Лучшие методы предотвращения атак компрометации деловой электронной почты (BEC)

Лучшие методы предотвращения атак компрометации деловой электронной почты (BEC)


Владимир Безмалый

Компрометация корпоративной электронной почты (BEC) относится ко всем типам атак на электронную почту, которые не имеют полезной нагрузки. Хотя существует множество типов, по сути, существует два основных механизма, с помощью которых злоумышленники проникают в организации, используя методы BEC, атаки со спуфингом и захватом учетной записи.

В недавнем исследовании 71% организаций признали, что в прошлом году они стали свидетелями атак с целью компрометации корпоративной электронной почты (BEC). Сорок три процента организаций испытали инциденты безопасности за последние 12 месяцев, причем 35% заявили, что на BEC/фишинговые атаки приходится более 50% инцидентов.

Центр жалоб на интернет-преступления (IC3) ФБР сообщает, что мошенничество с BEC было самой дорогой из кибератак в 2020 году: было подано 19369 жалоб и скорректированные убытки в размере около 1,8 миллиарда долларов. Недавние атаки BEC включают атаки спуфинга на хозяина Shark Tank Барбару Коркоран, которая потеряла 380000 долларов; атаки правительства Пуэрто-Рико на сумму 4 миллиона долларов и японский медиагигант Nikkei, который перевел 29 миллионов долларов на основании инструкций в поддельном электронном письме.

Чтобы предотвратить атаку BEC, организация должна сосредоточиться на золотом треугольнике: согласовании людей, процессов и технологий. Читайте дальше, чтобы узнать о передовых методах защиты от атак BEC, которым должна следовать каждая организация.

Процесс

Финансовый отдел каждой организации имеет политику авторизации расходов. Эта политика устанавливает четкие уровни утверждения любых расходов/платежей для защиты активов компании.

Хотя все расходы/платежи должны быть частью утвержденного бюджета, эта политика предоставляет финансовому отделу инструмент, позволяющий гарантировать, что каждый платеж санкционирован нужным лицом или отдельными лицами в зависимости от суммы.

В некоторых случаях генеральному директору или президенту компании предоставляются неограниченные полномочия в отношении запроса платежей. Киберпреступники это понимают, поэтому они подделывают учетные записи электронной почты высокопоставленных лиц.

Учитывая текущую ситуацию в области кибербезопасности, финансовому отделу следует пересмотреть эту политику, чтобы ввести более строгие процедуры. Это может означать необходимость многократной авторизации для крупных расходов, оплачиваемых чеком, банковским переводом или любым другим способом, чтобы убедиться, что запрос на платеж является законным. В нем также может быть указано, как получают электронные разрешения.

Например, если кто-то из финансового отдела получает электронное письмо от генерального директора с просьбой о банковском переводе, администратор, обрабатывающий запрос, должен следовать политике компании для получения дополнительных разрешений, включая отправку электронных писем в предварительно утвержденный список рассылки для получения электронных согласования вместе с подтверждениями по телефону. Сумма расходов определяет, кто может подписывать и совместно подписывать, и будет зависеть от склонности вашей организации к риску, то есть того, сколько ваша компания готова потерять.

Как член ИТ-группы, вы должны поговорить с финансовым отделом, чтобы объяснить, как происходят BEC и другие атаки со спуфингом. Приведите реальные примеры недавних атак BEC и обсудите, что ваша компания могла бы сделать иначе, чтобы предотвратить атаку. Основываясь на этих примерах, финансовый отдел должен пересмотреть текущую политику с учетом спуфинга кибербезопасности и BEC. Это может означать, что председатель совета директоров, генеральный директор или президент компании не могут быть единственной подписью в отношении крупных расходов, причем сумма в долларах, опять же, зависит от склонности вашей компании к риску.

Теперь, когда процесс установлен в рамках политики авторизации расходов, компания теперь должна убедиться, что ее люди без исключения обучены следовать этой политике.

