- infoCOM.UZ - http://infocom.uz -

Что такое BEC-атака и как ей противостоять

Только через американский Центр приема жалоб на киберпреступления (Internet Crime Complaint Center, IC3) в 2019 году в ФБР поступило 23 775 [1] сообщений о таких атаках — на 3,5 тысячи больше, чем в 2018 [2]. При этом общий ущерб от BEC вырос с 1,2 миллиарда долларов до 1,7.

Что такое BEC-атака

Под BEC-атакой подразумевают целевую кампанию, в которой злоумышленники пытаются действовать следующим образом:

  1. Начать переписку с сотрудником компании (или влезть в уже существующую).
  2. Завоевать его доверие.
  3. Убедить выполнить действия, идущие во вред интересам компании или ее клиентов.

Обычно эти действия сводятся к переводу денег на счета преступников или пересылке конфиденциальных файлов, однако порой встречаются и нестандартные вариации. Например, просьба от имени генерального директора выслать по СМС коды подарочных карт.

Часто для BEC используются трюки, характерные для фишинга, но на самом деле эта атака несколько сложнее. Она существует на стыке технологических и социальных методов мошенничества. Причем технологии там используются своеобразные: в письмах нет ни прикрепленных файлов с вредоносными программами, ни зловредных ссылок. Злоумышленники пытаются обмануть почтовый клиент так, чтобы получатель был уверен, что пришедшее письмо — подлинное. Но главную роль играет именно социальная инженерия.

Часто для проведения атаки злоумышленники тщательно собирают данные о жертве и позднее используют их, чтобы завоевать ее доверие. Иногда переписка может состоять всего из двух-трех писем, а иногда растягивается на несколько месяцев. Зачастую лишь внимательность сотрудника компании может выявить акт мошенничества.

Отдельно стоит выделить многоэтапные BEC-атаки, в которых комбинируются различные сценарии и технологии. Например, преступники сначала могут при помощи целевого фишинга (spearphishing) похитить учетные данные рядового работника компании, чтобы затем провести атаку против более высокопоставленного сотрудника.

Чуть ниже мы разберем несколько конкретных примеров, с которыми наши эксперты сталкивались на практике.

Распространенные сценарии BEC-атак

Конкретных сценариев BEC-атак достаточно много, и злоумышленники постоянно изобретают новые. Однако, по нашим наблюдениям, в большинстве случаев они сводятся к одному из четырех вариантов:

Технические приемы операторов BEC-атак

BEC-атаки развиваются и с технологической точки зрения. Если в 2013 году они существовали главным образом за счет взломов почты генерального или финансового директоров, то сейчас все чаще злоумышленники полагаются на имитацию, надеясь выдать себя за другого человека за счет комбинации технических уловок, социальной инженерии и невнимательности жертв. Вот основные технические приемы, которые они используют:

Примеры из нашей практики

Наши клиенты неоднократно сталкивались с различными вариантами BEC-атак. Мы решили продемонстрировать несколько примеров писем, которые мошенники используют, чтобы начать атаку. Разумеется, это не настоящие письма злоумышленников, а их имитация, поскольку нам нужно соблюдать конфиденциальность клиентов.

Фальшивое имя

Злоумышленник пытается установить контакт с потенциальной жертвой, выдавая себя за ее руководителя. Чтобы получатель не попытался установить связь с реальным начальником, мошенник делает акцент одновременно на срочности просьбы и о своей недоступности через другие каналы связи:

[3]

Если внимательно присмотреться, то можно заметить, что имя отправителя (Bob) не совпадает с реальным электронным адресом (not_bob@gmail.com). В данном случае злоумышленник подделал только имя, показываемое при открытии письма. Данный вид атаки особенно эффективен на мобильных устройствах, где по умолчанию отображается не адрес отправителя, а только его имя.

Подделка адреса

Преступник ищет сотрудника, имеющего достаточно полномочий, чтобы изменить банковские реквизиты в бухгалтерии. Он пишет:

[4]

Здесь злоумышленник изменил хедер письма таким образом, чтобы в клиенте отображалось и имя, и электронная почта легитимного сотрудника. При этом в качестве «обратного адреса» установлен посторонний e-mail. В итоге ответы на это письмо будут направляться по адресу not_bob@gmail.com. Многие клиенты для просмотра почты по умолчанию не показывают поле «обратный адрес», из-за чего данное письмо даже при пристальном внимании будет похоже на настоящее. В теории атаку при помощи такого письма могли бы остановить правильно настроенные технологии SPF, DKIM и DMARC на почтовом сервере компании.

Ghost Spoofing

Злоумышленник от имени руководителя пытается навязать необходимость сотрудничества с фальшивым адвокатом, который должен скоро связаться с сотрудником:

[5]

При этом в поле «имя отправителя» он вставил не только само имя, но и адрес электронной почты, с которого он якобы пишет. Не бог весть какой трюк, но зачастую люди покупаются и на него. Особенно если у получателя настоящий адрес не отображается.

Lookalike Domain

Очередной преступник пытается начать переписку с сотрудником компании:

[6]

Здесь он использует метод Lookalike Domain, о котором мы уже писали выше. Мошенник зарегистрировал доменное имя, похожее на доверенное (в данном случае имитирующее домен компании — examp1e.com, похожий на example.com). Невнимательная жертва может и не заметить, что почта пришла с чужого домена.

Громкие случаи BEC-атак

В последнее время в новостях не раз рассказывали о BEC-атаках, которые стали причиной значительного ущерба для компаний. Причем в качестве жертв назывались компании самых разных размеров, работающие в различных областях. Вот наиболее любопытные:

Как бороться с BEC-атаками

Преступники используют достаточно широкий арсенал технических трюков и методов социальной инженерии, чтобы войти в доверие к жертве и совершить мошеннические операции. Однако есть ряд эффективных мер, которые позволят минимизировать угрозу от BEC-атак:

Уже сейчас решения «Лаборатории Касперского», разработанные с применением технологий, созданных в нашей лаборатории контентной фильтрации, позволяют выявлять многие варианты BEC-атак. И наши эксперты продолжают разрабатывать технологии защиты от самых продвинутых и хитрых вариантов мошенничества.

Источник [15]