Исследователи зафиксировали новую волну мошеннических атак, мишенями которых становятся крупные предприятия — в основном из США. Рассылая поддельные письма, злоумышленники вынуждают жертв совершать электронные денежные переводы на сторонние счета.

Как сообщают эксперты, инициаторы целевых рассылок базируются в Нигерии, а в качестве мишеней выбирают компании, работающие в области розничной торговли, здравоохранения или финансовых услуг.

На прошлой неделе IBM X-Force опубликовала отчет, где подробно осветила текущие атаки с компрометацией бизнес-почты, они же BEC-атаки (от английского Business Email Compromise). По словам ИБ-специалистов, новая мошенническая кампания подтверждает тенденцию к возрастанию сложности BEC-атак, заметно участившихся как минимум с осени 2017 года. При этом ущерб от одного нападения иногда исчисляется миллионами долларов.

Как сказано в отчете X-Force, «хотя сами по себе мошеннические BEC-схемы не новы, интерес представляют описанные здесь примеры использования украденных учетных данных электронной почты и изощренных тактик социальной инженерии, благодаря которым злоумышленники обманывали бизнес-пользователей, не компрометируя корпоративные сети».

Атаки, основанные преимущественно на фишинге и социальной инженерии, привлекают киберпреступников своей относительной простотой. Для кражи достаточно захватить или подделать учетную запись доверенного пользователя, имеющего отношение к подходящей компании — то есть компании, которая осуществляет международные денежные переводы в электронном виде.

Недавние BEC-атаки осуществлялись именно так: вначале злоумышленники рассылали фишинговые письма сотням получателей внутри компании и за ее пределами. На этом этапе они стремились получить доступ к учетным данным какого-нибудь пользователя.

Чтобы письма выглядели правдоподобно, мошенники включали в них какие-нибудь сведения о нужной компании, находящиеся в открытом доступе. В каждом письме содержалась ссылка, похожая на вложенный деловой документ, которая направляла жертву на поддельный портал DocuSign. Пользователь видел просьбу удостоверить личность, введя свои учетные данные, — но после ввода данные поступали преступнику.

Ни электронная почта, ни поддельная страница DocuSign не загружали на компьютер пользователя вредоносные программы, поэтому традиционным средствам обнаружения угроз и спам-фильтрам нечего было засекать.

«Поскольку учетные данные Office 365 пользователя не были защищены мультифакторной аутентификацией, атакующие получили возможность напрямую войти в учетную запись — не понадобились даже бреши во внутренней сети компании. После этого мошенники создали правила обработки входящей почты, удалявшие письма с определенными словами в теме или в самом сообщении, а также письма от определенных отправителей», — рассказал в интервью Threatpost Шон Кавано (Sean Cavanaugh), старший специалист по ответу на инциденты в IBM X-Force.

Получив доступ к учетным данным пользователей, атакующие переходили на веб-порталы корпоративной электронной почты. Наблюдая за тем, какие письма пишут и получают владельцы скомпрометированных ящиков, они выявляли сотрудников, работающих с финансами и имеющих право выполнять денежные переводы.

«Злоумышленники не только проводили тщательную разведку, но и умно вели себя, выманивая деньги. Они притворялись своими жертвами, находили и подделывали внутреннюю документацию, необходимую для проведения денежных переводов согласно политикам компании, а также настраивали многочисленные домены и учетные записи электронной почты, чтобы выдавать себя за руководителей более высокого уровня, — говорится в отчете X-Force. — Атакующие заставляли жертву поверить в реальность ситуации, а также создавали впечатление, что меры необходимо принять срочно. Таким образом им удалось украсть миллионы долларов».

Чтобы переговоры по электронной почте выглядели убедительнее, мошенники иногда создавали фильтры, не позволявшие жертве общаться ни с кем, кроме них, а в некоторых случаях еще и дававшие возможность наблюдать за скомпрометированным почтовым ящиком.

Согласно X-Force, киберпреступные группировки, стоящие за этими мошенническими операциями, скорее всего, базируются в Нигерии — это удалось выяснить, отследив IP-адреса, использованные для входа на почтовые веб-порталы.

Численность группировок неизвестна, а вот методы их работы определить удалось: по словам исследователей, мошенники «с помощью набора для фишинга создали поддельные страницы для ввода пароля DocuSign для более чем 100 скомпрометированных веб-сайтов».

Как защититься от BEC-мошенников

BEC-кампании — киберугроза отнюдь не новая. Напротив, эти атаки весьма популярны среди злоумышленников, поскольку не требуют глубоких технических знаний или специализированных вредоносных программ. Однако при всей своей простоте они наносят жертвам все возрастающий ущерб: в недавно опубликованном отчете прогнозируется, что в 2018 году бизнес-фишинг приведет к убыткам в размере 9 млрд долл. США. Для сравнения, совокупный ущерб от BEC-атак в 2016 г. составил 5,3 млрд долларов.

«BEC-кампании по-прежнему успешны и позволяют украсть у предприятия миллионы, прежде чем кто-то из сотрудников заподозрит неладное. Организациям необходимо внедрять технические средства для предотвращения атак, а также обучать сотрудников, чтобы те лучше распознавали фишинговые письма и признаки другой подозрительной деятельности», — заявил Кавано в интервью Threatpost.

По мнению специалистов X-Force, компании могут принять целый ряд мер, чтобы не стать жертвой мошенников. Главная из них — внедрить двухфакторную проверку подлинности для входа в учетную запись, чтобы преступникам было сложнее получить доступ к почтовым ресурсам компании и украсть учетные данные.

Также можно создать баннеры, которыми будут автоматически помечаться письма, приходящие с внешних электронных ящиков. Тогда сотрудники будут сразу же видеть, было ли электронное письмо подделано. Нелишними будут и строгие политики электронного перевода денег: сотрудников, имеющих соответствующие полномочия, необходимо особенно тщательно научить распознавать мошенничество.

Категории: Кибероборона, Мошенничество, Спам