Атаки с использованием электронной почты остаются одним из самых популярных методов на сегодняшний день. Почтовые сервисы очень распространены, а злоумышленники через них используют главную уязвимость — человеческий фактор. О самых ярких кейсах BEC-атак и способах защиты от них рассказал Артём Избаенков, директор по развитию направления кибербезопасности EdgeЦентр.

Почему почта остается самым распространенным вектором атаки? Только ли дело в простоте этого способа? Какие еще причины побуждают киберпреступников атаковать email сотрудников?

— Почта остаётся одним из самых распространенных векторов атаки по нескольким причинам:

1. Широкое распространение. Почтовые сервисы используются миллионами пользователей, включая сотрудников компаний, что делает этот вектор атаки выгодным для киберпреступников, так как они могут потенциально добраться до большой аудитории.

2. Недостатки человеческого фактора. Даже при развитии технических мер безопасности, человеческий фактор остается уязвимостью в системах. Киберпреступники могут использовать тактики социальной инженерии для обмана пользователей и убедить их выполнять опасные действия, такие как открытие вредоносных вложений или переход по ссылкам на фишинговые страницы.

3. Успешные методы атак. Киберпреступники часто используют продуманные методы атак: спам, фишинг, бизнес-мошенничество и распространение вредоносных вложений, которые могут быть довольно эффективными. Особенно, если пользователи не обладают достаточными знаниями о безопасности информации.

4. Комплексность защиты. Защита от атак по электронной почте может быть сложной задачей, поскольку атаки постоянно эволюционируют. Несмотря на использование антивирусных программ, фильтров спама и других технических мер, всё ещё существуют способы обхода такой защиты.

5. Выгодность для киберпреступников. Успешные атаки могут принести киберпреступникам значительную выгоду, включая доступ к конфиденциальным данным, финансовым ресурсам и интеллектуальной собственности.

6. Атаки на компании и государственные структуры. В случае атак на компании или государственные учреждения, электронная почта – удобный способ проникновения для получения ценной информации и нанесения ущерба организации.

Пользователи и организации должны принимать соответствующие меры безопасности, чтобы минимизировать риски и обезопасить свои системы от потенциальных угроз. Это может включать: обучение сотрудников о безопасности, использование современных антивирусных программ и фильтров, а также строгую политику безопасности для работы с электронной почтой.

Какие кейсы BEC-атак за последние 10 лет вы считаете наиболее показательными? И почему?

• Кейс компании Nikkei Inc. (2020). Атака на японскую компанию Nikkei Inc. по предположению была осуществлена киберпреступной группировкой Lazarus. Злоумышленники скомпрометировали электронную почту компании, чтобы перехватить коммуникации с подразделениями и партнёрами компании, а также для распространения вредоносных программ.

• Кейс компании FACC AG (2020). Китайская хакерская группа APT41, известная также как Winnti, была обвинена в атаке на австрийского производителя авиационных компонентов FACC AG. В результате этой атаки злоумышленники украли около 50 миллионов евро.

• Кейс компании Honda (2020). В июне 2020 года японский автопроизводитель Honda столкнулся с кибератакой, которая привела к приостановке производства на несколько дней в некоторых из его заводов. Атакующие использовали вредоносное программное обеспечение, которое распространялось через внутреннюю электронную почту.

• Кейс компании Garmin (2020). В июле 2020 года атакующие использовали фишинговую атаку, чтобы получить доступ к корпоративной сети производителя навигационного оборудования Garmin. В результате атаки была нарушена работа онлайн-сервисов компании, включая Garmin Connect, что затронуло миллионы пользователей.

• Кейс компании Ubiquiti Networks (2015). В этом случае злоумышленники подделали электронную почту главного исполнительного директора компании и отправили письмо финансовому отделу с просьбой осуществить перевод средств на иностранный банковский счёт. Компания потеряла около 46,7 миллионов долларов в результате этой атаки.

• Кейс компании Mattel (2015). Злоумышленники обманули финансовый отдел компании Mattel, мирового лидера в производстве игрушек, и внесли изменения в информацию о поставщиках, чтобы перенаправить платежи на свои счета. В результате компания потеряла около 3 миллионов долларов.

• Кейс компании Leoni AG (2016). Киберпреступники использовали фишинговые письма, чтобы узнать реквизиты банковских счетов компании Leoni AG, немецкого производителя проводов и кабелей. В итоге было украдено более 40 миллионов евро.

• Кейс киберпреступной группировки «London Blue». Эта группировка активно вела BEC-атаки с 2017 года. Они специализировались на атаках на компании, которые работают с поставщиками из-за рубежа. Группировка организовала сеть компрометированных аккаунтов электронной почты и использовала её для финансовых мошенничеств на сумму более 100 миллионов долларов.

• Кейс компании Nikkei Inc. (2019). Злоумышленники взломали электронные почтовые ящики сотрудников японской компании Nikkei и отправили фальшивые счета клиентам на более чем 29 миллионов долларов. Они также отправили фальшивое сообщение журналистам с дезинформацией о компании.

Все эти кейсы демонстрируют разнообразие методов, как мошенники используют электронную почту. BEC-атаки продолжают развиваться и приспосабливаться, что делает их значительной угрозой для бизнеса. Эти примеры подчеркивают необходимость обучения сотрудников и применения эффективных мер безопасности для защиты от таких атак.

Какие технические решения и методы сегодня максимально защищают бизнес от кибератак через корпоративные email? Какие стоит рассмотреть на будущее?

— Существует несколько технических решений и методов, которые могут максимально защитить бизнес от кибератак через корпоративные электронные почтовые аккаунты.

Вот некоторые из них:

1. Двухфакторная аутентификаций (2FA). Пользователи должны предоставить два отдельных способа идентификации – пароль и одноразовый код – существенно повышает безопасность доступа к аккаунтам электронной почты.

2. Фильтрация вредоносных сообщений. Использование антивирусных и антиспамовых фильтров помогает выявить и блокировать письма и спам, которые могут содержать вредоносные вложения или ссылки.

3. Системы предотвращения вторжений (IPS) и системы предотвращения утечки данных (DLP). IPS и DLP помогают обнаруживать и блокировать попытки несанкционированного доступа к системе электронной почты и предотвращать утечку конфиденциальной информации.

4. Обучение сотрудников. Обучение пользователей основам кибербезопасности, включая распознавание фишинговых писем, спама и других киберугроз, поможет снизить риск ошибок, связанных с человеческим фактором.

5. Защита от подделки домена (DMARC). DMARC позволяет отправителям устанавливать политики проверки подлинности для своих доменов, что помогает предотвратить подделку адресов электронной почты и уменьшить риск фишинговых атак.

6. Мониторинг и анализ. Системы мониторинга активности на электронной почте и анализ трафика помогают выявлять аномальную активность и подозрительные события, что может свидетельствовать о попытках вторжения или атаках.

7. Защита от фишинга с искусственным интеллектом. Продвинутые системы искусственного интеллекта и машинного обучения могут помочь выявлять более сложные и утончённые фишинговые атаки.

На будущее стоит рассмотреть инновационные методы защиты, такие как: квантовая криптография, распознавание поведения пользователей с использованием искусственного интеллекта, а также дальнейшее развитие автоматизированных систем для борьбы с киберугрозами. Постоянное обновление систем, защитных мер и следование лучшим практикам кибербезопасности поможет бизнесам оставаться защищёнными от постоянно меняющихся угроз.

Какие отечественные решения для защиты от BEC-атак сейчас есть на рынке?

— В России есть множество программ, защищающие от атак через email. В первую очередь это различные антивирусные системы. Они довольно хорошо известны на рынке и применяются многими компаниями.

Другие решения, которые я называл выше, тоже представлены на отечественном рынке. Наша компания EdgeЦентр, например, предоставляет комплексную защиту от кибератак, которая в частности может помочь и от BEC-атак. При этом система может использоваться как непосредственно против атаки, так и не позволять злоумышленникам провести подготовку к ней. Например, один из компонентов системы, антибот, умеет блокировать ботов, собирающих информацию, которую злоумышленники в последствии могут использовать для социального индиниринга.