Открыть сервис

BEC-атака

BEC-атака (от англ. Business Email Compromise — компрометация деловой электронной почты) — это вид кибермошенничества, при котором злоумышленник, используя подделку или взлом корпоративной электронной почты, выдает себя за доверенное лицо (руководителя, партнера, поставщика) с целью инициировать несанкционированный перевод денежных средств или передачу конфиденциальной информации. BEC-атаки относятся к категории социальной инженерии и отличаются высокой степенью персонализации и низкой технической сложностью, что делает их одной из самых распространенных и дорогостоящих угроз для бизнеса по всему миру.

История

Первые задокументированные случаи BEC-атак относятся к началу 2010-х годов. В 2013 году Федеральное бюро расследований США (ФБР) зафиксировало рост числа жалоб на мошенничество с использованием поддельных счетов от имени руководителей компаний. К 2015 году масштаб проблемы стал настолько значительным, что ФБР запустило специальную программу по борьбе с BEC (Internet Crime Complaint Center, IC3). По данным ФБР, с 2013 по 2022 год ущерб от BEC-атак в мире превысил 50 миллиардов долларов США. В России первые громкие случаи BEC-атак были зафиксированы в 2016–2017 годах, когда мошенники начали активно использовать поддельные письма от имени генеральных директоров для перевода средств на счета подставных компаний.

Механизм атаки

BEC-атака обычно включает несколько этапов:

  1. Разведка. Злоумышленник собирает информацию о целевой организации: структуру управления, контакты сотрудников, финансовые процессы, шаблоны писем. Источники — открытые базы данных, социальные сети (LinkedIn, Facebook — организация признана экстремистской и запрещена в РФ), корпоративные сайты, утечки данных.
  2. Подготовка. Создается поддельный домен, похожий на настоящий (например, company.com вместо company.com), или взламывается реальный почтовый ящик сотрудника. Часто используются техники «спуфинга» (подмена адреса отправителя) или «reply-to spoofing» (подмена адреса для ответа).
  3. Атака. Отправляется письмо-ловушка. Типичные сценарии:
  • CEO Fraud (мошенничество от имени CEO): письмо от имени генерального директора к финансовому директору с просьбой срочно оплатить счет.
  • Invoice Fraud (подделка счетов): письмо от имени поставщика с просьбой изменить реквизиты для оплаты.
  • Account Compromise (взлом аккаунта): взломанный ящик сотрудника используется для рассылки писем его контактам.
  • Data Theft (кража данных): запрос на отправку зарплатных ведомостей, налоговой отчетности, списков клиентов.
  1. Исполнение. Жертва, не заподозрив обмана, переводит деньги на счёт мошенника или отправляет данные. Средства быстро выводятся через подставные счета, часто в криптовалюте или через цепочку банков-посредников.

Классификация

BEC-атаки классифицируются по цели и методу:

  • По цели:
  • Финансовые (перевод средств).
  • Информационные (кража данных).
  • Компрометация репутации (например, рассылка ложных сообщений от имени компании).
  • По методу:
  • Прямая подмена (spoofing): изменение поля «From» в письме.
  • Взлом (compromise): реальный доступ к почтовому ящику.
  • Создание поддельного домена (lookalike domain): регистрация домена, неотличимого от настоящего.
  • Социальная инженерия: использование психологических манипуляций (срочность, авторитет, доверие).

Характеристики и признаки

BEC-атаки отличаются от обычного фишинга рядом признаков:

  • Высокая персонализация: письмо обращается к конкретному сотруднику, содержит его имя, должность, ссылки на реальные события.
  • Срочность и конфиденциальность: просьба выполнить действие немедленно, не разглашая информацию другим.
  • Необычные запросы: просьба перевести деньги на новый счёт, изменить реквизиты, отправить данные на личную почту.
  • Несоответствие адреса: домен отправителя может отличаться на одну букву или символ (например, @company.com вместо @company.com).
  • Грамматические ошибки: хотя в современных атаках ошибки редки, они могут присутствовать в подделках.

Применение и распространение

BEC-атаки используются в основном против коммерческих организаций, государственных учреждений, некоммерческих фондов и образовательных учреждений. В России наиболее уязвимыми считаются малые и средние предприятия, где отсутствует строгий финансовый контроль. Согласно отчётам «Лаборатории Касперского» и Positive Technologies, в 2023 году доля BEC-атак в общем объёме фишинговых атак в России составила около 15–20%. Средняя сумма ущерба от одной атаки в России оценивается в 1–5 миллионов рублей, хотя известны случаи с ущербом в десятки миллионов.

Примеры

  • 2016 год, Австрия: мошенники, подделав голос генерального директора (технология deepfake), убедили финансового директора перевести 220 000 евро на счёт в Венгрии. Это один из первых известных случаев использования голосового подлога в BEC.
  • 2019 год, США: компания Toyota Boshoku (подразделение Toyota) потеряла 37 миллионов долларов в результате BEC-атаки, когда злоумышленники выдали себя за поставщика.
  • 2022 год, Россия: в одной из крупных российских логистических компаний мошенники, взломав почту финансового директора, отправили подчинённым письма с просьбой оплатить фиктивные счета на сумму 15 миллионов рублей. Атака была раскрыта только после того, как реальный директор запросил отчёт.

Защита

Для предотвращения BEC-атак рекомендуется комплекс мер:

  • Технические:
  • Использование многофакторной аутентификации (MFA) для доступа к почте.
  • Внедрение систем фильтрации спама и антифишинга (DMARC, DKIM, SPF).
  • Регулярное обновление ПО и антивирусов.
  • Мониторинг подозрительных действий (например, вход с необычного IP-адреса).
  • Организационные:
  • Разработка и внедрение политики финансовых транзакций: обязательное подтверждение крупных переводов по телефону или лично.
  • Обучение сотрудников: регулярные тренинги по распознаванию фишинговых писем, симуляции атак.
  • Создание процедуры проверки изменений реквизитов поставщиков.
  • Правовые:
  • Взаимодействие с правоохранительными органами (в России — МВД, ФСБ) при выявлении атаки.
  • Страхование киберрисков.

Критика

Основная критика BEC-атак связана с их низкой технической сложностью и высокой эффективностью, что ставит под сомнение адекватность мер безопасности в современных организациях. Эксперты отмечают, что многие компании по-прежнему полагаются исключительно на человеческий фактор, не внедряя автоматизированные системы проверки. Кроме того, BEC-атаки часто остаются нераскрытыми из-за сложности отслеживания финансовых потоков через международные счета и криптовалюты. В России также отмечается недостаток судебной практики по таким делам, что снижает сдерживающий эффект.

Интересные факты

  • По данным ФБР, BEC-атаки приносят злоумышленникам больше дохода, чем традиционные киберпреступления, включая вымогательство (ransomware).
  • В 2021 году в США была арестована группа нигерийских мошенников, которые за 5 лет похитили более 100 миллионов долларов с помощью BEC-атак.
  • Технология deepfake (подделка голоса и видео) начинает активно использоваться в BEC-атаках: в 2023 году зафиксированы случаи, когда жертвам звонили «руководители» с просьбой подтвердить перевод.

Источники

  • Федеральное бюро расследований США (FBI), Internet Crime Complaint Center (IC3), отчёты 2013–2023 гг.
  • «Лаборатория Касперского», отчёты по фишингу и BEC-атакам, 2022–2023 гг.
  • Positive Technologies, «Анализ угроз BEC в России», 2023 г.
  • Group-IB, «Глобальный отчёт по BEC-атакам», 2022 г.
  • МВД РФ, статистика по киберпреступлениям, 2022–2023 гг.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →