. Чем опасны такие атаки и как от них защититься — в материале «Известий».

Даркнет и многолетний шпионаж
Business email compromise — вид фишинговых рассылок, при котором злоумышленники пишут от лица компании-контрагента, партнера или даже руководства самой компании-жертвы и просят сделать что-либо выгодное злоумышленнику, чаще — просто оплатить счет или перевести деньги. Таким образом, атакующие стремятся быстро заработать без проникновения в сеть компании-жертвы с помощью вредоносного ПО.

Ситуация усугубляется тем, что злоумышленники стали чаще подделывать домены или адреса электронной почты, чтобы создать иллюзию легитимности своих писем. Они могут взламывать реальные учетные записи и отправлять фишинговые письма от имени жертв. Наиболее популярными схемами мошенничества с корпоративной электронной почтой являются подставные счета притворных контрагентов, мошенничество от лица топ-менеджмента и от лица юридического представителя.

В России за первые пять месяцев 2023 года, по сравнению с аналогичным периодом 2022 года, на 15% — до 30% от общего объема фишинга — возросла доля BEC, писем, нацеленных на быструю монетизацию атаки через подставные счета от контрагентов, подсчитали для «Известий» аналитики МТС Red.

— Рост таких атак может быть связан с тем, что сотрудники компаний стали более критично воспринимать письма, например, с предложениями поучаствовать в выгодных акциях, приходящие на рабочую почту, — отмечает руководитель центра сервисов кибербезопасности компании МТС Red Андрей Дугин. — Малые и средние предприятия обычно становятся мишенью нетаргетированного фишинга, поскольку компании из этого сегмента часто пренебрегают даже бесплатными мерами повышения киберграмотности сотрудников.

По словам специалиста, подобный фишинг — универсальный инструмент для первого проникновения хакера в инфраструктуру любой организации. Злоумышленники получают точку доступа, а уже использовать ее можно множеством разных способов — от простой продажи в даркнете до многолетнего шпионажа.

По содержанию BEC может быть как «заточенным» под атакуемого (полностью легитимный счет, подменены только реквизиты получателя), так и представлять собой обычное письмо вроде «переполнен почтовый ящик» — такому сообщению, прилетевшему от контрагента, проще пробиться через автоматизированные спам-фильтры. По словам ИБ-специалистов МТС Red, технически реализовать BEC несложно, если иметь на руках логин-пароль и не применять двухфакторную аутентификацию.

В случае с атаками BEC в отдельных случаях злоумышленникам удается достигать впечатляющих объемов хищений, отмечает директор по продуктам компании «Гарда Технологии» Павел Кузнецов. А так как социотехнические атаки продолжают работать в обход всех процессов и систем, стоит ожидать сохранения и развития такой активности, прогнозирует он.

— Как правило, BEC направлены на крупный бизнес, и наши оценки не вполне совпадают со статистикой Microsoft, — говорит эксперт «Гарда Технологии». — Компрометировать компанию с помощью социотехники злоумышленники рискуют в основном ради крупного куша.

По мнению Кузнецова, на практике чаще всего схема мошенничества состоит из множества шагов по приобретению доверия жертвы со стороны якобы ее прямого руководителя и установления неконтролируемого службой безопасности компании канала связи, а финальным шагом становится требование перевода денег со счета компании под предлогом наличия обстоятельств непреодолимой силы. Противиться подбираемым эмоциональным аргументам порой сложно, и люди иногда даже идут на нарушение должностных инструкций, тем более что «руководитель» якобы такое нарушение согласовывает, подчеркивает ИБ-инженер.

— Самый простой способ — уведомление о смене реквизитов и просьба заплатить за товары и услуги на новые счета, — говорит управляющий RTM Group, член МРО "Деловая Россия" Евгений Царев. — Письмо приходит от давнего контрагента, поэтому может быть принято быстрое решение самим бухгалтером о переводе. Важно, что факт мошенничества может вскрыться только через месяц, квартал, год.

Один из типовых сценариев состоит во встраивании злоумышленника в процесс рабочей переписки, отмечает руководитель направления информационной безопасности iTprotect Кай Михайлов. Начинается атака с компрометации корпоративной электронной почты. Злоумышленник тем или иным способом получает доступ к почте и внимательно изучает переписку и текущую активность жертвы. Данные знания помогают в нужный момент выдать себя за жертву и перевести переписку на себя. Используются поддельные, но очень похожие адреса и домены компаний (в распознавании которых как раз могут помочь антиспам-системы). В итоге злоумышленник «замыкает» переписку с контрагентом на себя и в ключевой момент (например, при пересылке номеров счетов, сумм и т.д.) происходит подмена данных на реквизиты злоумышленника.

— Способов выяснить контрагентов из открытых источников очень много, — говорят в МТС Red. — Это сбор и анализ открытой информации о контрагентах, размещенной на закупочных порталах, логотипы контрагентов на сайтах компаний, тексты договоров, в которых явно указывается, кто какой сервис предоставляет, копилефты веб-студий на сайтах, наконец, пресс-релизы о сотрудничестве.