BEC-атака
BEC-атака (от англ. Business Email Compromise — компрометация деловой электронной почты) — это вид кибермошенничества, при котором злоумышленник, используя подделку или взлом корпоративной электронной почты, выдает себя за доверенное лицо (руководителя, партнера, поставщика) с целью инициировать несанкционированный перевод денежных средств или передачу конфиденциальной информации. BEC-атаки относятся к категории социальной инженерии и отличаются высокой степенью персонализации и низкой технической сложностью, что делает их одной из самых распространенных и дорогостоящих угроз для бизнеса по всему миру.
История
Первые задокументированные случаи BEC-атак относятся к началу 2010-х годов. В 2013 году Федеральное бюро расследований США (ФБР) зафиксировало рост числа жалоб на мошенничество с использованием поддельных счетов от имени руководителей компаний. К 2015 году масштаб проблемы стал настолько значительным, что ФБР запустило специальную программу по борьбе с BEC (Internet Crime Complaint Center, IC3). По данным ФБР, с 2013 по 2022 год ущерб от BEC-атак в мире превысил 50 миллиардов долларов США. В России первые громкие случаи BEC-атак были зафиксированы в 2016–2017 годах, когда мошенники начали активно использовать поддельные письма от имени генеральных директоров для перевода средств на счета подставных компаний.
Механизм атаки
BEC-атака обычно включает несколько этапов:
- Разведка. Злоумышленник собирает информацию о целевой организации: структуру управления, контакты сотрудников, финансовые процессы, шаблоны писем. Источники — открытые базы данных, социальные сети (LinkedIn, Facebook — организация признана экстремистской и запрещена в РФ), корпоративные сайты, утечки данных.
- Подготовка. Создается поддельный домен, похожий на настоящий (например,
company.comвместоcompany.com), или взламывается реальный почтовый ящик сотрудника. Часто используются техники «спуфинга» (подмена адреса отправителя) или «reply-to spoofing» (подмена адреса для ответа). - Атака. Отправляется письмо-ловушка. Типичные сценарии:
- CEO Fraud (мошенничество от имени CEO): письмо от имени генерального директора к финансовому директору с просьбой срочно оплатить счет.
- Invoice Fraud (подделка счетов): письмо от имени поставщика с просьбой изменить реквизиты для оплаты.
- Account Compromise (взлом аккаунта): взломанный ящик сотрудника используется для рассылки писем его контактам.
- Data Theft (кража данных): запрос на отправку зарплатных ведомостей, налоговой отчетности, списков клиентов.
- Исполнение. Жертва, не заподозрив обмана, переводит деньги на счёт мошенника или отправляет данные. Средства быстро выводятся через подставные счета, часто в криптовалюте или через цепочку банков-посредников.
Классификация
BEC-атаки классифицируются по цели и методу:
- По цели:
- Финансовые (перевод средств).
- Информационные (кража данных).
- Компрометация репутации (например, рассылка ложных сообщений от имени компании).
- По методу:
- Прямая подмена (spoofing): изменение поля «From» в письме.
- Взлом (compromise): реальный доступ к почтовому ящику.
- Создание поддельного домена (lookalike domain): регистрация домена, неотличимого от настоящего.
- Социальная инженерия: использование психологических манипуляций (срочность, авторитет, доверие).
Характеристики и признаки
BEC-атаки отличаются от обычного фишинга рядом признаков:
- Высокая персонализация: письмо обращается к конкретному сотруднику, содержит его имя, должность, ссылки на реальные события.
- Срочность и конфиденциальность: просьба выполнить действие немедленно, не разглашая информацию другим.
- Необычные запросы: просьба перевести деньги на новый счёт, изменить реквизиты, отправить данные на личную почту.
- Несоответствие адреса: домен отправителя может отличаться на одну букву или символ (например,
@company.comвместо@company.com). - Грамматические ошибки: хотя в современных атаках ошибки редки, они могут присутствовать в подделках.
Применение и распространение
BEC-атаки используются в основном против коммерческих организаций, государственных учреждений, некоммерческих фондов и образовательных учреждений. В России наиболее уязвимыми считаются малые и средние предприятия, где отсутствует строгий финансовый контроль. Согласно отчётам «Лаборатории Касперского» и Positive Technologies, в 2023 году доля BEC-атак в общем объёме фишинговых атак в России составила около 15–20%. Средняя сумма ущерба от одной атаки в России оценивается в 1–5 миллионов рублей, хотя известны случаи с ущербом в десятки миллионов.
Примеры
- 2016 год, Австрия: мошенники, подделав голос генерального директора (технология deepfake), убедили финансового директора перевести 220 000 евро на счёт в Венгрии. Это один из первых известных случаев использования голосового подлога в BEC.
- 2019 год, США: компания Toyota Boshoku (подразделение Toyota) потеряла 37 миллионов долларов в результате BEC-атаки, когда злоумышленники выдали себя за поставщика.
- 2022 год, Россия: в одной из крупных российских логистических компаний мошенники, взломав почту финансового директора, отправили подчинённым письма с просьбой оплатить фиктивные счета на сумму 15 миллионов рублей. Атака была раскрыта только после того, как реальный директор запросил отчёт.
Защита
Для предотвращения BEC-атак рекомендуется комплекс мер:
- Технические:
- Использование многофакторной аутентификации (MFA) для доступа к почте.
- Внедрение систем фильтрации спама и антифишинга (DMARC, DKIM, SPF).
- Регулярное обновление ПО и антивирусов.
- Мониторинг подозрительных действий (например, вход с необычного IP-адреса).
- Организационные:
- Разработка и внедрение политики финансовых транзакций: обязательное подтверждение крупных переводов по телефону или лично.
- Обучение сотрудников: регулярные тренинги по распознаванию фишинговых писем, симуляции атак.
- Создание процедуры проверки изменений реквизитов поставщиков.
- Правовые:
- Взаимодействие с правоохранительными органами (в России — МВД, ФСБ) при выявлении атаки.
- Страхование киберрисков.
Критика
Основная критика BEC-атак связана с их низкой технической сложностью и высокой эффективностью, что ставит под сомнение адекватность мер безопасности в современных организациях. Эксперты отмечают, что многие компании по-прежнему полагаются исключительно на человеческий фактор, не внедряя автоматизированные системы проверки. Кроме того, BEC-атаки часто остаются нераскрытыми из-за сложности отслеживания финансовых потоков через международные счета и криптовалюты. В России также отмечается недостаток судебной практики по таким делам, что снижает сдерживающий эффект.
Интересные факты
- По данным ФБР, BEC-атаки приносят злоумышленникам больше дохода, чем традиционные киберпреступления, включая вымогательство (ransomware).
- В 2021 году в США была арестована группа нигерийских мошенников, которые за 5 лет похитили более 100 миллионов долларов с помощью BEC-атак.
- Технология deepfake (подделка голоса и видео) начинает активно использоваться в BEC-атаках: в 2023 году зафиксированы случаи, когда жертвам звонили «руководители» с просьбой подтвердить перевод.
Источники
- Федеральное бюро расследований США (FBI), Internet Crime Complaint Center (IC3), отчёты 2013–2023 гг.
- «Лаборатория Касперского», отчёты по фишингу и BEC-атакам, 2022–2023 гг.
- Positive Technologies, «Анализ угроз BEC в России», 2023 г.
- Group-IB, «Глобальный отчёт по BEC-атакам», 2022 г.
- МВД РФ, статистика по киберпреступлениям, 2022–2023 гг.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →