Business Email Compromise: атака, от которой нет защиты

Киберпреступники изобрели множество вариантов кибератак, отличающихся по сложности технической реализации и эффективности. Среди них особое место занимает атака, которая удивительна своей технической простотой и результативностью, — Business Email Compromise (BEC), или атака с использованием компрометации деловой переписки. Она не требует глубоких технических знаний, имеет высочайшую эффективность, защититься от неё традиционными средствами практически невозможно. По данным ФБР ущерб от таких атак в 2018 году составил более 1,2 млрд долларов США.

Отец Боб Стек из прихода Святого Амвросия в Брансуике, шт. Огайо, был неприятно удивлён, когда ему позвонила компания-подрядчик Marous Brothers Construction, проводившая ремонт и реставрацию здания церкви и поинтересовалась, почему уже в течение двух месяцев не поступает предусмотренная договором оплата. Поскольку отец Боб знал, что деньги перечислялись, он уточнил реквизиты получателя и обнаружил, что платежи уходили не подрядчику, а неизвестным мошенникам. Два месяца назад они прислали от имени Marous Brothers Construction письмо о смене реквизитов. Сотрудники прихода скорректировали номер счёта получателя и в течение двух месяцев отправляли туда оплату за работы. Сумма ущерба составила 1,75 млн долларов США.

Отец Боб Стек обратился в ФБР. В процессе расследования выяснилось, что неизвестные хакеры незадолго до атаки подобрали пароли к почтовым ящикам двух сотрудников прихода, изучили их переписку с подрядчиками, после чего сочинили убедительное письмо от крупнейшего из них, Marous Brothers Construction. Оформление, обратный адрес и все остальные атрибуты были скопированы из старой переписки, поэтому сомнений в их подлинности не возникло. В результате деньги утекли в неизвестном направлении, причём отправили их ничего не подозревающие сотрудники.

Приход отца Боба и он сам стали жертвой BEC-атаки.

Как устроена атака BEC

BEC — это афера, ориентированная главным образом на компании, работающие с иностранными поставщиками, а также предприятия, которые регулярно проводят безналичные платежи. Атака начинается со сбора информации о компании: сведения о руководителях и бухгалтерах, выполняющих платежи, адреса электронной почты сотрудников, данные о контрагентах. С помощью фишинга или вредоносных программ преступники компрометируют учётные записи электронной почты руководителя, финансистов и бухгалтеров, изучают переписку с контрагентами. Их задача — выяснить, каким образом происходят финансовые транзакции, кто запрашивает перевод, кто его подтверждает и кто непосредственно выполняет.

Когда необходимая информация собрана, мошенники действуют по одной из следующих схем:

Фиктивные счета-фактуры

Выяснив детали взаимоотношений компании с поставщиками, мошенники присылают от имени одного из них письмо о смене реквизитов. Сотрудники бухгалтерии корректируют информацию в финансовых документах и пересылают деньги преступникам. Жертвой этой схемы стал приход Святого Амвросия.

Распоряжение лжеруководителя

Используя скомпрометированный почтовый ящик, мошенники направляют в финансовое подразделение письмо от имени генерального директора или другого руководителя, уполномоченного проводить денежные операции. В послании содержится требование срочно перевести деньги на указанный счёт под каким-либо убедительным предлогом.

Письма от лжебухгалтера

Мошенники направляют контрагентам компании письма о смене реквизитов со скомпрометированного е-мейла сотрудника финансового подразделения. Получив сообщение, контрагенты вносят исправления и начинают перечислять деньги мошенникам.

Лжеюрист

Мошенники направляют контрагентам компании письма о смене реквизитов со скомпрометированного е-мейла сотрудника финансового подразделения. Получив сообщение, контрагенты вносят исправления и начинают перечислять деньги мошенникам.

Причины эффективности BEC-атак

• Социальная инженерия. Письма отправляются под конец рабочего дня или в канун праздников, когда сотрудники торопятся домой. Тексты писем готовятся с учётом особенностей взаимоотношений отправителя и получателя.
• Легитимный внешний вид. Мошенники применяют собранную информацию для разработки уникального письма, которое по стилю и оформлению будет неотличимо от привычной для сотрудников переписки с контрагентами. Например, бухгалтер может получить указание генерального директора о переводе средств, которое выглядит в точности как аналогичные распоряжения.
• В отличие от фишинг-мошенничества, электронные письма, используемые в BEC, отправляются в единичном экземпляре с легитимных ящиков и не попадают в спам.
• Отсутствие вредоносного содержимого. Письма BEC-мошенников не содержат ссылок и вложений, поэтому их спокойно пропускают антивирусы и другие защитные решения.
• Нет проникновения в систему. Сотрудники переводят деньги по доброй воле, поскольку уверены, что делают всё правильно. Мошенникам не приходится изучать платёжные системы и получать доступ к ним. Даже если банк задаст вопрос относительно новых реквизитов, жертвы дадут необходимые разъяснения и даже приложат усилия, чтобы сделать платёж максимально быстро, а при необходимости — конфиденциально.
• Срочность и другие манипулятивные усилители. Необходимость срочно решить какую-то проблему под угрозой серьёзных и неотвратимых последствий отключает критическое мышление сотрудников, и они выполняют действия, к которым их подталкивают киберпреступники.

Причины эффективности BEC-атак

Приход Святого Амвросия не стал требовать возмещение ущерба со своих сотрудников, однако далеко не все компании, ставши жертвами BEC, настолько снисходительны. Например, медиакомпания из Шотландии предъявила к своей бывшей сотруднице, выполнившей денежные переводы BEC-мошенникам, иск на сумму 108 тысяч фунтов стерлингов за то, что она проигнорировала предупреждение из банка о мошенническом характере перевода.

Впрочем, устрашение персонала вряд ли можно всерьёз рассматривать в качестве эффективной меры защиты от BEC-атак. По-настоящему действенным будет сочетание организационных и технических мероприятий.

Причины эффективности BEC-атак

1. Обучить сотрудников внимательно проверять каждое письмо, если оно касается денежных переводов или других значимых распоряжений от высшего руководства. Особое внимание уделять срочным и конфиденциальным письмам.
2. Проводить тренировки сотрудников по распознаванию BEC-атак. ИБ-подразделения должны научить каждого сотрудника принципам выявления скомпрометированных писем.
3. В обязательном порядке проверять все письма и запросы финансового характера. Если поставщик прислал уведомление о смене реквизитов, перезвонить ему и убедиться в том, что документ настоящий, причём использовать для звонка номер телефона с официального сайта компании или из договора, а не из полученного письма.

Причины эффективности BEC-атак

Поскольку BEC-письма не содержат ссылок, вложений и, как правило, не имеют типичных признаков вредоносных писем, традиционные защитные решения не справляются с их выявлением. Помочь тут может комплексная защита для электронной почты с использованием искусственного интеллекта и машинного обучения.

В Trend Micro мы используем ИИ-инструмент, получивший название Expert System. Он имитирует процесс принятия решения специалистом по безопасности. Для этого система оценивает провайдера, от которого отправлено письмо, сопоставляет адрес электронной почты отправителя с действительным адресом организации. Если письмо пришло от руководителя организации, производится проверка наличия такого руководителя в штатном расписании, а также его доступность по контактным данным.

На следующей стадии экспертная система выполняет контент-анализ содержимого электронного письма, выявляя намерения отправителя на предмет характерных для BEC-писем факторов — срочности, важности и требований выполнить финансовые действия. Результаты анализа передаются в систему машинного обучения.

Выявление автора письма среди руководителей компании Enron

Если в письме не выявлено ничего подозрительного, в дело вступает система анализа стиля текста — Writing Style DNA («ДНК стиля письма»). Эта разработка Trend Micro использует систему машинного обучения, чтобы сравнить послание руководителя или контрагента с его предыдущими сообщениями. Writing Style DNA использует более 7 тысяч характеристик сообщения для выявления уникального стиля отправителя. В их числе использование заглавных букв в словах и знаков препинания, длина предложений, излюбленные слова и выражения и многое другое.

Для создания модели стиля искусственному интеллекту требуется проанализировать от 300 до 500 ранее отправленных писем. Важный момент: для защиты конфиденциальности ИИ извлекает только метаданные, характеризующие стиль отправителя, но не сам текст.

Что в итоге

Компрометация деловой переписки отличается от обычных атак минимальной технологичностью. Успех BEC-атак напрямую зависит от качества собранной информации и работы социальных инженеров. Фактически эти атаки ближе к обычному «офлайновому» мошенничеству, что и обуславливает сложность противодействия им с помощью традиционных технических решений.

Успешно выявлять и блокировать BEC-атаки позволяет использование защитных систем на базе машинного обучения и искусственного интеллекта в сочетании с обучением сотрудников и другими организационными мероприятиями.