Гид по технологиям

Как остановить мошенничество через поддельные служебные письма (BEC)

7 min read Кибербезопасность Обновлено 28 Dec 2025
Защита от BEC: предотвращение мошенничества по почте
Защита от BEC: предотвращение мошенничества по почте

Электронная почта — одна из базовых форм деловой коммуникации. Почти все отрасли — от розницы и IT до недвижимости и сельского хозяйства — зависят от неё в рабочих процессах. Одновременно почта остаётся распространённым каналом для финансовых и иного вида мошенничеств. Одним из самых опасных типов таких атак является Business Email Compromise (BEC).

Что такое Business Email Compromise

всплывающее предупреждение: не открывать это письмо

Business Email Compromise (BEC) — это мошенничество, при котором злоумышленник получает доступ к корпоративному почтовому ящику или умело подделывает письма, выдавая себя за руководителя, поставщика или партнёра. Цель — выманить деньги, реквизиты для переводов, конфиденциальные документы или доступы.

Ключевые характеристики BEC:

  • Часто письмо не содержит вредоносных ссылок или вложений. Это усложняет обнаружение стандартными фильтрами.
  • Атаки выглядят как легитимная переписка: имитируются стиль и подпись реального отправителя.
  • Часто адресат получает срочную просьбу о переводе денег, смене платёжных реквизитов или передаче конфиденциальных данных.

Важно: BEC отличается от массового фишинга — здесь цель именно конкретная организация или человек, а не широкий список адресатов.

Признаки поддельного служебного письма

  • Срочность и давление: «срочно», «без обсуждения», «немедленно оплатите».
  • Новые банковские реквизиты у известного поставщика.
  • Запросы вне обычной процедуры (например, перевод от имени директора без согласования с финансовым отделом).
  • Небольшие изменения в адресе отправителя (подмена символов, похожий домен).

Как предотвратить BEC: практическое руководство

замок на экране приложения почты

Ни одна мера не даст 100% гарантии, но сочетание технических, организационных и поведенческих барьеров существенно снижает риск.

1. Включите многофакторную аутентификацию (MFA) для всех почтовых аккаунтов

MFA требует дополнительного подтверждения помимо пароля: код из приложения, аппаратный ключ или биометрия. Защитите в первую очередь аккаунты с высокими привилегиями: руководители, финансовые сотрудники, администраторы.

Короткая инструкция по внедрению:

  • Инвентаризируйте все корпоративные почтовые ящики.
  • Включите MFA на уровне провайдера электронной почты (например, Microsoft 365, Google Workspace).
  • Настройте резервные методы восстановления и безопасное хранение ключей (например, аппаратные ключи у IT-службы).

2. Обучайте сотрудников регулярно и практично

Обучение должно быть коротким, частым и практическим. Раз в квартал проводите тренировки: симулируйте BEC‑сценарии и отрабатывайте алгоритмы реагирования.

Примерные темы обучения:

  • Как проверить адрес отправителя и домен.
  • Как запросить подтверждение платежа через другой канал (телефон, мессенджер с проверенным контактом).
  • Процедуры в случае сомнений: куда сообщить, как пометить письмо.

3. Введите строгие процессы для переводов и смены реквизитов

перевод денег между банками на экране

Организуйте авторизацию переводов по принципу «разделение обязанностей» и утверждению по нескольким каналам.

Рекомендации:

  • Любая смена банковских реквизитов требует подтверждения по независимому каналу: звонок на известный номер поставщика.
  • Для переводов выше порога введите двухуровневое утверждение (например, специалист → менеджер → директор).
  • Ведите журнал всех запросов на изменение реквизитов с отметками времени и идентификацией проверяющего.

Шаблон голосовой проверки (можно записать в SOP):

  1. Перезвоните по подтверждённому номеру, не указанному в письме.
  2. Спросите код подтверждения, заранее согласованный в контракте (например, «код заказа»).
  3. Подтвердите сумму и назначение платежа.

4. Внедрите DMARC, SPF и DKIM

DMARC в сочетании со SPF и DKIM помогает уменьшить риск подделки домена и фильтрует нежелательную почту.

Шаги внедрения:

  • Настройте SPF для списка разрешённых почтовых серверов.
  • Подпишите исходящие письма DKIM‑ключом.
  • Включите DMARC с политикой мониторинга, затем постепенным ужесточением (none → quarantine → reject).

5. Мониторьте и анализируйте аномалии

  • Внедрите логирование логинов и уведомления о входах с новых устройств/локаций.
  • Настройте SIEM/корд для обнаружения нетипичных шаблонов (например, массовые пересылки, нестандартное время отправки).

Роли и чек‑листы (кто за что отвечает)

Для руководителей (С‑level)

  • Включить MFA для своего аккаунта.
  • Поддерживать политику подтверждения финансовых операций.
  • Подписать SOP по инцидентам и коммуникациям.

Для финансовой команды

  • Всегда проверять новые банковские реквизиты по независимому каналу.
  • Не проводить экстренные переводы без подтверждения по телефону или лично.
  • Вести журнал операций и хранить записи 6–12 месяцев.

Для IT/безопасности

  • Настроить и поддерживать SPF/DKIM/DMARC.
  • Внедрить мониторинг логинов и оповещения о подозрительных входах.
  • Проводить регулярные учения по реагированию на BEC.

Для всех сотрудников

  • Не делиться паролями и не использовать общий доступ к почте без контроля.
  • При сомнениях — делать паузу и сообщать в службу безопасности.

Инцидентный план и откат (шаблон действий)

  1. Обнаружение
    • Пометить подозрительное письмо, сообщить в IT/Sec.
  2. Ограничение и контроль ущерба
    • Блокировать скомпрометированный аккаунт.
    • Отключить внешние правила пересылки (forwarding).
  3. Коммуникация
    • Уведомить финансовый отдел, поставщика и руководство.
    • При необходимости — предупредить контрагентов о возможной подделке.
  4. Расследование
    • Собрать логи входов, метаданные письма, заголовки.
  5. Восстановление
    • Сбросить пароли, восстановить MFA, провести проверку прав доступа.
  6. Отчёт и улучшения
    • Провести разбор инцидента, обновить SOP и провести обучение.

Критерии завершения инцидента:

  • Аккаунт очищен и защищён MFA.
  • Приняты меры по недопущению повторения.
  • Все задействованные стороны информированы.

Когда стандартные меры могут не сработать и альтернативы

  • Ситуация: злоумышленник имеет доступ к корпоративной телефонной связи или к одобренным каналам подтверждения. В таком случае традиционная проверка по телефону не поможет. Альтернатива: введите кодовые фразы/пароли, известные только узкому кругу сотрудников, и многоступенчатую валидацию.

  • Ситуация: подмена домена выглядит на первый взгляд легитимной (например, homoglyph‑атака). Альтернатива: обучать сотрудников проверять целиком ссылку и домен в заголовках, использовать корпоративные плагины проверки домена.

  • Модель принятия решений (хорошая эвристика): «Если запрос меняет денежный поток — переключаемся на независимый канал подтверждения и включаем минимум двух людей в процесс принятия решения.»

Матрица рисков и меры

РискВероятностьВлияниеМеры смягчения
Компрометация почтового ящика менеджераСредняяВысокоеMFA, мониторинг логинов, быстрый инцидентный план
Подмена реквизитов поставщикаСредняяВысокоеПодтверждение по независимому каналу, журнал изменений
Массовые фишинг‑рассылкиВысокаяСреднееDMARC/SPF/DKIM, тренинги сотрудников
Утечка внутренних процедурНизкаяСреднееОграничение прав доступа, классификация данных

Краткий глоссарий

  • BEC: мошенничество через деловую почту.
  • MFA: многофакторная аутентификация.
  • DMARC/SPF/DKIM: протоколы, уменьшающие подделку исходящих писем.
  • SOP: стандартная операционная процедура.

Критерии приёмки

  • Все критические почтовые аккаунты защищены MFA.
  • DMARC настроен в политике не менее quarantine в тестовом режиме и план перехода на reject.
  • Процедуры подтверждения переводов задокументированы и доступны.
  • Проведено как минимум одно учение по BEC и исправлены обнаруженные пробелы.

Часто задаваемые вопросы

Можно ли полностью заблокировать BEC?

Полностью исключить BEC невозможно, но сочетание технических, организационных и обучающих мер снижает вероятность успешной атаки до минимальной.

Какие каналы лучше использовать для подтверждения перевода?

Используйте заранее верифицированные номера телефонов, личные встречи или видеозвонки через корпоративные аккаунты. Не полагайтесь на контактные данные, указанные в подозрительной почте.

Нужен ли DMARC, если уже есть антивирус и спам‑фильтр?

Да. DMARC уменьшает подделку домена и работает на другом уровне — предотвращает имитацию отправителя, тогда как спам‑фильтры ориентированы на содержание.

Итог

BEC — это целенаправленная угроза, которая эксплуатирует доверие и процессы компании. Технические защиты (MFA, DMARC), строгие регламенты по переводам и регулярное обучение сотрудников создают надёжные барьеры. Действуйте по принципу «предотвратить — обнаружить — реагировать» и поддерживайте процедуру инцидентного реагирования в актуальном состоянии.

аннотация: защита почты и процессы в компании

Короткие шаги для старта: включите MFA для всего критичного, настройте DMARC, опишите процедуру подтверждения переводов и проведите тренировку для ключевых сотрудников.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Управление службами systemd через systemctl
Linux

Управление службами systemd через systemctl

Исправление ошибки доступа к файлу в Windows
Windows

Исправление ошибки доступа к файлу в Windows

Spatialize Stereo на AirPods — 3D‑звук на iPhone и Mac
Аудио

Spatialize Stereo на AirPods — 3D‑звук на iPhone и Mac

Как подключить Bluetooth‑наушники к Windows
How-to

Как подключить Bluetooth‑наушники к Windows

Добавление подарочной карты Amazon
How-to

Добавление подарочной карты Amazon

Как стать лучше в соревновательных играх
Гейминг

Как стать лучше в соревновательных играх