Количество попыток компрометации деловой электронной почты (BEC) растет. Что такое BEC, почему количество атак растет и как компании могут обнаружить и смягчить атаки?
Компрометация деловой электронной почты (BEC) является одним из направлений деятельности злоумышленников. Последние данные показывают, что метод кибератаки более распространен, чем программы-вымогатели. Согласно отчету Cloudflare о фишинговых угрозах за предыдущий год, финансовые потери, связанные с BEC, выросли на 17% за этот период. Авторы отмечают, что злоумышленники все чаще прибегают к методу атаки на организации.
К сожалению, взломать учетные записи корпоративной электронной почты гораздо проще, чем вы можете себе представить.
Business Email Compromise (BEC) — это форма фишинга, при которой злоумышленники выдают себя за генерального директора, поставщиков или клиентов компании с целью вымогательства денег. Это существует уже много лет, но такие технологии, как искусственный интеллект (ИИ), помогают сделать BEC-атаки более убедительными и изощренными.
Голосовые дипфейки, которые позволяют злоумышленникам выдавать себя за доверенных лиц, например, за генерального директора, вызывают растущую озабоченность, а системы генеративного искусственного интеллекта, такие как ChatGPT, становятся все более доступными. Так что же такое BEC, почему количество атак растет и как компании могут обнаружить и смягчить атаки?
Отличие BEC от фишинга: как BEC используется в атаках?
При атаках BEC злоумышленник изменяет платежные реквизиты жертвы или запрашивает несанкционированные транзакции в надежде, что жертва отправит деньги на их счет. Руководитель отдела кибербезопасности компании Mainton говорит, что компания наблюдала, как некоторые предприятия теряют «миллионы» в результате атак такого типа.
Старший консультант по кибербезопасности в Mainton, ранее работавший следователем в отделе по борьбе с киберпреступностью в полиции, приводит в пример атаку BEC на малый бизнес в обрабатывающей промышленности, получивший счет от поставщика.
«Счет выглядел идентично подлинному счету, который они видели сотни раз раньше, и имел относительно низкую стоимость. Единственная разница заключалась в том, что данные банковского счета были изменены по сравнению с настоящим шаблоном счета-фактуры. Это была не та компания, с которой получатель имел дело сотни раз до этого, а преступник, выдававший себя за них».
По словам главного исследователя безопасности исследовательской группы компании Mainton мошенничество с BEC часто связано с эксплуатацией лиц, занимающих финансовые должности. «Этот тонкий обман характеризуется изменением подлинных деловых писем, а не массовыми фишинговыми кампаниями, что значительно усложняет обнаружение».
BEC не всегда требует применения сложных технологий. Простых манипуляций с электронной почтой часто бывает достаточно, чтобы использовать сложное вредоносное ПО. По сути, сила BEC заключается в использовании человеческого фактора, что делает его одновременно эффективным и прибыльным.
Как только злоумышленники украли деньги, их можно немедленно получить, говорит аналитик по анализу угроз в компании Mainton. «Сравните это с атаками программ-вымогателей, когда кибербанда должна приложить огромное количество дополнительной энергии для вымогательства у жертв: BEC — гораздо более эффективная операция».
Как долго BEC будет представлять угрозу?
BEC существует уже много лет. Хотя его происхождение сложно определить, эксперты говорят, что мошенничество, нацеленное на предприятия и организации, существовало с момента появления электронной почты. ФБР начало отслеживать «новые финансовые киберугрозы» в 2013 году, называя их «компрометациями деловой электронной почты».
Атаки BEC трудно обнаружить, поскольку они не используют вредоносное ПО или вредоносные URL-адреса, которые могут перехватить стандартные средства киберзащиты. Вместо этого они опираются на выдачу себя за другое лицо и социальную инженерию, чтобы обманом заставить людей невольно вступить в контакт с злоумышленником.
Возможности искусственного интеллекта, особенно такие инструменты, как ChatGPT, снизили планку для сложных атак BEC. Злоумышленники, особенно те, кто плохо владеет английским языком, могут использовать инструменты, подобные ChatGPT, для запуска все более сложных фишинговых кампаний. Создавать такие дипфейки удивительно легко, имея всего лишь доступ в Интернет и несколько долларов.
Можно привести в пример атаку, в которой голос генерального директора был подделан с помощью общедоступного инструмента-генератора голоса, создающего «аватары» для маркетинговых кампаний. Финансовому директору целевой компании было отправлено аудиосообщение с неизвестного номера, но атака была обнаружена.
Несмотря на то, что фальшивый голос очень напоминал оригинал, финансовый директор быстро понял, что что-то не так, и немедленно обратился к своему генеральному директору.
Мошенники с искусственным интеллектом могут легко собрать личные данные с LinkedIn или веб-сайтов компаний, чтобы их фальшивые электронные письма выглядели более реальными. ИИ также может изучать, как человек обычно пишет свои электронные письма, и копировать его стиль.
В будущем ИИ несомненно будет использоваться для упрощения создания мошеннических счетов и проведения разведки предприятий и отдельных целей. Хотя дипфейки уже продемонстрировали способность убедительно воспроизводить голоса и лица, потенциал ИИ в анализе и имитации моделей общения открывает новое измерение.
В то же время атаки BEC станут более автоматизированными и масштабируемыми благодаря использованию ИИ.
Как идентифицировать и смягчить атаки BEC?
Есть несколько шагов, которые компании могут предпринять, чтобы защитить себя и смягчить атаки BEC. Во-первых, компании могут изучать электронные письма, которые они получают. Ищите небольшие изменения в адресах электронной почты. Проверьте, не имеют ли платежные реквизиты в счетах-фактурах несовпадающие шрифты или указывают ли они на несвязанные названия компаний.
Тем временем отслеживайте подозрительные правила перенаправления электронной почты, которые отправляют определенные электронные письма в сторонние системы. Также следует опасаться тактики давления или скидок, предлагаемых за немедленную оплату.
Чтобы смягчить атаки эксперты советуют принять строгую дисциплину в отношении паролей, двухфакторную аутентификацию (2FA) и соответствующие инструменты для защиты от взлома этих учетных записей.
В целом, лучшая защита – это наличие надежной политики. Иногда эти меры защиты отнимают много времени, поэтому также важно внедрить во всей организации культуру понимания рисков, которые могут представлять BEC-атаки.
Успешная компрометация деловой электронной почты зависит от социальной инженерии, поэтому обучение сотрудников является обязательным. Проведите внутреннее тестирование на предмет выявления фишинга и получите обратную связь в случае любых ошибок.
Также подумайте, как обучение адаптировано для ваших функций продаж и финансов. Например, обучение, которое гарантирует, что все запросы на банковские переводы проверяются с использованием проверенных и установленных контактных лиц для поставщиков, продавцов и партнеров.
В то же время выполняйте регулярные проверки конфигурации почтового сервера, настроек почты сотрудников и журналов подключений.
По словам экспертов, существуют инструменты, которые могут обнаруживать атаки на основе искусственного интеллекта, но в то же время компании могут помочь предотвратить атаки, ограничив раскрытие своих данных.
Сократите количество общедоступной информации о руководителях и деятельности компаний. Чем меньше данных киберпреступникам придется передавать своему ИИ, тем менее эффективными будут их попытки выдать себя за другое лицо.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, системное администрирование, SEO и реклама в интернете с 2004 года.