BEC-атаки: просто для хакеров и дорого для их жертв

Недавно исследователи компании Agari опубликовали отчет о деятельности киберпреступной группировки Cosmic Lynx, основным полем деятельности которой являются Business E-mail Compromise (BEC) атаки. Этот тип атак отличается относительной простотой технической реализации (упор идет на социальную инженерию) и, главное, огромными финансовыми потерями жертв и прозрачной монетизацией для исполнителей – они крадут деньги. По данным ФБР, с 2016 года бизнес потерял более $26 млрд на BEC-атаках. И это только известные случаи.

Почему эти атаки так просты и эффективны? Их суть заключается в мошенничестве, аналогичном мелким обманным схемам против физических лиц, но нацеленным уже на куда более существенные доходы юридических лиц, и потому – еще более качественно реализованные.  

Жертвами Cosmic Lynx становятся, как правило, компании, ведущие или планирующие переговоры о поглощении фирмы в азиатском регионе в рамках корпоративной экспансии. В типовой схеме работы Cosmic Lynx задействованы две кражи личностей: генерального директора целевой покупаемой компании, который якобы ссылается на использование внешнего юрисконсульта, и законного адвоката в британской юридической фирме, чья работа заключается в содействии законности сделки.

Когда жертва попадается на мошенничество, происходит запрос на перевод части средств по сделке на «мул-аккаунт» – так называются счета злоумышленников, с которых якобы незаинтересованные физические лица быстро переводят средства на другие аналогичные счета, и таким образом после нескольких переводов уже сложно отследить жизненный трек всей суммы. Cosmic Lynx использует «мул-аккаунт» в Гонконге, Венгрии, Португалии, Румынии и других странах.

В последних письмах применяются техники «подмены» отправителей (DMARC), и жертва считает, что задача приходит непосредственно от CEO компании. Используются фразы типа: «пока вы единственный вовлеченный», «конфиденциальная сделка», «чувствительно ко времени»  и т. п. Кроме того, используются домены, которые ассоциируются с проверенной почтой: secure-mail-gateway[.]cc, encrypted-smtp-transport[.]cc, mx-secure-net[.]com. И, кстати, при запросе «Whois» на домен там, вполне вероятно, будет указана похожая на истинную информация.

Жертвами атак, как правило, становятся менеджмент компаний и лица, управляющие финансовыми активами:

Рисунок 1.png

География компаний жертв этой группировки обширная:

Рисунок 2.png

Специфика атак, как и любой социальной инженерии, заключается в том, что здесь не используются сложные техники, комментируют эксперты группы компаний Angara. Основной целью является доверчивость и слабость отдельного физического лица, а также непродуманность внутренних процедур.

Некоторыми методами все же можно снизить риски возникновения подобных инцидентов:

  • В первую очередь это обучение сотрудников, включая антифишинговое обучение, общие сведения о безопасной работе с почтой (неиспользование корпоративных аккаунтов на развлекательных и других личных ресурсах и т. д.).

  • Организация фильтрации почтового потока и защиты почтового шлюза. В частности, использование политик Domain-based Message Authentication, Reporting and Conformance (DMARC) – антиспуфинг для e-mail доменов, включая Sender Policy Framework (SPF) and DomainKeys Identified Mail (DKIM).

  • Своевременное обнаружение любых компрометаций внутри компании, часто атаки исходят с внутренних e-mail учетных записей. Использование качественно настроенного центра мониторинга или сервиса MSSP SOC, поведенческий анализ пользовательской активности также может способствовать снижению рисков в данном случае.

  • Усложнение внутренних процедур при финансовых операциях, введение необходимости в согласовании их с кругом лицом.

Отметим, что технологии видео- и аудиогенерации и подделки, которые сильно развились за последние несколько лет, сделают данный вид атак еще более опасным. Поэтому усиление дипфейк-радар своих сотрудников и процедур согласования, особенно в части финансовых переводов, крайне важно. Кроме того, злоумышленники часто используют темы кризиса, в частности Cosmic Lynx эксплуатирует проблемы, связанные с коронавирусной инфекцией и «возможности приобретения проблемных активов на спаде рынка».

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах