Открыть сервис

Компрометация корпоративной почты

Компрометация корпоративной почты (англ. Business Email Compromise, BEC) — это вид кибермошенничества, при котором злоумышленник, используя методы социальной инженерии, взлома или подделки электронной почты, выдает себя за доверенное лицо (руководителя, партнера, поставщика) с целью инициировать несанкционированный перевод денежных средств или передачу конфиденциальной информации. Данная атака направлена не на техническую инфраструктуру, а на человеческий фактор и бизнес-процессы, что делает её одной из наиболее опасных и финансово ёмких угроз для организаций любого масштаба.

История и происхождение

Термин «Business Email Compromise» был введен Федеральным бюро расследований США (ФБР) в 2015 году для описания растущей волны целевых атак на корпоративные финансы. Однако первые инциденты, подпадающие под это определение, фиксировались с начала 2010-х годов. Первоначально атаки были простыми: мошенники взламывали почтовый ящик финансового директора и рассылали подчинённым письма с просьбой срочно оплатить поддельный счёт.

С развитием систем защиты и повышением осведомлённости сотрудников тактика эволюционировала. К середине 2010-х годов появились сложные многоходовые схемы, включающие предварительную разведку, создание подставных доменов и использование цепочек переписки. По данным ФБР, с 2015 по 2022 год ущерб от BEC-атак в мире превысил 50 миллиардов долларов. В России первые масштабные случаи компрометации корпоративной почты были зафиксированы в 2016–2017 годах, когда атакам подверглись несколько крупных промышленных и торговых компаний.

Классификация атак

Специалисты по кибербезопасности выделяют несколько основных сценариев компрометации корпоративной почты, которые различаются по цели и технике исполнения.

Атака на финансовые операции

Наиболее распространённый тип. Злоумышленник, выдавая себя за генерального директора или финансового директора, отправляет письмо сотруднику бухгалтерии с просьбой совершить срочный платёж на подставной счёт. Письмо часто содержит обоснование срочности (например, «срыв сделки» или «штрафные санкции»).

Атака на поставщика

Мошенник взламывает почту компании-поставщика или создаёт домен, максимально похожий на его настоящий адрес. Затем от имени поставщика рассылаются счета на оплату, в которых реквизиты получателя заменены на реквизиты злоумышленника. Эта схема особенно опасна, так как жертва привыкла к регулярным платежам и не проверяет каждую квитанцию.

Атака на генерального директора (CEO Fraud)

Злоумышленник выдает себя за высшее руководство компании (CEO) и отправляет письмо сотруднику, имеющему доступ к финансам или конфиденциальным данным. В письме содержится требование о переводе средств или предоставлении доступа к системе, мотивированное коммерческой тайной или личным распоряжением руководителя.

Атака на юридический отдел

Целью является получение конфиденциальной информации о судебных разбирательствах, сделках слияния и поглощения или внутренних расследованиях. Злоумышленник может представиться внешним юристом или партнёром по бизнесу, запрашивая документы для «согласования».

Методы реализации

Компрометация корпоративной почты достигается двумя основными путями: техническим взломом и социальной инженерией.

Технический взлом

Злоумышленники получают доступ к учётной записи сотрудника через:

  • Фишинг — отправка поддельных писем, имитирующих уведомления от почтового сервиса (например, «Ваш пароль истёк»), с ссылкой на подставную страницу входа.
  • Подбор паролей (брутфорс) или использование утекших баз данных (credential stuffing).
  • Вредоносное ПО — программы-шпионы, кейлоггеры или трояны, которые перехватывают учётные данные при вводе на заражённом устройстве.

Социальная инженерия

Этот метод не требует взлома почтового ящика. Мошенник создаёт поддельный домен (например, вместо company.rucompany-rn.ru или cornpany.ru) и регистрирует адрес, максимально похожий на настоящий. Затем он изучает открытые источники (LinkedIn, сайт компании, новости) для сбора информации о структуре организации, именах руководителей и текущих проектах. После этого отправляется письмо с просьбой, выглядящей правдоподобно для конкретного контекста.

