Хакеры возвращаются из отпусков
За три месяца "Лаборатория Касперского" предотвратила более 100 целевых BEC-атак (Business Email Compromise) на российские компании. Как правило, для реализации одной такой атаки требуются большие временные и ресурсные затраты - подготовка может занимать от нескольких недель до нескольких месяцев. При этом одна успешная атака может привести к многомиллионному ущербу для компании. С атаками, в основе которых лежит компрометация корпоративной переписки, столкнулись организации в самых разных отраслях: авиаперевозки, промышленность, ретейл, ИТ, доставка.
BEC - это атака, при которой злоумышленники начинают переписку с сотрудником компании с целью завоевать его доверие и убедить выполнить действия, идущие во вред интересам компании или ее клиентам. Зачастую для проведения таких атак злоумышленники используют взломанные аккаунты сотрудников или адреса, которые визуально похожи на официальные адреса компании, но отличаются на несколько символов. Черты таких атак - высокий уровень подготовки, наличие знаний о структуре компании и ее процессах и использование приемов социальной инженерии. Иногда атака проходит в несколько этапов: злоумышленники при помощи таргетированного фишинга похищают учетные данные рядового сотрудника компании, но конечная цель - его более высокопоставленный коллега. Чаще всего злоумышленников интересуют деньги компании, но бывает и так, что их цель - получить доступ к конфиденциальной информации, например к клиентским базам или разработкам.
"Последнее время мы все чаще сталкиваемся с подобными атаками у наших клиентов. Так как целью атак, как правило, является получение от жертвы денег или конфиденциальной информации, то чаще всего жертвами становятся сотрудники, имеющие доступ к финансам (бухгалтерия), а также сотрудники, имеющие доступ к важным для злоумышленника документам. Однако бывают случаи, когда целями мошенников становятся сотрудники самых разных отделов - от технических специалистов до членов совета директоров", - поясняет руководитель отдела развития методов фильтрации контента "Лаборатории Касперского" Алексей Марченко.
Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев рассказывает, что летом деловая активность замирает в связи с сезоном отпусков, у многих компаний падают продажи. Соответственно, осенью, по его словам, происходит оживление бизнеса, более интенсивными становятся финансовые потоки, руководители принимают важные решения, и у мошенников становится больше возможностей. Согласно оценке Андрея Арсентьева, чаще всего происходят атаки на сотрудников финансовых отделов, аппаратов генеральных директоров и менеджеров, отвечающих за работу с партнерами. Это связано, по его мнению, с основными задачами атакующих - санкционировать денежные переводы на подставные счета, получить доступ к аккаунтам компании или выведать ее коммерческие секреты. Эксперт объясняет, что, получив мошенническим путем деньги, злоумышленники стараются быстро перевести их в криптовалюту, чтобы замести следы. "Контроль над учетными данными позволяет взламывать корпоративные ресурсы и получать необходимую информацию. Добытые коммерческие секреты могут быть проданы конкурентам, также они могут служить при запуске стартапов или использоваться для шантажа", - говорит Андрей Арсентьев.
Руководитель отдела исследования угроз ИБ Positive Technologies Денис Кувшинов подчеркивает, что злоумышленники начинают переписку с сотрудником не только в почте, но и в социальных сетях и мессенджерах. "В случае переписки вне корпоративной почты сотрудники ИБ не могут отследить данную переписку и своевременно не отреагируют на возможную компрометацию устройств сотрудника - ПК или телефона. Соответственно данный тип атак будет всегда актуален, а его тренд будет нарастать. Снижение тренда таких атак происходит сезонно: из-за летних отпусков вероятность успешно совершить такую атаку снижается, так как сотрудник банально отсутствует на рабочем месте, а спустя некоторое время уже может забыть об этой переписке. Осенью тренд, естественно, усиливается", - отмечает Денис Кувшинов.
По его словам, в таких атаках можно выделить две основные цели - кража денежных средств и кража конфиденциальных данных. "Если атакован сотрудник, имеющий доступ к финансам компании, конечно денежный ущерб будет больше, чем в иных случаях. Но не стоит забывать и про репутационный ущерб, когда злоумышленники могут использовать взломанные ящики сотрудников для вредоносных рассылок партнерам или же когда будут украдены данные клиентов взломанной компании", - рассказал Денис Кувшинов.
По словам заместителя руководителя департамента расследований высокотехнологичных преступлений Group-IB Вадима Алексеева, типовые BEC-атаки реализуются по одному и тому же шаблону. При этом целями злоумышленников чаще всего становятся работники, имеющие доступ к счетам компании и осуществляющие расчетные операции от ее лица.
