2024/08/08 16:40:58

Мошенничество с электронной почтой
business email compromise (BEC)
invoice fraud


Содержание

Основная статья: Фишинг

Как работает схема

Компрометация корпоративного e-mail (англ. business email compromise или invoice fraud) — это мошенничество, при котором преступник изображает из себя продавца или делового партнера и убеждает представителя компании перевести крупную сумму на оффшорный счет в качестве «оплаты» за услуги, которые никогда не оказывал. Обычно мошенник тщательно изучает взаимодействие между двумя партнерами и используемые способы оплаты услуг. Затем мошенник взламывает электронный почтовый ящик одного из партнеров или убедительно подделывает корпоративный e-mail, чтобы отправить счет или просьбу о банковском переводе за оказанные услуги.

К сожалению, во время разработки основных протоколов электронной почты, затраты на вычислительную мощность, реализацию и простоту использования были уравновешены с риском мошенничества. Изначально не было разработано никакой возможности проверить личность отправителя, и в результате оказалось, что заголовки писем очень легко подделать. Зачастую компании не понимают, что оказались жертвой мошенничества, и переводят средства преступникам.

Компрометация электронной почты представляет собой целевые атаки, основанные на техниках социальной инженерии, с помощью которых хакеры принуждают людей к переводу денег на свои счета

Большинство кибератак наносят вред репутации компании или подрывают ее конкурентоспособность. В общедоступную сеть может попасть конфиденциальная информация о клиенте или секретные бизнес-планы, но такой вид кибератаки обычно не наносит непосредственный финансовый урон. Компрометация корпоративного e-mail, напротив, приводит к немедленной и часто невосполнимой потере средств.

Большая часть обманутых компаний остается без помощи — банки не способны отследить такой тип мошенничества, поскольку владельцы самостоятельно переводят деньги. Многие люди отдают мошенникам первоначальный взнос по ипотечному кредиту, а малые предприятия ошибочно переводят преступникам огромную долю своих скудных средств. Иногда нанесенный урон оказывается так велик, что предприниматели навсегда уходят из бизнеса.

Domain-based Message Authentication, Reporting, and Conformance (DMARC)

Ключевая технология, известная как Domain-based Message Authentication, Reporting, and Conformance, или DMARC, значительно снижает возможности злоумышленников подделывать целевые домены и руководителей предприятий, проверяя путь от сервера отправки до почтового ящика получателя. Кроме того, эта технология позволяет администраторам электронной почты организации получить представление о том, как происходит злоупотребление доменом в электронной почте.

Основная статья: Domain-based Message Authentication, Reporting and Conformance

2024

Европейский химический холдинг Orion лишился $60 млн из-за незамысловатой схемы с фальшивыми электронными письмами

10 августа 2024 года европейский химический холдинг Orion SA, базирующийся в Люксембурге, сообщил о потере $60 млн в результате кибермошенничества. Как сообщается в документах, направленных в Комиссию по ценным бумагам и биржам США (SEC), злоумышленники применили незамысловатую схему с фальшивыми электронными письмами. Подробнее здесь

У сингапурской компании, занимающейся торговлей сырьевыми товарами, хакеры украли $41 млн, отправив незамысловатое письмо от имени поставщика

В начале августа 2024 года стало известно, что хакеры украли $41 млн у сингапурской компании, занимающейся торговлей сырьевыми товарами. Глобальный механизм остановки платежей, разработанный Интерполом, помог властям Сингапура добиться возврата средств, похищенных из-за незамысловатого электронного письма с фишинг-ссылкой.

23 июля 2024 года сырьевая компания из Сингапура подала в полицию заявление о том, что стала жертвой мошенничества с использованием электронной почты. Известно, что мошенник выдал себя за поставщика компании, чтобы обманом заставить сотрудников перевести деньги на свой банковский счет. Письмо пришло с мошеннического адреса, слегка отличающегося от официального адреса электронной почты поставщика, однако сотрудники этого не заметили и перевели запрошенную сумму на свет мошенника из Восточного Тимора. О совершенном преступлении стало известно только через четыре дня, когда настоящий поставщик заявил, что платеж не был оплачен.

Хакеры украли $41 млн у сингапурской компании, занимающейся торговлей сырьевыми товарами

Получив полицейский отчет, полиция Сингапура оперативно запросила помощь у властей Восточного Тимора через специальный механизм Интерпола для перехвата незаконных платежей (I-GRIP). В рамках этой кампании используется полицейская сеть 196 стран, ускоренно разбирающая запросы о финансовых преступлениях.Метавселенная ВДНХ 3.4 т

25 июля 2024 года Центр по борьбе с мошенничеством получил подтверждение того, что 39 млн долларов были обнаружены на банковском счете мошенника. Эти средства были заморожены. В ходе последующего расследования власти Восточного Тимора арестовали в общей сложности семь подозреваемых в связи с мошенничеством. Украденные средства будут возвращены пострадавшей сингапурской компании. Власти напомнили, что в таких случаях крайне важно как можно быстрее сообщить полиции о преступлении, чтобы финансовая служба смогла вовремя остановить мошенника.[1]

Американский профсоюз перечислил $5,3 млн кибермошенникам после переписки по электронной почте

В начале июня 2024 года Правительство США подало гражданский иск c целью взыскания 5,3 млн долларов, которые профсоюз рабочих Дорчестера (штат Массачусетс) перечислил мошенникам после переписки по электронной почте в январе 2023 года. По итогам расследования власти США конфисковали деньги с семи внутренних счетов, которые оказались связаны с этой мошеннической схемой. Подробнее здесь.

2023: Две трети электронных писем компаниям в России отправляются мошенниками

Две трети (68%) электронных писем компаниям в России отправляются мошенниками. Такие данные по результатам 2023 года в январе 2024-го опубликовала ИБ-компания Bi.Zone.

Как пишут «Ведомости» со ссылкой на это исследование, доля фишинговых писем в 2023 году увеличилась на 70% в сравнении с 2022-м. Каждое 137-е письмо в корпоративной почте оказывалось фишинговым.

Две трети (68%) электронных писем компаниям в России отправляются мошенниками

В МТС Red Soc подтвердили тенденцию и сообщили, что, по данным компании, рост количества фишинговых писем в 2023 году составил около 57%, до 15 млн сообщений. В 2022-м их было 9,5 млн. Пик таких рассылок в 2023 году приходился на май, июнь и декабрь, уточнил представитель ГК «Солар» в разговоре с изданием.

Как отмечают в Bi.Zone, злоумышленники постоянно используют электронную почту как основной метод получения первоначального доступа. В 2023 году киберпреступники впервые применили российские программы удаленного доступа, при этом электронная почта стала каналом распространения такого ПО.

По сравнению с 2022 годом доля писем с вредоносными вложениями выросла в 2,4 раза. Абсолютным лидером стал промышленный сектор: в этой сфере процент писем с вирусами почти в 6 раз превышает средний показатель. Хакеры чаще всего использовали вредоносное программное обеспечение (ВПО), распространяющееся по модели MaaS (malware-as-a-service, вредоносное ПО как услуга). Его следы встречаются более чем в 80% вредоносного трафика, поступающего на корпоративные почтовые серверы в 2023 году. Такое ВПО часто приобретают на теневых форумах злоумышленники, которым не хватает квалификации для самостоятельной разработки. Это снижает порог входа при проведении атак.

Доля атак, в которых злоумышленник выдает себя за доверенный источник, сократилась в 2023 году в 1,5 раза. Специалисты Bi.Zone отмечают, что киберпреступники сместили фокус: чаще спам и рекламу (в том числе с непристойным контентом) рассылают через взломанные легитимные учетные записи.[2]

2021: На IKEA обрушились фишинговые атаки через взломанные серверы Microsoft Exchange

В конце ноября 2021 года на IKEA обрушились фишинговые атаки через взломанные серверы Microsoft Exchange. Злоумышленники рассылают вредоносные электронные письма дочерним организациям ритейлера, а также его партнерам. Подробнее здесь.

2020

Партнеров «Т Плюс» приглашают к фальшивым госзакупкам с использованием e-mail

В ноябре 2020 года «Т Плюс» сообщил о мошенничестве, при котором неустановленные лица объявляют закупочные процедуры от имени энергетической компании. Аферисты направляют от имени компании приглашения принять участие в торгах, а также запрашивают у потенциальных участников различного рода информацию, в том числе конфиденциальную. Подробнее здесь.

