Как защититься от мошенничества BEC — компрометация деловой почты
Коротко и по делу: атаки BEC используют поддельные или взломанные корпоративные почтовые ящики, чтобы заставить сотрудников перевести деньги или раскрыть данные. Внедрите MFA, настройте SPF/DKIM/DMARC, отработайте процедуры для платежей и обучите персонал — это значительно снижает риск.
Электронная почта стала основным каналом деловой коммуникации. Практически все отрасли используют её для согласований, счетов и договора. Вместе с этим выросла и роль почты в кибератаках. Одной из наиболее опасных схем остаются BEC атаки, когда злоумышленник выдает себя за сотрудника или партнера и добивается от компании перевода средств или доступа к конфиденциальным данным.
Что такое компрометация деловой почты BEC
BEC — это мошенничество, при котором злоумышленник получает контроль над корпоративным почтовым ящиком или подделывает адрес отправителя и отправляет запросы, похожие на легитимные. Цель обычно простая: перевести деньги, поменять реквизиты поставщика, получить доступ к конфиденциальным документам или учетным данным.
Ключевая сложность BEC в том, что такие письма часто не содержат явных признаков фишинга. В них может не быть вредоносных вложений и ссылок, поэтому базовые спам-фильтры и проверки ссылок не всегда срабатывают.
Краткое определение терминов
- MFA: многофакторная аутентификация. Требует второй формы подтверждения помимо пароля.
- DMARC, SPF, DKIM: протоколы проверки подлинности отправителя почты.
Основные способы предотвращения BEC
Ни одна мера не дает 100% гарантии. Но совокупность простых и проверенных практик делает атаки малоприбыльными для злоумышленников. Ниже — набор действий от срочных до стратегических.
1. Включите многофакторную аутентификацию для всех корпоративных почт
MFA снижает риск несанкционированного доступа, поскольку для входа злоумышленнику нужен не только пароль, но и второй фактор — код из приложения, аппаратный ключ или SMS (хотя SMS слабее). Включите MFA для всех сотрудников и обязательно для высокорисковых ролей: финансового отдела, руководства, админов.
Подсказка безопасности: используйте приложения-генераторы кодов или аппаратные ключи вместо SMS, когда это возможно.
2. Обучайте сотрудников распознавать BEC
Человеческий фактор часто решает исход инцидента. Обучение должно включать простые правила:
- подозрительные запросы на перевод денег требуют подтверждения устно;
- изменения реквизитов поставщика проверять по старым контактам;
- любой запрос о срочности или давлении должен вызывать дополнительную верификацию;
- проверяйте адрес отправителя полностью, а не только отображаемое имя.
Регулярно проводите имитации атак и короткие практические тесты с последующим разбором ошибок.
3. Введите строгие процедуры при проводках и платежах
Определите чёткие правила для всех финансовых операций:
- двух- или трёхэтапная авторизация платежей выше порога;
- обязательная верификация любого запроса на изменение банковских реквизитов через ранее известный канал связи;
- ограничение прав на создание и утверждение платежей по ролям;
- журналирование всех действий по платежам и регулярные аудиты.
Важно: подтверждения по номерам, указанным в письмах, не считаются достаточными.
4. Настройте SPF, DKIM и DMARC
SPF и DKIM помогают удостовериться, что письмо пришло с разрешённого сервера. DMARC объединяет эту информацию и задаёт политику обработки подозрительных писем. Здесь несколько рекомендаций:
- начните с режима мониторинга (none), собирайте отчёты;
- анализируйте отчёты и устраняйте ложные срабатывания;
- перейдите к политике quarantine или reject, когда уверены в корректности настроек.
Эти протоколы уменьшают вероятность подмены домена отправителя и помогают защитить брендинг компании.
5. Минимизируйте права и улучшите отслеживаемость
Принцип минимальных привилегий снижает вред от взломанного аккаунта. Отключайте автоматическое пересылание почты на внешние адреса и включайте логирование входов и событий в почтовых сервисах. Храните журналы не менее времени, необходимого для расследований.
Дополнительные меры и альтернативные подходы
- Ограничьте доступ к каталогу сотрудников и контактам внешних партнёров.
- Используйте инструмент защиты от подмены писем на стороне почтового шлюза.
- Внедрите DLP для финансовых писем и документов с реквизитами.
- Внедряйте Zero Trust принципы при доступе к корпоративным приложениям.
Когда перечисленные меры могут не сработать
- сотрудник сознательно нарушил процедуру;
- злоумышленник получил контроль над корпоративным телефоном или аппаратным ключом;
- атака опирается на инсайдерскую информацию.
В таких случаях необходима комбинация юридических, HR и технических мер.
Важно
Даже одна успешная BEC атака может привести к крупным потерям. Отрабатывайте сценарии и реагирование заранее.
Пошаговый план действий при подозрении на BEC
- Немедленно изолируйте скомпрометированный ящик и смените пароли. Отключите внешние пересылки.
- Сообщите в ИТ и в финансовую службу. Зафиксируйте время и содержание подозрительных писем.
- Приостановите все связанные операции, особенно платёжные заявки выше порога.
- Свяжитесь с банком и партнёрами через ранее известные каналы.
- Запустите расследование, сохраните логи и почтовые заголовки.
- Сообщите пострадавшим и при необходимости обратитесь в правоохранительные органы.
Критерии приёмки расследования
- подтверждён источник компрометации или отказ в подтверждении;
- восстановлены доступы и внедрены дополнительные защиты;
- доступны журналы для анализа за период инцидента;
- обновлён и распределён обновлённый регламент действий.
Дерево решений для первичной проверки (Mermaid)
flowchart TD
A[Получено подозрительное письмо] --> B{Запрос на перевод или изменение реквизитов?}
B -- Да --> C{Срочность/давление в тексте?}
B -- Нет --> G[Отметить как подозрительное, проанализировать заголовки]
C -- Да --> D[Подтверждение по известному телефону]
C -- Нет --> E[Проверка адреса отправителя и DMARC отчётов]
D --> F{Подтверждено устно?}
F -- Да --> H[Разрешить после оформления всех процедур]
F -- Нет --> I[Отказать и инициировать расследование]
E --> I
G --> IРолевые чеклисты
| Роль | Что обязан делать | Частота | Критичность |
|---|---|---|---|
| Финансы | Проверять все изменения реквизитов, требовать устных подтверждений | При каждом платеже | Высокая |
| ИТ | Включить MFA, мониторинг логов, отключить пересылки | Постоянно | Высокая |
| Руководство | Поддерживать регламенты и обучение | Ежеквартально | Средняя |
| HR | Проводить обучение сотрудников, фиксировать инсайдерские риски | Полугодно | Средняя |
Матрица рисков и смягчения
| Риск | Вероятность | Последствия | Меры смягчения |
|---|---|---|---|
| Взлом почты рядового сотрудника | Средняя | Средние | MFA, обучение, мониторинг |
| Подмена адреса руководителя | Средняя | Высокие | SPF/DKIM/DMARC, проверка по телефону |
| Инсайдерская угроза | Низкая | Очень высокие | Контроль прав, аудит, DLP |
1-строчный глоссарий
- BEC: мошенничество с деловой почтой для получения денег или данных.
- MFA: подтверждение личности через несколько факторов.
- DMARC: политика для проверки подлинности отправителя почты.
Контрольные тесты и приёмка
- Отправить фальшивую заявку на изменение реквизитов в тестовой среде и убедиться, что процесс останавливается без устного подтверждения.
- Проверить отчёты DMARC в мониторинговом режиме в течение месяца и устранить ложные срабатывания.
- Провести учение с имитацией BEC раз в полгода.
Короткое резюме
Атаки BEC остаются эффективным и опасным вектором мошенничества, так как они эксплуатируют доверие и организационные слабости. Комплексный подход — технические средства, регламенты и обучение — существенно уменьшают вероятность успеха таких атак. Начните с MFA и настройки почтовых протоколов, отработайте платежные процедуры и регулярно тестируйте сотрудников.
Примечание: планируйте регулярные проверки, фиксируйте улучшения и обновляйте регламенты по мере развития угроз.
Похожие материалы
Звонки и сообщения iPhone на Mac — настройка
Как сделать рождественскую открытку в Canva
Как увидеть и выйти из списков X
PowerToys: Mouse Without Borders и Peek в Windows 11
Luminar Share: беспроводная передача фото
