Корпоративная почта давно стала частью финансовой системы компании. Через письма сотрудники согласуют счета, меняют реквизиты, отправляют договоры и подтверждают платежи. BEC-атака использует доверие к привычной переписке. Мошеннику не всегда нужна вредоносная программа. Порой достаточно убедить сотрудника, что письмо отправил руководитель, партнёр или коллега.
BEC-атака расшифровывается как Business Email Compromise, то есть компрометация деловой электронной почты. Цель атаки состоит в краже денег, документов или доступа к внутренним процессам. Такое письмо часто не содержит вложений и подозрительных ссылок, поэтому выглядит как обычная рабочая задача.
Как работает BEC-атака и кого выбирают мошенники
Подготовка начинается со сбора информации. Преступники изучают сайт компании, социальные сети, вакансии и открытые документы. Их интересуют руководители, структура отделов, поставщики и порядок согласования платежей. Чем точнее собран контекст, тем убедительнее выглядит запрос.
Затем мошенник создаёт похожий адрес или получает доступ к реальному почтовому ящику. Поддельный домен может отличаться одной буквой, дефисом или доменной зоной. Взлом настоящей учётной записи опаснее, поскольку письмо приходит из знакомой цепочки и сохраняет привычную подпись.
Чаще всего атакуют бухгалтерию, финансовый отдел, закупки и сотрудников, которые работают с поставщиками. Кадровые службы интересуют преступников из-за зарплат и персональных данных. Руководители, помощники и юристы становятся ценными целями, поскольку их письма вызывают доверие и позволяют отдавать распоряжения от имени компании.
Какие уловки используют в BEC-атаках
- Подмена руководителя. Сотрудника просят срочно оплатить счёт, перевести деньги или купить подарочные карты.
- Подмена поставщика. Мошенник сообщает о смене банковских реквизитов и присылает исправленный счёт.
- Перехват переписки. Преступник подключается к реальной цепочке писем и меняет данные перед оплатой.
- Зарплатная схема. От имени сотрудника приходит просьба заменить счёт для начисления зарплаты.
- Кража данных. Получателя убеждают отправить договоры, налоговые формы или сведения о персонале.
Почти все схемы строятся на срочности, авторитете и секретности. Автор письма требует закончить операцию до конца дня, просит не звонить руководителю или ссылается на закрытую сделку. Давление сокращает время на проверку и заставляет сотрудника нарушить обычный порядок работы.
Как распознать BEC-письмо
Главный тревожный признак связан с неожиданным изменением процесса. Руководитель просит провести платёж без согласования, поставщик меняет реквизиты только по почте, а коллега требует отправить документы на новый адрес. Знакомая подпись не делает запрос безопасным, если действие выходит за рамки принятой процедуры.
Адрес отправителя нужно проверять посимвольно. Лишняя буква, похожий символ, необычная доменная зона или несовпадение адреса отправителя с адресом для ответа указывают на подмену. Подозрение также вызывают нетипичный стиль, просьба не звонить и требование сохранить операцию в тайне.
Письмо с настоящего адреса тоже может быть мошенническим. Взломанный ящик не выдаёт себя ошибкой в домене. Поэтому смену реквизитов, крупный перевод, выдачу доступа и отправку персональных данных подтверждают через другой канал. Для проверки используют заранее известный номер, а не телефон из письма.
Как защититься от BEC-атак
Основу защиты составляют финансовые правила. Компания вводит двойное согласование крупных платежей, запрещает менять реквизиты по одному письму и требует подтверждать запрос через независимый канал. Срочность не должна отменять проверку, поскольку нехватка времени служит главным инструментом давления.
Почтовую систему защищают с помощью SPF, DKIM и DMARC, которые снижают риск подделки домена. Для аккаунтов включают многофакторную аутентификацию, ограничивают автоматическую пересылку и отслеживают подозрительные входы. Сотрудникам выдают только необходимые права, а доступ уволенных работников сразу закрывают.
Обучение персонала должно учитывать реальные обязанности. Бухгалтерии показывают схемы со сменой реквизитов, кадровой службе объясняют подмену зарплатных счетов, а руководителям напоминают, что короткое письмо с просьбой срочно оплатить счёт может запустить крупный инцидент.
Если деньги уже ушли, компания сразу связывается с банком и просит остановить перевод. Затем специалисты блокируют скомпрометированные учётные записи, меняют пароли, завершают активные сеансы, проверяют правила пересылки и сохраняют журналы. Быстрая реакция повышает шанс вернуть средства.
Заключение
BEC-атака маскируется под нормальную деловую коммуникацию и использует знание корпоративных процессов. Мошенник рассчитывает на доверие к знакомому имени, привычку быстро выполнять поручения и нежелание спорить с руководителем. Поэтому один антиспам не решает проблему без строгих правил работы с платежами и данными.
Надёжная защита сочетает технические настройки, независимое подтверждение финансовых запросов и готовность сотрудников остановиться перед необычной операцией. Смена реквизитов, просьба нарушить процедуру или требование секретности должны запускать дополнительную проверку. Несколько минут на звонок способны сохранить деньги, данные и деловую репутацию компании.
FAQ: часто задаваемые вопросы
Что такое BEC-атака простыми словами?
BEC-атака представляет собой мошенничество через деловую почту. Преступник выдаёт себя за руководителя, коллегу или партнёра и просит перевести деньги, изменить реквизиты либо отправить ценные данные.
Чем BEC отличается от обычного фишинга?
Фишинг часто рассылают массово, а BEC готовят под конкретную компанию, сотрудника и рабочий процесс. В письме может не быть вредоносной ссылки.
Можно ли распознать BEC без специальных программ?
Да. Получатель проверяет адрес, содержание запроса, срочность, смену реквизитов и попытку обойти обычное согласование.
Какая защита лучше всего помогает от BEC?
Лучший результат даёт сочетание двойного согласования платежей, проверки через независимый канал, многофакторной аутентификации и DMARC.
Что делать после перевода денег мошенникам?
Компания немедленно обращается в банк, блокирует скомпрометированные аккаунты, сохраняет переписку и начинает внутреннее расследование.