Кибермошенники обманывают предпринимателей, обещая операционные выплаты по e-mail

7 сентября 2020 года «Лаборатория Касперского» сообщила о новой схеме мошенничества в России, направленной на малый и средний бизнес, с использованием электронной почты.

Предприниматель получает письмо, в котором говорится, что на внутренний бухгалтерский счет пользователя зачислена сумма в размере нескольких сотен тысяч рублей. Далее следует ссылка на документ в легитимном хранилище, использование которого дает возможность организаторам кампании обойти защитные решения. После перехода по ссылке получатель видит уведомление о компенсации, положенной ему в качестве «операционных выплат» от некой финансовой организации.

Если кликнуть на форму, произойдет переадресация на мошеннический ресурс. Там для завершения операции предлагается завести личный кабинет, создать пароль, после чего в течение трех часов оплатить комиссию, иначе деньги вернутся отправителю.

В РФ появилась новая схема обмана предпринимателей по e-mail

Наименование компании (например, ПАО СБ-ЭКВАЙРИНГ) и местоположение (Австралия, Сидней), которые используются в письмах, призваны придать легитимности мошеннической схеме.

«
На первый взгляд сайт мошенников выглядит убедительно — тут и сообщение о том, что платежи защищает система Infinite 3D Secure, и адрес фирмы, и даже какая-то лицензия. Однако фирмы с указанными данными, ясное дело, не существует, — говорится на сайте «Лаборатории Касперского».
»

«Комиссия» за идентификацию в мошеннической схеме составляет около 390 рублей

В итоге пользователя просят пройти обязательную идентификацию, «комиссия» за которую обычно составляет порядка 390 рублей — это как раз те деньги, которые в случае подтверждения операции получают злоумышленники.

Специалисты антивирусной компании советуют предпринимателям скептически относиться к сообщениям о крупном выигрыше или выплате, проверить информацию об организации, компенсациях и выплатах до перехода по ссылкам из письма, не создавать личные кабинеты на непроверенных ресурсах.[3]

Массовый переход на работу из дома мотивирует хакеров на кражи через банковские переводы

3 июня 2020 года компания Check Point сообщила, что массовый переход на работу из дома мотивирует хакеров на кражи через банковские переводы. Так как все пользуются электронной почтой для своей работы, хакеры используют мошенничества в корпоративной переписке, или, как это еще называют, BEC (Business Email Compromise)-мошенничества.

Обычно BEC начинается с киберпреступников, которые взламывают корпоративную почту и подделывают электронные письма, чтобы выдать себя за одного из топ-менеджеров компании, обычно генерального или финансового директора. Иногда хакеры притворяются поставщиками. Оказавшись внутри корпоративной сети, киберпреступник запрашивает, казалось бы, законную оплату. Письмо выглядит очень правдоподобно, и кажется, что оно получено от руководителя, поэтому сотрудник подчиняется. Как правило, злоумышленники запрашивают перевод денег или чеки на хранение. Не зная об этом, сотрудник переводит средства на выбранный банковский счет, который принадлежит хакерам.

В случае BEC-атак злоумышленники используют тактику социальной инженерии, чтобы обмануть ничего не подозревающих сотрудников и руководителей. Они имитируют роль любого руководителя, уполномоченного делать или запрашивать электронные переводы. Кроме того, мошенники тщательно исследуют поведение и долго наблюдают за своими потенциальными жертвами и их компаниями, отслеживая все предстоящие сделки.

Обычно подобные аферы осуществлялись одним человеком. Однако в последнее время исследователи Check Point отмечают, что эти мошенничества становятся все более изощренными, и классифицируют их как организованную преступность. В апреле 2020 года исследователи Check Point опубликовали статью о том, как была раскрыта схема, в которой кибер-банда, которую исследователи назвали «флорентийским банкиром», выручила 1,3 миллиона долларов между тремя частными акционерными компаниями. В течение нескольких месяцев члены группы изучали электронные письма своих жертв, манипулируя корреспонденцией, регистрируя похожие домены и сразу обналичивая деньги. Вмешательство Check Point Incident Response привело к взысканию чуть более половины украденной суммы, оставшаяся часть была потеряна навсегда.

