Перейти к содержанию

Как бороться с Internal BEC

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

В последние годы участились атаки типа Business E-mail Compromise (BEC). Их суть сводится к компрометации деловой переписки в целях финансового мошенничества, добычи конфиденциальной информации или подрыва репутации компании. Мы уже публиковали пост о различных типах BEC и методах борьбы с ними, в котором упоминали и самый опасный вариант атаки — Internal BEC. Недавно мы разработали и внедрили технологию, позволяющую защищать именно от этой угрозы.

Что такое атака Internal BEC и почему она опаснее других

Internal BEC отличается от прочих вариантов атаки тем, что мошеннические письма рассылаются с легитимных адресов внутри компании. То есть сначала злоумышленник тем или иным образом получает доступ к почтовой учетной записи сотрудника. Это значит, что на механизмы email-аутентификации — DKIM, SPF и DMARC — полагаться не приходится. Да и стандартные автоматические антифишинговые и антиспамерские технологии, нацеленные на поиск несоответствий в технических заголовках или на выявление измененного написания адресов, тут тоже не помогут.

Чаще всего в письме содержится просьба перевести деньги (поставщику, подрядчику, налоговой) или же переслать какую-то конфиденциальную информацию. Все это, разумеется, приправлено достаточно стандартными уловками социальной инженерии. Злоумышленники упирают на срочность («если мы не оплатим счет сегодня, придется платить неустойку!!!»), угрожают («я просил провести платеж еще в прошлом месяце, чем вы там заняты, вам работа надоела?!»), имитируют приказной тон, не допускающий промедлений, или пользуются еще какой-либо из множества уловок. В сочетании с легитимным адресом это может звучать очень убедительно.

Также мошенники могут использовать в атаках типа Internal BEC письма со ссылками на поддельные сайты, адрес которых отличается от адреса атакуемой организации (или другой заведомо доверенной страницы) одной или двумя буквами, которые легко не заметить (самый простой пример — заглавная латинская i вместо прописной L ). На сайте может быть размещена платежная форма или, например, анкета для получения какой-то конфиденциальной информации. Представьте — вам приходит письмо с адреса начальника с текстом: «Мы решили послать тебя на конференцию, срочно оплати участие с нашего счета, пока остались льготные места». И ссылка на самое престижное мероприятие в вашей отрасли. Каковы шансы, что вы будете внимательно изучать каждую букву в имени конференции, если в письме даже автоподпись корректная?

Как защитить компанию от Internal BEC

Поскольку с технической точки зрения письмо злоумышленников абсолютно легитимно, единственный способ распознать фальшивку — изучать содержимое. Если проанализировать множество писем злоумышленников при помощи алгоритмов машинного обучения, то можно выделить ряд некоторых признаков. Их сочетание позволит определить, настоящее перед получателем письмо или же часть BEC-атаки.

К счастью, в материалах для обучения у нас нет недостатка. В наши почтовые ловушки со всего мира приходят миллионы спам-сообщений в день. Среди них попадается и достаточно много фишинговых писем (это, конечно, не Internal BEC, но уловки и цели у злоумышленников такие же, поэтому из них получается отличный материал для обучения).

Первым делом на большом объеме сообщений мы обучаем классификатор, способный выделять из этого потока письма, содержащие признаки мошенничества. Затем начинается этап машинного обучения, где идет работа непосредственно с текстом. В результате алгоритмы выделяют термины для распознавания подозрительных сообщений, на основании которых формируются эвристики — инструкции, по которым наши продукты выявляют атаку. Таким образом, в работе принимает участие целый ансамбль классификаторов машинного обучения.

Разумеется, это не повод расслабляться. Да, теперь наши продукты будут выявлять больше BEC-атак, но в теории, получив доступ к почте сотрудника, злоумышленники могут изучить его манеру письма и попытаться имитировать его при атаке. Так что забывать о бдительности не стоит.

Мы рекомендуем уделять особое внимание письмам, в которых присутствует просьба о финансовом переводе или раскрытии каких-либо конфиденциальных данных. Будет нелишне добавить еще один фактор аутентификации — позвонить коллеге по телефону, написать в доверенном мессенджере, или просто подойти к нему, чтобы уточнить детали.

Эвристики, созданные новой технологией защиты от BEC в данный момент используются в продукте Kaspersky Security для Microsoft Office 365, однако мы планируем применять их и в других решениях.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Защита от спама: как его распознать и как с ним бороться | Блог Касперского
      От KL FC Bot
      «Здравствуйте, это ваш дальний родственник из Нигерии. Дело в том, что я болен смертельной болезнью, другой родни у меня нет, поэтому хочу еще при жизни перечислить вам свое наследство в размере $100 млн», — сообщения с подобным посылом приходили на почту, наверное, каждому пользователю Интернета. Эти письма прозвали «нигерийскими», потому что мошенники представлялись богатыми и состоятельными людьми из Нигерии. Сейчас на смену «богатым нигерийским четвероюродным дядям по маминой линии» приходят фейковые представители банков, онлайн-магазинов, служб доставок и даже президенты.
      Сегодня расскажем про самые популярные виды спама и ответим на вопрос, что делать, если на почту пришел спам.
      Письма от инвесторов, меценатов и прочих богачей
      Это, пожалуй, самый древний и вместе с тем популярный сценарий спама. Даже в 2025 году в почту стучатся всевозможные благодетели, жаждущие отдать свои кровные именно вам. Подобные письма выглядят как под копирку: якобы невероятно богатый человек рассказывает про источник своего богатства, описывает свою проблему и предлагает ее решение. Обо всем по порядку:
      Источником богатства может быть что угодно: наследство, невероятно прибыльный бизнес в далекой стране или даже внезапно обнаруженный криптокошелек с миллионами денег. Проблема тоже вариативна: от смертельной болезни до желания пожертвовать все свои деньги на благотворительность — и сделать это нужно обязательно с вашей помощью. Решение всегда одно — нужно как можно скорее перевести деньги на ваш счет. Конечно, если в ответ на такое письмо вы отправите свои глубочайшие соболезнования и номер банковской карты, то никто не перечислит вам ни миллионы, ни даже тысячи денег. Наоборот, мошенники будут всеми правдами и неправдами вынуждать вас перевести им свои средства. Как вариант, оплатить несуществующую комиссию на перевод их миллионов денег.
      Не стоит верить письму, даже если оно отправлено якобы президентом США. Сейчас спамеры на волне популярности Дональда Трампа запустили новую-старую мошенническую схему: рассылают потенциальным жертвам письма, в которых представляются Дональдом Трампом, почему-то решившим отправить по $15 млн нескольким десяткам счастливчиков по всему миру. Получить миллионы можно, лишь отправив ответное письмо, где фейковый мистер Дональд Трамп попросит перейти по ссылочке и ввести свои банковские данные либо оплатить комиссию за перевод средств на ваш счет.
       
      View the full article
    • KL FC Bot
      Как бороться с двойниками вашей компании | Блог Касперского
      От KL FC Bot
      Как только компания становится более-менее известной, находятся люди, пытающиеся эксплуатировать этот успех в своих целях. В лучшем случае они просто прикрываются чужим именем, чтобы продвигать какие-нибудь товары и услуги сомнительного качества. В худшем — охотятся на ваших клиентов, партнеров или даже сотрудников. Причем руководство и ИБ-отдел компании зачастую даже не подозревают о существовании имперсонаторов до тех пор, пока недовольство действиями злоумышленников не вызывает шквал писем в поддержку или скандал в социальных сетях, а это в любом случае негативно отражается на репутации компании. Чаще всего двойники работают по трем направлениям.
      Фальшивые приложения в магазинах
      Сейчас практически каждый серьезный бизнес имеет собственное приложение для удобного доступа клиентов к услугам или для заказа товаров. Иногда даже не одно. Поэтому никто не удивляется, увидев в поиске магазина приложений сразу несколько позиций с одинаковой иконкой. Да, большинство пользователей скачают самый популярный вариант, но скорее всего часть попадется на уловку злоумышленников и установит себе фальшивку. Особенно если получат на нее прямую ссылку. А внутри может быть что угодно: от банковского трояна до средств удаленного управления устройством. Совсем недавно наши эксперты нашли в Google Play несколько модифицированных версий популярных мессенджеров, по факту являющихся шпионскими программами.
       
      Посмотреть статью полностью
×
×
  • Создать...