Атака Business Email Compromise (BEC) нацелена на кражу учетных данных. Злоумышленник получает доступ в аккаунт пользователя, изучает прошлую переписку и формирует фишинговые письма, копирующие стилевые обороты деловых партнеров. Как правило, письма содержат обновления финансовых реквизитов. Напомним, что недавно была совершена успешная аудиоатака с подделкой голоса одного из директоров партнера компании, где были озвучены новые реквизиты для платежей.
В случае с норвежским Norfund была подделана финансовая переписка с одним из клиентов фонда – камбоджийской микрофинансовой организацией. И, что важно, подделка не была обнаружена! Спустя почти месяц, когда злоумышленники предприняли вторую попытку получения денег, было проведено экстренное расследование и обнаружена потеря финансов.
Расследование таких инцидентов является сложным многоступенчатым процессом, в который зачастую вовлечены государственные органы. Кроме того, возврат денежных средств не всегда возможен, так как, как правило, сразу происходит его грануляция и множественные переводы в другие финансовые системы, отследить которые чаще всего невозможно.
Правильный шаг – пригласить аудиторов информационных и бизнес-процессов для их оптимизации с целью снижения подобных рисков. Как в данном случае и поступил Norfund, обратившись к PWC и другим компаниям.
Рекомендации
Атаки такого типа являются качественно выполненным вариантом фишинга и очень сложны в обнаружении. Подделки настолько таргетированы, что неотличимы от легитимных финансовых расчетов. Предотвратить подобные инциденты возможно комплексом технических и организационных мер, часть из которых:
• Подтверждение дополнительными каналами запросов на финансовые расчеты. Например, звонками или видеосвязью, что даже более предпочтительно, так как сложнее подделывается.
• Запрет на использование сотрудниками рабочей почты в нерабочих целях – для минимизации раскрытия информации об учетных данных аккаунтов в компании, так как это один из методов разведки.
• Защита почтовой переписки механизмами цифровой подписи и шифрования.