Хакеры пользуются массовой работой из дома, чтобы грабить компании

Киберпреступники выдают себя за руководителей компании, чтобы заставить сотрудников делать денежные переводы на свои реквизиты

Мошенники тщательно изучают и долго наблюдают за своими потенциальными жертвами и их организациями в течение нескольких месяцев. Киберпреступники отслеживают поведение сотрудников и предстоящие сделки. Главные цели –– акции, венчурный капитал и бухгалтерия

Исследователи Check Point сообщают, что массовый переход на работу из дома мотивирует хакеров на кражи через банковские переводы. Так как все пользуются электронной почтой для своей работы, хакеры используют мошенничества в корпоративной переписке, или, как это еще называют, BEC (Business Email Compromise)-мошенничества.

Дословно BEC переводится как "компрометация деловой электронной почты", и является разновидностью мошеннических схем, которые используют электронные переводы. Обычно BEC начинается с киберпреступников, которые взламывают корпоративную почту и подделывают электронные письма, чтобы выдать себя за одного из топ-менеджеров компании, обычно генерального или финансового директора.

Иногда хакеры притворяются поставщиками. Оказавшись внутри корпоративной сети, киберпреступник запрашивает, казалось бы, законную оплату. Письмо выглядит очень правдоподобно, и кажется, что оно получено от руководителя, поэтому сотрудник подчиняется. Как правило, злоумышленники запрашивают перевод денег или чеки на хранение. Не зная об этом, сотрудник переводит средства на выбранный банковский счет, который принадлежит хакерам.

В случае BEC-атак злоумышленники используют тактику социальной инженерии, чтобы обмануть ничего не подозревающих сотрудников и руководителей. Как уже было сказано, они имитируют роль генерального директора или любого другого руководителя, уполномоченного делать или запрашивать электронные переводы. Кроме того, мошенники тщательно исследуют поведение и долго наблюдают за своими потенциальными жертвами и их компаниями, отслеживая все предстоящие сделки.

Обычно подобные аферы осуществлялись одним человеком. Однако в последнее время исследователи Check Point отмечают, что эти мошенничества становятся все более изощренными, и классифицируют их как организованную преступность. В апреле 2020 года исследователи Check Point опубликовали статью о том, как они раскрыли схему, в которой кибер-банда, которую исследователи назвали "флорентийским банкиром", выручила 1,3 миллиона долларов между тремя частными акционерными компаниями. В течение нескольких месяцев члены группы изучали электронные письма своих жертв, манипулируя корреспонденцией, регистрируя похожие домены и сразу обналичивая деньги. Экстренное вмешательство Check Point Incident Response привело к взысканию чуть более половины украденной суммы, оставшаяся часть была потеряна навсегда.

Главные цели киберпреступников – акции, венчурный капитал и бухгалтерия

Исследователи считают, что коммерческие организации и венчурные компании являются основными целями BEC-атак, поскольку хакеры знают, что крупные организации часто переводят значительные денежные суммы. Поэтому этим организациям нужно хорошо понимать, как именно хакеры могут ими воспользоваться. Какие этапы можно выделить в подобной атаке?

Наблюдение. После того, как злоумышленники получат контроль над учетной записью электронной почты жертвы, они начнут читать электронные письма. Киберпреступники могут проводить дни, недели или даже месяцы, занимаясь разведкой, терпеливо составляя карту бизнес-схем и стандартных процедур, прежде чем активно вмешаться в общение

Контроль и изоляция. Злоумышленники начинают изолировать жертву от третьих лиц и коллег, создавая вредоносные правила почтовых ящиков. Эти правила электронной почты перенаправляют любые электронные письма с отфильтрованным содержимым или темами в папку, отслеживаемую хакерами, по сути создавая атаку "человек посередине".

Схожая настройка. Злоумышленники регистрируют похожие домены, те, которые визуально похожи на легитимные домены лиц, участвующих в той переписке, которую они хотят перехватить. Злоумышленник начинает отправлять электронные письма с похожих доменов. Они либо создают новый диалог, либо продолжают существующий, тем самым обманывая цель, полагая, что источник сообщения является законным.

Запрос на перевод денег. Злоумышленники начинают вводить информацию о своем банковском счете с помощью двух методов:

Перехват обычных, законных переводов

Создание новых запросов на банковский перевод

Перевод денег. Киберпреступники контролируют переписку, пока третье лицо не утвердит новые банковские реквизиты и не подтвердит транзакцию. Если банк отклоняет транзакцию из-за несоответствия в валюте счета, имени получателя или по любой другой причине, злоумышленники стараются максимально быстро исправить все ошибки, пока деньги не попадут в их собственные руки.

"Мы находимся в разгаре массового изменения парадигмы хакерской активности. Хакеры используют все преимущества от того, что большая часть людей сейчас работает из дома. Мы рассматриваем BEC-мошенничества как часть этой широкой тенденции, –– отмечает руководитель группы по анализу угроз Check Point Лотем Финкелстин. –– Если вы работаете, руководите или владеете бизнесом или организацией, особенно той, которая достаточно известна и переводите большие суммы денег, вы должны знать, что вы являетесь целевым объектом для подобных атак. Когда вы работаете из дома, кто-то может контролировать и манипулировать каждым вашим электронным письмом, особенно если вы тот самый человек в компании, который отвечает за денежные транзакции. Мы чувствуем себя обязанными информировать бизнес, особенно финансовые учреждения, о таком мошенничестве и о том, как они могут оставаться в безопасности. Мы ожидаем, что в 2020 году и в будущем у злоумышленников будет больше возможностей, учитывая складывающуюся культуру работы из дома".

Вот несколько советов, как защитить организацию от BEC-атак:

Включите многофакторную аутентификацию для учетных записей деловой почты. Этот тип аутентификации требует ввода нескольких частей информации для входа в систему, например, таких как пароль. Внедрение многофакторной аутентификации затрудняет доступ к электронной почте сотрудников киберпреступнику.

Не открывайте электронные письма от неизвестных отправителей. Если вдруг случайно вы это сделали, не нажимайте на ссылки и не открывайте вложения, поскольку они часто содержат вредоносные программы, которые получают доступ к вашей системе.

Дважды проверьте адрес электронной почты отправителя. Поддельный адрес электронной почты часто выглядит очень похоже на адрес электронной почты коллег или партнеров.

Всегда проверяйте требование перевода перед отправкой денег или данных. Разработайте стандартную рабочую процедуру для сотрудников, чтобы подтверждать запросы по электронной почте для банковского перевода или конфиденциальной информации.

Выбирайте опцию "переслать", а не "отвечать", отвечая на деловые письма. При пересылке электронного письма правильный адрес должен быть введен вручную или выбран из адресной книги. Переадресация гарантирует, что вы используете правильный адрес электронной почты получателя.