Исследователи Check Point считают, что коммерческие организации и венчурные компании являются основными целями BEC-атак, поскольку хакеры знают, что крупные организации часто переводят значительные денежные суммы. Поэтому этим организациям нужно хорошо понимать, как именно хакеры могут ими воспользоваться. Какие этапы можно выделить в подобной атаке?

  1. Наблюдение. После того, как злоумышленники получат контроль над учетной записью электронной почты жертвы, они начнут читать электронные письма. Киберпреступники могут проводить дни, недели или даже месяцы, занимаясь разведкой, терпеливо составляя карту бизнес-схем и стандартных процедур, прежде чем вмешаться в общение
  2. Контроль и изоляция. Злоумышленники начинают изолировать жертву от третьих лиц и коллег, создавая вредоносные правила почтовых ящиков. Эти правила электронной почты перенаправляют любые электронные письма с отфильтрованным содержимым или темами в папку, отслеживаемую хакерами, по сути создавая атаку «человек посередине».
  3. Схожая настройка. Злоумышленники регистрируют похожие домены, те, которые визуально похожи на легитимные домены лиц, участвующих в той переписке, которую они хотят перехватить. Злоумышленник начинает отправлять электронные письма с похожих доменов. Они либо создают новый диалог, либо продолжают существующий, тем самым обманывая цель, полагая, что источник сообщения является законным.
  4. Запрос на перевод денег. Злоумышленники начинают вводить информацию о своем банковском счете с помощью двух методов:
    • Перехват обычных, законных переводов
    • Создание новых запросов на банковский перевод

  5. Перевод денег. Киберпреступники контролируют переписку, пока третье лицо не утвердит новые банковские реквизиты и не подтвердит транзакцию. Если банк отклоняет транзакцию из-за несоответствия в валюте счета, имени получателя или по любой другой причине, злоумышленники стараются максимально быстро исправить все ошибки, пока деньги не попадут в их собственные руки.

«
«Мы находимся в разгаре массового изменения парадигмы хакерской активности. Хакеры используют все преимущества от того, что большая часть людей работает из дома. Мы рассматриваем BEC-мошенничества как часть этой тенденции. Если человек работает, руководит или владеет бизнесом или организацией, особенно той, которая достаточно известна и переводит большие суммы денег, он должен знать, что он является целевым объектом для подобных атак. Когда он работает из дома, кто-то может контролировать и манипулировать каждым его электронным письмом, особенно если он тот самый человек в компании, который отвечает за денежные транзакции. Мы ожидаем, что в 2020 году и в будущем у злоумышленников будет больше возможностей, учитывая складывающуюся культуру работы из дома»,

отметил Лотем Финкелстин, руководитель группы по анализу угроз Check Point
»

Как защитить свою организацию от BEC-атак по мнению специалистов Check Point:

  1. Включить многофакторную аутентификацию для учетных записей деловой почты. Этот тип аутентификации требует ввода нескольких частей информации для входа в систему, например, таких как пароль. Внедрение многофакторной аутентификации затрудняет доступ к электронной почте сотрудников киберпреступнику.
  2. Не открывать электронные письма от неизвестных отправителей. Если вдруг случайно это сделали, не нажимать на ссылки и не открывать вложения, поскольку они часто содержат вредоносные программы, которые получают доступ к системе.
  3. Дважды проверять адрес электронной почты отправителя. Поддельный адрес электронной почты часто выглядит очень похоже на адрес электронной почты коллег или партнеров.
  4. Всегда проверять требование перевода перед отправкой денег или данных. Разработать стандартную рабочую процедуру для сотрудников, чтобы подтверждать запросы по электронной почте для банковского перевода или конфиденциальной информации.
  5. Выбирать опцию «переслать», а не «отвечать», отвечая на деловые письма. При пересылке электронного письма правильный адрес должен быть введен вручную или выбран из адресной книги. Переадресация гарантирует, что будет использован правильный адрес электронной почты получателя.

Вымогатели начали угрожать сайтам плохим трафиком и лишением доходов

В феврале 2020 года появилась новая схема вымогательства по электронной почте, которая направлена на владельцев веб-сайтов, размещающих рекламные баннеры в программе Google AdSense. Вымогатели угрожают владельцам сайтов наводнить их бот-тратфиком, чтобы автоматизированные системы Google по борьбе с мошенничеством заблокировали их учетную запись, лишив пользователей доходов от рекламы. Подробнее здесь.