Вадим Алексеев объясняет, что исходным вектором атаки, как правило, выступает фишинговое письмо (например, содержащее ссылку на фишинговую страницу, имитирующую почтовый интерфейс), с помощью которого злоумышленники получают доступ к учетным данным аккаунта электронной почты одного из сотрудников. "После перехвата пароля от почтового ящика преступники изучают переписку жертвы, чтобы определить контрагентов, с которыми она взаимодействует. Злоумышленников в первую очередь интересуют контакты, которым жертва направляет денежные переводы. Затем злоумышленники настраивают в почтовом ящике жертвы фильтр для входящих писем. С помощью этого фильтра письма интересующего контрагента будут пересылаться на сторонний почтовый ящик преступникам, а оригинальное письмо будет удалено из взломанного ящика. Получив письмо, адресованное жертве, злоумышленник принимает решение - отправить его в таком же виде адресату обратно или внести в него изменения. Если злоумышленнику удается вклиниться в переписку уже на стадии обмена реквизитами, он может изменить номер счета получателя и "вернуть" письмо жертве с поддельного почтового домена, имитирующего оригинального отправителя.
Таким образом, хакеры замыкают общение между представителями двух компаний на себе и в нужный момент подменяют финансовые документы и счета для вывода денег на подконтрольный счет. Ущерб от BEC-атак может исчисляться как несколькими десятками тысяч долларов, так и несколькими миллионами, это зависит от того, почтовый аккаунт какого сотрудника в какой компании удалось взломать", - рассказывает Вадим Алексеев.
Эксперт говорит, что атаки с компрометацией корпоративной почты пришли в Россию из-за рубежа, где подобные схемы эффективно работают уже много лет.
"Большинство BEC-атак осуществляются хакерскими группами из африканских стран - Нигерии, Сенегала и соседних государств. Осенью прошлого года Group-IB приняла участие в спецоперации Интерпола Falcon, в результате которой ликвидирована часть группы киберпреступников из Нигерии, занимающихся взломом корпоративных почтовых аккаунтов и фишингом для кражи аутентификационных данных пользователей. С 2017 г. преступная группа, получившая название TMT, скомпрометировала данные не менее 500 тыс. государственных и частных компаний в более чем 150 странах мира. Хакеры, использующие схемы с компрометацией корпоративной почты, атакуют коммерческие компании из различных отраслей. С конца прошлого года специалисты Group-IB фиксируют всплеск BEC-атак, нацеленных на компании из сферы логистики, осуществляющие международные контейнерные и авиагрузоперевозки. В России жертвами BEC-атак становятся компании, которые сотрудничают с зарубежными подрядчиками", - сообщает Вадим Алексеев.
Аналитик Positive Technologies Яна Юракова рассказывает, что BEC-атаки могут использоваться против любых сотрудников компании. "Все зависит от целей злоумышленников. Если у них финансовая мотивация, то будут атаковать людей, имеющих доступ к финансовым средствам компании. Если их интересует информация, то могут атаковать высокопоставленных лиц компании. Если же их интересует доступ в корпоративную сеть, то будут атаковать специалистов из IT. Злоумышленники могут незаметно собрать необходимые данные и уйти. Могут оставить ВПО типа backdoor и затем вернуться через некоторое время. Могут также зашифровать файлы на рабочих станциях и требовать выкуп", - сообщает Яна Юракова.
При этом, как отмечает Яна Юракова, чаще всего атаки направлены на лиц, принимающих решения, - руководителей компаний, главных бухгалтеров и других сотрудников, имеющих доступ к финансам. "В подобных атаках злоумышленники пытаются получить доступ к учетной записи, к примеру, руководителя компании или начальника финансового отдела. Преступнику необходимо изучить детали, как проходят платежные поручения, структуру компании, собрать фактуру внутренних переписок, чтобы в ходе атаки у жертвы не возникло никаких подозрений. Основная задача после получения доступа - не нашуметь, ведь доступ может понадобиться для углубления атаки. Если злоумышленники заинтересованы исключительно в получении финансовой выгоды, то они могут, например, сформировать письмо от лица руководителя о необходимости оплатить счет. Указанные же реквизиты будут принадлежать мошенникам", - поделилась информацией Яна Юракова.
По оценке члена Ассоциации юристов России Оксаны Соболевой, наблюдается всплеск BEC-атак, который начинается с компрометации корпоративной электронной почты: злоумышленники проникают в почту топ-менеджера, сотрудника финансового департамента или других людей из цепочки согласования счетов. Изучив переписку, мошенники начинают выдавать себя за "взломанного" сотрудника. От имени директора они могут написать финансистам "срочно переведите деньги вот сюда", от имени менеджера по продажам - отправить клиенту поддельный счет на оплату. Целью атаки может быть и получение какой-то конфиденциальной информации: адресаты спокойно ею делятся, потому что считают, что общаются с доверенными людьми.
Оксана Соболева подчеркивает, что сумма ущерба может достигать, в зависимости от того, как и кому адресована атака и имеются ли сотрудники и какова их часть, которые могут попасть под влияние мошенников, и 100 тыс. руб. и 1 млрд. "Так, в 39 различных странах компании несут ежегодные убытки в размере $26 млрд. Банковский перевод, осуществляемый в рамках BEC-атаки, в среднем составляет около $80 тыс. Наиболее важным аспектом любой BEC-атаки является роль "денежного проводника" в виде сотрудников или людей, которые выполняют определенную работу для мошенников, открывая банковские счета и осуществляя денежные переводы", - объясняет Оксана Соболева.