Заявка на демо
Оцените MAKVES DCAP в действии! Заполните форму и мы свяжемся с вами для согласования времени и формата демонстрации.
Мы используем файлы cookie, чтобы сделать наш веб-сайт удобнее. Используя данный веб-сайт и просматривая его разделы, вы тем самым соглашаетесь с Политикой конфиденциальности
Компрометация корпоративной электронной почты: как распознать и защититься?
06 декабря, 2023
Киберпреступники используют множество вариантов кибератак, различных по сложности технической реализации и эффективности. Среди них особое место занимает очень простая в реализации и в то же время очень результативная атака — Business Email Compromise (BEC), или атака с использованием компрометации деловой переписки. Это целевая атака на основе компрометации электронной почты с целью кражи денег, конфиденциальной информации или учетных данных организаций. Эти атаки сложно предотвратить, поскольку преступники могут использовать методы социальной инженерии, такие как самозванство и запугивание в целях манипулирования пользователями.
Компрометация корпоративной электронной почты — это быстро растущая киберугроза, которая наносит большой финансовый ущерб организациям.
Злоумышленники начинают атаку с тщательного сбора информации о компании. Они акцентируют внимание на данных о руководителях и бухгалтерах, а также на адресах электронной почты сотрудников и информации о контрагентах. С помощью фишинга или вредоносных программ злоумышленники компрометируют их учетные записи, внимательно изучая переписку с контрагентами. Далее выясняют детали финансовых транзакций, определяют круг лиц, запрашивающих и утверждающих денежные переводы, а также тех, кто непосредственно осуществляет финансовые операции. Сами BEC-атаки можно разделить на пять типов.
Компрометация корпоративной электронной почты — это быстро растущая киберугроза, которая наносит большой финансовый ущерб организациям.
Злоумышленники начинают атаку с тщательного сбора информации о компании. Они акцентируют внимание на данных о руководителях и бухгалтерах, а также на адресах электронной почты сотрудников и информации о контрагентах. С помощью фишинга или вредоносных программ злоумышленники компрометируют их учетные записи, внимательно изучая переписку с контрагентами. Далее выясняют детали финансовых транзакций, определяют круг лиц, запрашивающих и утверждающих денежные переводы, а также тех, кто непосредственно осуществляет финансовые операции. Сами BEC-атаки можно разделить на пять типов.
Компрометация учетной записи: учетная запись электронной почты сотрудника взламывается и используется для рассылки мошеннических сообщений другим организациям и контактам.
Кража персональных данных сотрудников: Мошенники выбирают своей целью привилегированных пользователей, которые имеют доступ к информации о сотрудниках, чтобы получить конфиденциальные данные для выполнения будущих атак.
Фальшивый счет: Злоумышленник подделывает электронное письмо от организации или поставщика, с которым работает жертва. Это письмо может содержать счет с требованием оплаты на определенный счет, который контролируется злоумышленниками.
Лжеюрист/бухгалтер: Киберпреступник выдает себя за представителя юридической фирмы или налоговой службы. Такой типа атаки заставляет сотрудников действовать быстро и необдуманно, чтобы срочно избавиться от «угрозы», выдуманной преступником.
Лжеруководитель: В этом сценарии злоумышленник выдает себя за генерального директора компании или любого руководителя и рассылает электронные письма сотрудникам, требуя срочно отправить деньги на счет мошенника.
Кража персональных данных сотрудников: Мошенники выбирают своей целью привилегированных пользователей, которые имеют доступ к информации о сотрудниках, чтобы получить конфиденциальные данные для выполнения будущих атак.
Фальшивый счет: Злоумышленник подделывает электронное письмо от организации или поставщика, с которым работает жертва. Это письмо может содержать счет с требованием оплаты на определенный счет, который контролируется злоумышленниками.
Лжеюрист/бухгалтер: Киберпреступник выдает себя за представителя юридической фирмы или налоговой службы. Такой типа атаки заставляет сотрудников действовать быстро и необдуманно, чтобы срочно избавиться от «угрозы», выдуманной преступником.
Лжеруководитель: В этом сценарии злоумышленник выдает себя за генерального директора компании или любого руководителя и рассылает электронные письма сотрудникам, требуя срочно отправить деньги на счет мошенника.
Причины эффективности BEC-атак
Социальная инженерия: атаки осуществляются в конце рабочего дня или перед праздниками, когда сотрудники находятся в спешке. Тексты писем разрабатываются с учетом особенностей взаимоотношений между отправителем и получателем.
Легитимный внешний вид: Злоумышленники используют собранную информацию для создания писем, стилистически и внешне неотличимых от обычной переписки с контрагентами. Например, бухгалтер может получить указание генерального директора о переводе средств, идентичное по стилю предыдущим распоряжениям.
Отсутствие вредоносного содержимого: Письма лишены ссылок и вложений, что помогает нейтрализовать антивирусные программы и другие защитные меры.
Нет проникновения в систему: Злоумышленники убеждают сотрудников проводить финансовые операции по своей воле, избегая необходимости взламывать системы. Жертвы уверены, что выполняют корректные действия, даже при возможных запросах банка относительно новых реквизитов.
Срочность и манипуляции: Под угрозой серьезных и неотвратимых последствий сотрудники действуют без должного размышления, тем самым обеспечивая выполнение указаний киберпреступников.
Легитимный внешний вид: Злоумышленники используют собранную информацию для создания писем, стилистически и внешне неотличимых от обычной переписки с контрагентами. Например, бухгалтер может получить указание генерального директора о переводе средств, идентичное по стилю предыдущим распоряжениям.
Отсутствие вредоносного содержимого: Письма лишены ссылок и вложений, что помогает нейтрализовать антивирусные программы и другие защитные меры.
Нет проникновения в систему: Злоумышленники убеждают сотрудников проводить финансовые операции по своей воле, избегая необходимости взламывать системы. Жертвы уверены, что выполняют корректные действия, даже при возможных запросах банка относительно новых реквизитов.
Срочность и манипуляции: Под угрозой серьезных и неотвратимых последствий сотрудники действуют без должного размышления, тем самым обеспечивая выполнение указаний киберпреступников.
Как распознать компрометацию деловой электронной почты?
Существует несколько методов, с помощью которых злоумышленники убеждают жертв в подлинности их электронной почты, включая самозванство, подделку и захват учетной записи электронной почты. Умение распознать эти тактики будет жизненно важным для защиты вашей организации от компрометации деловой электронной почты.
Самозванство
Распространенная и простая тактика, при которой злоумышленник создает учетную запись электронной почты, внешне очень похожую на реальную учетную запись деловой электронной почты. Для этого в адрес электронной почты злоумышленника добавляется незаметная орфографическая ошибка или специальные символы других языков.
Эта форма компрометации деловой электронной почты основана на установлении доверительных отношений с жертвой, а не на использовании вредоносных файлов и ссылок для осуществления мошеннических переводов или сбора конфиденциальной информации.
Распространенная и простая тактика, при которой злоумышленник создает учетную запись электронной почты, внешне очень похожую на реальную учетную запись деловой электронной почты. Для этого в адрес электронной почты злоумышленника добавляется незаметная орфографическая ошибка или специальные символы других языков.
Эта форма компрометации деловой электронной почты основана на установлении доверительных отношений с жертвой, а не на использовании вредоносных файлов и ссылок для осуществления мошеннических переводов или сбора конфиденциальной информации.
Подделка электронной почты
Заключается в том, что злоумышленники подделывают домен своих фальшивых писем так, чтобы он выглядел точно так же, как домен целевой организации. Обходя стандарты аутентификации электронной почты, такие как SPF, DKIM и DMARC, злоумышленники могут подделать свои письма так, чтобы они выглядели как исходящие от легитимного домена, а не от почтового сервера злоумышленника.
Заключается в том, что злоумышленники подделывают домен своих фальшивых писем так, чтобы он выглядел точно так же, как домен целевой организации. Обходя стандарты аутентификации электронной почты, такие как SPF, DKIM и DMARC, злоумышленники могут подделать свои письма так, чтобы они выглядели как исходящие от легитимного домена, а не от почтового сервера злоумышленника.
Захват учетной записи электронной почты
Более продвинутая форма атаки, при которой злоумышленник получает доступ к учетной записи корпоративной электронной почты. Злоумышленник может получить учетные данные различными способами, например с помощью фишинга или используя имена пользователей/пароли, полученные в ходе предыдущих атак.
Используя взломанную учетную запись в качестве плацдарма, злоумышленник может провести разведку организации-жертвы, анализируя ее контакты, электронные письма и разговоры. Злоумышленник также, скорее всего, установит правила пересылки на свою собственную внешнюю почту, чтобы собирать информацию за пределами организации-жертвы.
Более продвинутая форма атаки, при которой злоумышленник получает доступ к учетной записи корпоративной электронной почты. Злоумышленник может получить учетные данные различными способами, например с помощью фишинга или используя имена пользователей/пароли, полученные в ходе предыдущих атак.
Используя взломанную учетную запись в качестве плацдарма, злоумышленник может провести разведку организации-жертвы, анализируя ее контакты, электронные письма и разговоры. Злоумышленник также, скорее всего, установит правила пересылки на свою собственную внешнюю почту, чтобы собирать информацию за пределами организации-жертвы.
Теперь злоумышленник может отслеживать новые электронные письма от партнеров и клиентов и находить сообщения, касающиеся конфиденциальной информации и финансовых операций. Обнаружив что-то интересное, злоумышленник может внедриться в переписку и под видом легитимного отправителя заставить жертву, например, поделиться конфиденциальной информацией.
Если вы обнаружили любой из этих признаков, то ваша организация может быть мишенью кибератаки, связанной с компрометацией деловой электронной почты. Анализ этих подозрительных событий станет ключом к защите ваших данных.
Защита от компрометации корпоративной электронной почты
с помощью Makves DCAP
с помощью Makves DCAP
DCAP-системы сами по себе не являются прямым решением для предотвращения ВЕС-атак, они являются частью более широкой стратегии по уменьшению рисков, связанных с кибератаками. Однако Makves DCAP помогает предотвратить инциденты, связанные с компрометацией деловой почты.
Предположим, что пароль одного из корпоративных пользователей был скомпрометирован на хакерском сайте. При этом пользователь был подключен к почтовым ящикам руководителя финансовой службы и генерального директора, содержащим конфиденциальную информацию. Получив доступ к такой учетной записи, злоумышленники могут использовать информацию переписки для дальнейших атак.
Зачастую доступ к почтовым ящикам руководителей выдается временно, например, на время отпуска руководителя. Как показывает практика, по истечении необходимого срока временный доступ забывают отключать.
Makves DCAP отображает количество подключенных пользователей к почтовому ящику. А подробная информация о подключенных пользователях отображается в карточке почтового ящика.
Таким образом, Makves DCAP помогает выявить наличие доступа к чужой почте и минимизировать риск компрометации, обеспечивая сохранение конфиденциальности переписки.
Предположим, что пароль одного из корпоративных пользователей был скомпрометирован на хакерском сайте. При этом пользователь был подключен к почтовым ящикам руководителя финансовой службы и генерального директора, содержащим конфиденциальную информацию. Получив доступ к такой учетной записи, злоумышленники могут использовать информацию переписки для дальнейших атак.
Зачастую доступ к почтовым ящикам руководителей выдается временно, например, на время отпуска руководителя. Как показывает практика, по истечении необходимого срока временный доступ забывают отключать.
Makves DCAP отображает количество подключенных пользователей к почтовому ящику. А подробная информация о подключенных пользователях отображается в карточке почтового ящика.
Таким образом, Makves DCAP помогает выявить наличие доступа к чужой почте и минимизировать риск компрометации, обеспечивая сохранение конфиденциальности переписки.
Интерфейс модуля почтового аудита
Карточка пользователя почтового ящика
Заключение
Критически важным компонентом комплексной стратегии безопасности является обеспечение надлежащей подготовки сотрудников по вопросам фишинговых писем. Административный контроль со стороны отделов, не связанных с ИТ, например, дополнительные проверки бухгалтерии/платежных ведомостей и процедуры по предотвращению мошенничества с электронными переводами, может послужить последней защитой от финансового ущерба.
Компрометация деловой электронной почты остается одной из самых дорогостоящих форм кибератак, которым подвергаются организации по всему миру. Внедряя многоуровневый подход к контролю кибербезопасности и отслеживая действия пользователей с помощью решений по автоматизации безопасности, таких как Makves DCAP, вы можете повысить уровень безопасности вашей организации и защитить своих пользователей от BEC-атак и других форм киберпреступности.
Компрометация деловой электронной почты остается одной из самых дорогостоящих форм кибератак, которым подвергаются организации по всему миру. Внедряя многоуровневый подход к контролю кибербезопасности и отслеживая действия пользователей с помощью решений по автоматизации безопасности, таких как Makves DCAP, вы можете повысить уровень безопасности вашей организации и защитить своих пользователей от BEC-атак и других форм киберпреступности.
Другие статьи:
Узнайте больше о решениях Makves
Нет времени читать?
Скачайте Whitepaper, о том как Makves DCAP помогает защитить корпоративную почту от атак