2019

Арестованы 280 человек, которые выманили десятки миллионов у компаний

К середине сентября 2019 года правоохранительные органы десяти стран арестовали 281 человека, которых подозревают в мошенничестве с крупными денежными переводами. В течение нескольких месяцев ФБР координировало операцию по аресту этих мошенников, выманивших у компаний и частных лиц десятки миллионов долларов по электронной почте.

Эти люди обманным путем заставляли жертв перевести деньги на банковские счета, контролируемые мошенниками. Они отправляли поддельные сообщения по электронной почте от лица руководителей компании или других вышестоящих сотрудников с запросами на перевод денег. По словам ФБР, в ходе рейдов было изъято почти $3,7 млн. Доказательства, полученные в результате операции, должны привести к изъятию еще $118 млн. Кроме того, были арестованы «ряд экзотических автомобилей, участки земли в Лагосе и недвижимость в Абудже».

Правоохранительные органы 10 стран арестовали 281 человека, которых подозревают в мошенничестве с крупными денежными переводами

Всемирная кампания Operation Rewired длилась четыре месяца, во время которых были проведены рейды в США, Великобритании, Нигерии, Турции, Гане, Франции, Италии, Японии, Кении и Малайзии. При этом 167 арестованных мошенников оказались нигерийцами.

Ибрагим Магу (Ibrahim Magu), который возглавляет Комиссию по экономическим и финансовым преступлениям Нигерии, сообщил, что эта акция — лишь элемент более масштабной кампании, направленной против группы киберпреступников под названием Yahoo boys.

ФБР призывает сотрудников всех компаний, которые обрабатывают запросы на денежные переводы по электронной почте, дополнительно проверять личность отправителя и подлинность запроса. С 2016 года по сентябрь 2019-го мошенничество с использованием электронной почты привело к убыткам на более чем $26 млрд. Теперь это одна из самых прибыльных категорий кибермошенничества, и людям не следует терять бдительность.[4]

Порно-шантаж по e-mail лишает людей десятков миллионов долларов

В середине июня 2019 года Центр по борьбе с интернет-преступностью ФБР (IC3) опубликовал данные о вымогательстве по электронной почте. В 2018 году частота жалоб на подобные письма выросла на 242% (51 146 зарегистрированных преступлений), а общие потери составили $83 млн.

Большинство вымогательств относилось к кампании порно-шантажа, когда жертвы получали письмо с угрозами рассылки порнографических видео или другой компрометирующей информации с данного адреса по контактам родственников, друзей и коллег. Эксперты советуют не поддаваться панике, поскольку обычно хакеры играют на базовом инстинкте стыда и в действительности их угрозы не имеют под собой реальных оснований.

По данным ФБР, в 2018 году количество вымогательств, связанных с порно, увеличилось на 242% до 51 145

Преступники утверждают, что взломали веб-камеру, получили изобличающие фотографии или видео либо свидетельства просмотренного порнографического материала. Однако чаще всего хакеры почти наверняка не имеют доступа к информации такого типа, если она вообще существует, напоминают эксперты.

Преступникам вовсе не обязательно владеть навыками взлома, они могут просто использовать адреса электронной почты, выкраденные у компаний или полученные от других поставщиков. Чуть более изощренные мошенники покупают «грязные» пароли и включают их в качестве дополнительной приманки, утверждая, что использовали пароль для доступа к конфиденциальной информации.

Однако их угрозы не имеют под собой оснований, а мошеннические схемы такого рода отлично работают только потому, что люди, особенно молодые, поверили в крах неприкосновенности частной жизни. Это убеждение позволяет людям предполагать, что кто-то может шпионить за ними или искажать изначально невинную информацию. При получении подобного письма эксперты советуют проверить фильтры спама, сменить пароли или использовать многофакторную аутентификацию, а также написать заявление в полицию.[5]

Мошенник выманил у Google и Facebook $123 млн

В конце марта 2019 года Министерство юстиции США вынесло обвинение гражданину Литвы, который выманил у Google и Facebook $123 млн. Мошенник, признавший себя виновным, обманул американские компании с помощью компрометации корпоративного e-mail. Подробнее здесь.