Признаки компрометации

Обнаружить факт взлома корпоративной почты можно по ряду косвенных признаков:

  • Необычные письма от руководства — просьбы о переводе денег, смене реквизитов, предоставлении доступа к секретным данным, приходящие в нерабочее время или с нехарактерным стилем общения.
  • Странные правила пересылки — в настройках почтового ящика появляются автоматические правила, пересылающие входящие письма на внешний адрес или помечающие их как прочитанные.
  • Необычная активность — вход в учётную запись из незнакомой страны или с неизвестного IP-адреса, массовая рассылка писем с вложениями или ссылками.
  • Изменение реквизитов в счетах — подозрительные изменения в банковских реквизитах, номерах договоров или контактных данных в документах, полученных от партнёров.

Последствия

Последствия компрометации корпоративной почты могут быть катастрофическими для бизнеса:

  • Финансовые потери — прямой перевод средств на счета мошенников, который редко удаётся вернуть. Средняя сумма ущерба по одной атаке BEC, по данным ФБР, составляет около 130 000 долларов.
  • Утечка конфиденциальных данных — кража интеллектуальной собственности, клиентских баз, коммерческих предложений, что может привести к потере конкурентного преимущества.
  • Репутационный ущерб — потеря доверия со стороны партнёров и клиентов, особенно если утечка затронула их данные.
  • Юридические риски — возможные судебные иски, штрафы за нарушение законов о защите персональных данных (например, Федерального закона № 152-ФЗ «О персональных данных» в РФ).

Защита и предотвращение

Защита от компрометации корпоративной почты требует комплексного подхода, сочетающего технические меры и обучение персонала.

Технические меры

  • Многофакторная аутентификация (MFA) — обязательное требование для всех учётных записей, особенно для финансовых и руководящих должностей.
  • Фильтрация писем — использование антиспам-систем и антифишинговых решений, которые проверяют вложения, ссылки и домены отправителей.
  • Мониторинг подозрительной активности — настройка систем SIEM для выявления аномалий (например, массовая рассылка, вход с необычного IP).
  • Защита домена — настройка SPF, DKIM и DMARC записей для предотвращения подделки отправителя (спуфинга).
  • Регулярное обновление ПО — своевременная установка обновлений безопасности для почтовых серверов и клиентов.

Организационные меры

  • Обучение сотрудников — регулярные тренинги по распознаванию фишинговых писем и признаков социальной инженерии. Особое внимание уделяется бухгалтерам, секретарям и менеджерам.
  • Процедура подтверждения платежей — введение обязательного правила: любой запрос на перевод денег, особенно срочный или нестандартный, должен быть подтверждён по телефону или лично (вне почтовой переписки).
  • Политика «двух рук» — для крупных переводов требуется подпись двух уполномоченных сотрудников.
  • Регулярные аудиты — проверка настроек почтовых ящиков на предмет несанкционированных правил пересылки и доступа.

Инциденты в России

В России зафиксирован ряд громких случаев компрометации корпоративной почты. Например, в 2019 году от атаки BEC пострадала одна из крупных торговых сетей: мошенники, выдав себя за генерального директора, отправили бухгалтеру письмо с просьбой перевести 5 миллионов рублей на подставной счёт. В 2021 году была атакована компания, занимающаяся строительством: злоумышленники взломали почту поставщика и подменили реквизиты в счетах, в результате чего было потеряно около 3 миллионов рублей. По данным «Лаборатории Касперского», в 2022 году количество атак на корпоративную почту в России выросло на 40% по сравнению с предыдущим годом.

Источники

  1. Федеральное бюро расследований (ФБР) — «Business Email Compromise: The 5 Billion Dollar Scam» (ежегодные отчёты IC3).
  2. «Лаборатория Касперского» — «Spam and Phishing in 2022» (отчёт об угрозах).
  3. Positive Technologies — «Киберугрозы для корпоративной почты: методы и защита» (аналитический отчёт, 2023).
  4. Group-IB — «Hi-Tech Crime Trends 2021–2022» (раздел о BEC-атаках).
  5. Центр мониторинга и реагирования на кибератаки Solar JSOC (Ростелеком) — «Угрозы корпоративной почты в России» (2023).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →