Перейти к содержанию

Что такое BEC-атака и как ей противостоять

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Киберпреступники постоянно ищут новые методы атак на компании. В последние несколько лет они все чаще прибегают к методу Business Email Compromise (BEC). Проще говоря, к атакам, которые так или иначе завязаны на компрометацию корпоративной переписки.

Только через американский Центр приема жалоб на киберпреступления (Internet Crime Complaint Center, IC3) в 2019 году в ФБР поступило 23 775 сообщений о таких атаках — на 3,5 тысячи больше, чем в 2018. При этом общий ущерб от BEC вырос с 1,2 миллиарда долларов до 1,7.

 

Что такое BEC-атака

 

Под BEC-атакой подразумевают целевую кампанию, в которой злоумышленники пытаются действовать следующим образом:

  1. Начать переписку с сотрудником компании (или влезть в уже существующую).
  2. Завоевать его доверие.
  3. Убедить выполнить действия, идущие во вред интересам компании или ее клиентов.

Обычно эти действия сводятся к переводу денег на счета преступников или пересылке конфиденциальных файлов, однако порой встречаются и нестандартные вариации. Например, просьба от имени генерального директора выслать по СМС коды подарочных карт.

Часто для BEC используются трюки, характерные для фишинга, но на самом деле эта атака несколько сложнее. Она существует на стыке технологических и социальных методов мошенничества. Причем технологии там используются своеобразные: в письмах нет ни прикрепленных файлов с вредоносными программами, ни зловредных ссылок. Злоумышленники пытаются обмануть почтовый клиент так, чтобы получатель был уверен, что пришедшее письмо — подлинное. Но главную роль играет именно социальная инженерия.

Часто для проведения атаки злоумышленники тщательно собирают данные о жертве и позднее используют их, чтобы завоевать ее доверие. Иногда переписка может состоять всего из двух-трех писем, а иногда растягивается на несколько месяцев. Зачастую лишь внимательность сотрудника компании может выявить акт мошенничества.

Отдельно стоит выделить многоэтапные BEC-атаки, в которых комбинируются различные сценарии и технологии. Например, преступники сначала могут при помощи целевого фишинга (spearphishing) похитить учетные данные рядового работника компании, чтобы затем провести атаку против более высокопоставленного сотрудника.

Чуть ниже мы разберем несколько конкретных примеров, с которыми наши эксперты сталкивались на практике.

 

Читать далее >>

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • foroven
      Обнаружена сетевая атака
      Автор foroven
      Добрый день. После того как мы словили вирус шифровальщик и был установлен антивирусный продукт лаборатории Касперского, в его журнале каждый час стали появляться записи о сетевой атаке. Причем адрес атакующего компьютера это Linux-система с установленным Kerio Control. Может ли Касперсий так реагировать на его работу? Или он может быть заражен? Спасибо.
    • Petr1988
      Что такое игры тапалки в Телеграмме?
      Автор Petr1988
      Собственно что это такое? В чем смысл этих игр тапалок? Правда ли, что можно на них заработать или бред?
    • KL FC Bot
      Атака на цепочку поставок через GitHub Action | Блог Касперского
      Автор KL FC Bot
      Атаки на open source чаще всего сводятся к публикации новых вредоносных пакетов в репозиториях. Атака, произошедшая 14 марта, из другой лиги — злоумышленники скомпрометировали популярный процесс (GitHub Action) tj-actions/changed-files, который применяется более чем в 23000 репозиториев.  Инцидент получил номер CVE-2025-30066, этой уязвимости подвержены все репозитории, в которых использовался заражённый процесс changed-files. Хотя администрация заблокировала changed-files, а затем откатила его к безопасной версии, все, кто пользовался им должны провести реагирование на инцидент, а сообщество разработчиков — извлечь из него более общие уроки.
      Что такое GitHub Actions
      Рабочие процессы (GitHub Actions) упрощают разработку ПО при помощи автоматизации типовых задач DevOps. Они могут стартовать при наступлении каких-то событий в GitHub, например коммитов. У GitHub есть условный «магазин приложений», в котором можно взять готовый процесс и применить его в своём репозитории, например популярны процессы для автоматической инсталляции вспомогательных инструментов. Чтобы интегрировать в свой сборочный конвейер CI/CD такой готовый процесс GitHub, достаточно всего одной строчки кода.
       
      View the full article
    • KL FC Bot
      Google OAuth: атака через заброшенные домены | Блог Касперского
      Автор KL FC Bot
      Чуть больше года назад в посте Google OAuth и фантомные аккаунты мы уже обсуждали, что использование опции «Вход с аккаунтом Google» в корпоративные сервисы дает возможность сотрудникам создавать фантомные Google-аккаунты, которые не контролируются администратором корпоративного Google Workspace и продолжают работать после оффбординга. Недавно выяснилось, что это не единственная проблема, связанная с OAuth. Из-за недостатков этого механизма аутентификации любой желающий может получить доступ к данным многих прекративших деятельность организаций, перерегистрировав на себя брошенные компаниями домены. Рассказываем подробнее об этой атаке.
      Как работает аутентификация при использовании «Вход с аккаунтом Google»
      Некоторые могут подумать, что, доверяя опции «Вход с аккаунтом Google», компания получает надежный механизм аутентификации, использующий продвинутые технологии Google и широкие возможности интернет-гиганта по мониторингу пользователей. Однако на деле это не так: при входе с Google OAuth применяется достаточно примитивная проверка. Сводится она, как правило, к тому, что у пользователя есть доступ к почтовому адресу, который привязан к Google Workspace организации.
      Причем, как мы уже говорили в предыдущем материале о Google OAuth, это вовсе не обязательно Gmail — ведь привязать Google-аккаунт можно совершенно к любой почте. Получается, что при использовании «Входа с аккаунтом Google» доступ к тому или иному корпоративному сервису защищен ровно настолько надежно, насколько защищен почтовый адрес, к которому привязан Google-аккаунт.
      Если говорить несколько более подробно, то при аутентификации пользователя в корпоративном сервисе Google OAuth отправляет этому сервису следующую информацию:
      В теории в ID-токене Google OAuth есть уникальный для каждого Google-аккаунта параметр sub, но на практике из-за проблем с его использованием сервисы проверяют лишь домен и адрес электронной почты. Источник
       
      View the full article
    • KL FC Bot
      История атаки вымогателей на UnitedHealth | Блог Касперского
      Автор KL FC Bot
      Примерно год назад произошел масштабнейший ransomware-инцидент — атака на гиганта американского медицинского страхования, компанию UnitedHealth Group. Взлом имел настолько многочисленные и серьезные последствия, что все прошедшее с момента атаки время появлялись новые подробности о ходе атаки и ее итогах. К годовщине инцидента мы решили собрать все теперь уже доступные данные в одном материале.
      Ransomware-атака на UnitedHealth Group
      Сперва дадим контекст, который будет в особенности полезен для тех, кто не очень хорошо знаком с данной организацией. UnitedHealth Group — это крупнейшая компания на рынке медицинского страхования и медицинских услуг США. Ее капитализация составляет примерно $500 миллиардов. При этом UnitedHealth Group занимает девятое место по выручке среди всех корпораций мира, следуя в этом списке сразу после Apple.
      В состав UnitedHealth Group входят две компании. Первая из них, UnitedHealthcare, занимается медицинским страхованием. Вторая, Optum, специализируется на предоставлении разнообразных медицинских услуг — от фармацевтики и собственно медицинского обслуживания до ИТ-систем, используемых в здравоохранении.
      Последним занимается OptumInsight — одно из трех подразделений Optum, причем самое высокомаржинальное из них. Осенью 2022 года в OptumInsight вошла приобретенная UnitedHealth Group платформа Change Healthcare. Эта цифровая площадка обрабатывает заявления на получение страховых выплат, выступая в роли финансового посредника между пациентами, поставщиками медицинских услуг и страховщиками.
      Собственно, Change Healthcare и стала непосредственной целью атаки вымогателей: 21 февраля в ее системах начал работать шифровальщик, из-за чего платформа стала недоступна. Это вызвало настоящий хаос в американской системе здравоохранения: из-за невозможности быстрой обработки заявлений на страховые выплаты многие пациенты вынуждены были оплачивать лекарства и медицинские услуги из своего кармана. А медицинским учреждениям пришлось перейти в ручной режим обработки счетов.
      Восстановление пострадавших систем заняло многие месяцы: к примеру, клиринговый сервис Change Healthcare возобновил работу лишь в ноябре. В UnitedHealth Group даже создали специальный сайт, на котором можно следить за восстановительными работами. Даже сейчас, спустя год после атаки, на этом сайте публикуются регулярные обновления, а некоторые системы до сих пор имеют статус «доступна частично».
       
      View the full article
×
×
  • Создать...