Люди

Все сотрудники компании должны быть обучены тому, чтобы знать, как выглядит атака кибербезопасности, что делать, а чего не делать, и это обучение должно проводиться на постоянной основе, поскольку ландшафт кибербезопасности меняется очень быстро.

Сотрудники финансового отдела или любое лицо, имеющее право выделять средства в любой форме, должны быть обучены тому, как выглядят BEC и другие атаки с использованием спуфинга.

Подчеркните, что многие из этих атак принимают форму электронных писем от руководителей высокого уровня, они, как правило, являются «срочными» запросами, а иногда запрос отправляется за несколько минут до закрытия бизнеса и требует немедленной оплаты. Благодаря этому обучению, а также требованию, чтобы все сотрудники следовали политике авторизации расходов, ваша компания сможет остановить атаки BEC.

Многие компании приобретают страховку для покрытия этих убытков от BEC, но ни одна организация не может быть уверена, что страховая компания заплатит. Например, торговая фирма Virtu Financial Inc. потеряла 6,9 миллиона долларов в результате мошенничества с BEC, но их страховая компания Axis Insurance отказалась платить, утверждая, что «несанкционированный доступ к компьютерной системе Virtu был не прямой причиной убытка, а, скорее, убытком. Был вызван отдельными и вмешивающимися действиями сотрудников Virtu, которые осуществляли электронные переводы, потому что они считали «поддельное» электронное письмо с просьбой о переводе правдой». Virtu Financial Inc. подала жалобу на Axis Insurance в связи с предполагаемым нарушением контракта, отказом в покрытии кибератаки.

Технология

Передовая технология кибербезопасности нового поколения может помочь заблокировать любую угрозу электронной почты, включая спам, фишинг, BEC и последующие атаки, расширенные постоянные угрозы (APT) и уязвимости нулевого дня, которые атакуют, и все это до того, как угроза достигнет конечных пользователей.

Эти типы решений включают:

  • Механизм защиты от нежелательной почты, который блокирует вредоносные сообщения с помощью фильтров защиты от нежелательной почты и репутации.
  • Механизм защиты от фишинга для обнаружения вредоносных URL-адресов и предотвращения любых фишинговых атак до того, как они достигнут конечных пользователей.
  • Механизм защиты от спуфинга для предотвращения атак без полезной нагрузки, таких как спуфинг, похожие домены и обман отображаемого имени.
  • Технологии защиты от уклонения, которые обнаруживают вредоносный скрытый контент, рекурсивно распаковывая контент на более мелкие блоки (файлы и URL-адреса), которые затем динамически проверяются несколькими механизмами за секунды.
  • Машинный интеллект (MI) и обработка естественного языка (NLP) для проверки отклонений от нормы в содержании и контексте, таких как определение ненормального стиля письма, ключевые слова, которые могут обозначать вредоносную активность, странные IP-адреса, географическое положение, время и т. д.
  • Обнаружение для предотвращения сложных угроз и атак нулевого дня.
  • Специальный анализ электронной почты для конечных пользователей с целью выявления подозрительных писем, прежде чем предпринимать безрассудные действия.
  • Контекстная помощь конечным пользователям для пометки электронных писем настраиваемыми баннерами на основе политик и правил, чтобы предоставить конечным пользователям дополнительную контекстную информацию и повысить их осведомленность о безопасности.

Решение должно уметь обнаруживать и останавливать атаки со спуфингом и захватом учетной записи, когда киберпреступник получает доступ к законной учетной записи электронной почты и пытается проникнуть дальше в сеть.

3 августа, 2021

Источник https://ib-bank.ru/bisjournal/news/16013

Alt text

Больше пяти не собираться: роботы будут следить за улицами Сингапура, хакеры атаковали проект Jenkins, во Франции арестовали экологов, данные которых раскрыл ProtonMail, а россиян беспокоит идея «социальных рейтингов». Смотрите 31-й выпуск наших новостей.

Владимир Безмалый

О безопасности и не только