Банкротство Diesel Jeans из-за компрометации корпоративных e-mail

Такой тип мошенничества стал настолько распространенным явлением, что когда в марте 2019 года компания по производству джинсовой ткани Diesel Jeans объявила о банкротстве, мало кто удивился, узнав, что одной из причин стала компрометация корпоративного e-mail. Мошенники успешно выдавали себя за генерального директора компании Mattel в серии рассылок с поддельными счетами, которые принесли Diesel Jeans убытки в $3 млн. Убытки понесли также Google и Facebook.

2018: Мошенники украли $12 млрд через компрометацию корпоративных e-mail

По данным ФБР, в период с декабря 2016 года по май 2018 года общая сумма, которую мошенники пытались выманить при помощи компрометации корпоративного e-mail, выросла на 136%. В целом в период с октября 2013 года по май 2018 года мошенники украли более $12 млрд во всем мире; лишь небольшая доля этих денег вернулась к владельцам.

2017

Tillage Commodities потеряла 64% капитала из-за компрометации корпоративного e-mail

В 2017 году торговая компания Tillage Commodities, базирующаяся в Коннектикуте, потеряла 64% своего общего капитала из-за компрометации корпоративного e-mail всего за 21 день. Позднее Комиссия по срочной биржевой торговле оштрафовала компанию на $150 000 за то, что та не контролировала свои средства.

ФНС России защитила свой почтовый домен

ФНС России стала одной из первых государственных организаций, которая совместно со специалистами Почты Mail.Ru применила современные средства защиты, настроив SPF, DKIM и DMARC для своего почтового домена. В результате проведённой работы злоумышленники больше не смогут использовать имя почтового домена nalog.ru для отправки фишинговых писем на любые крупные почтовые сервисы, использующие спецификацию DMARC для проверки подлинности отправителей писем.

Применяемый в настоящее время базовый протокол передачи электронной почты SMTP Simple Mail Transfer Protocol - Простой протокол передачи почты не позволяет на должном уровне проводить аутентификацию внешних отправителей. То есть при отправке письма в поле From: можно подставить любой адрес. Подделку электронного адреса может распознать специалист: необходимо сверять заголовки, служебную информацию, сервер и IP, с которых поступило письмо. При использовании стандарта DMARC проверка будет автоматически проводиться почтовым сервером получателя. Настроив DMARC, владельцы почтовых серверов могут блокировать приём писем с доменов, не прошедших авторизацию. Таким образом, DMARC позволяет выявлять и пресекать подмену обратного адреса отправителя, которую используют спамеры для поддельных рассылок от имени авторитетной компании.

Как не попасться мошенникам

ФБР и Министерство национальной безопасности США напоминают, что все организации и предприятия, совершающие крупные сделки, могут предпринять ряд простых мер, позволяющих избежать такого рода мошенничества, связанного с компрометацией электронной почты. Это относится к компаниям любого размера и к частным лицам, которые проводят крупные финансовые операции, например, покупку жилья.

По словам экспертов, компаниям следует предупреждать своих служащих о рисках, связанных с компрометацией бизнес-почты, и создать для финансового отдела контрольный список действий

Эксперты рекомендуют рассказать сотрудникам, в чем заключается такой тип мошенничества и как должны оцениваться счета. Сотрудники должны быть особенно внимательны в случаях внезапной смены условий платежа, или когда поставщик просит отправить средства на банковский счет, отличающийся от обычного. При крупных сделках лучше ввести правила, требующие, чтобы все платежные переводы подписывали обе стороны. Таким образом полномочия не будут находиться в руках одного человека, и мошенник не сможет выманить у него деньги. Кроме того, рекомендуется обсудить с банком возможность создания специальных протоколов – например, голосовой проверки в процессе банковского перевода.

Компании, обнаружившие, что стали жертвами мошенничества, должны немедленно позвонить в банк-отправитель и по возможности отозвать перевод. Все сообщения и другие доказательства, связанные с инцидентом, должны быть сохранены до судебного разбирательства. Жертвы мошенничества в США могут подать жалобу по адресу www.ic3.gov, чтобы защитить других лиц.[6]

Примечания

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT