Как бороться с Internal BEC

BEC-атаки, в которых задействуют скомпрометированные почтовые ящики, особенно опасны. Рассказываем, как мы научились их выявлять.

В последние годы участились атаки типа Business E-mail Compromise (BEC). Их суть сводится к компрометации деловой переписки в целях финансового мошенничества, добычи конфиденциальной информации или подрыва репутации компании. Мы уже публиковали пост о различных типах BEC и методах борьбы с ними, в котором упоминали и самый опасный вариант атаки — Internal BEC. Недавно мы разработали и внедрили технологию, позволяющую защищать именно от этой угрозы.

Что такое атака Internal BEC и почему она опаснее других

Internal BEC отличается от прочих вариантов атаки тем, что мошеннические письма рассылаются с легитимных адресов внутри компании. То есть сначала злоумышленник тем или иным образом получает доступ к почтовой учетной записи сотрудника. Это значит, что на механизмы email-аутентификации — DKIM, SPF и DMARC — полагаться не приходится. Да и стандартные автоматические антифишинговые и антиспамерские технологии, нацеленные на поиск несоответствий в технических заголовках или на выявление измененного написания адресов, тут тоже не помогут.

Чаще всего в письме содержится просьба перевести деньги (поставщику, подрядчику, налоговой) или же переслать какую-то конфиденциальную информацию. Все это, разумеется, приправлено достаточно стандартными уловками социальной инженерии. Злоумышленники упирают на срочность («если мы не оплатим счет сегодня, придется платить неустойку!!!»), угрожают («я просил провести платеж еще в прошлом месяце, чем вы там заняты, вам работа надоела?!»), имитируют приказной тон, не допускающий промедлений, или пользуются еще какой-либо из множества уловок. В сочетании с легитимным адресом это может звучать очень убедительно.

Также мошенники могут использовать в атаках типа Internal BEC письма со ссылками на поддельные сайты, адрес которых отличается от адреса атакуемой организации (или другой заведомо доверенной страницы) одной или двумя буквами, которые легко не заметить (самый простой пример — заглавная латинская i вместо строчной L ). На сайте может быть размещена платежная форма или, например, анкета для получения какой-то конфиденциальной информации. Представьте — вам приходит письмо с адреса начальника с текстом: «Мы решили послать тебя на конференцию, срочно оплати участие с нашего счета, пока остались льготные места». И ссылка на самое престижное мероприятие в вашей отрасли. Каковы шансы, что вы будете внимательно изучать каждую букву в имени конференции, если в письме даже автоподпись корректная?

Как защитить компанию от Internal BEC

Поскольку с технической точки зрения письмо злоумышленников абсолютно легитимно, единственный способ распознать фальшивку — изучать содержимое. Если проанализировать множество писем злоумышленников при помощи алгоритмов машинного обучения, то можно выделить ряд некоторых признаков. Их сочетание позволит определить, настоящее перед получателем письмо или же часть BEC-атаки.

К счастью, в материалах для обучения у нас нет недостатка. В наши почтовые ловушки со всего мира приходят миллионы спам-сообщений в день. Среди них попадается и достаточно много фишинговых писем (это, конечно, не Internal BEC, но уловки и цели у злоумышленников такие же, поэтому из них получается отличный материал для обучения).

Первым делом на большом объеме сообщений мы обучаем классификатор, способный выделять из этого потока письма, содержащие признаки мошенничества. Затем начинается этап машинного обучения, где идет работа непосредственно с текстом. В результате алгоритмы выделяют термины для распознавания подозрительных сообщений, на основании которых формируются эвристики — инструкции, по которым наши продукты выявляют атаку. Таким образом, в работе принимает участие целый ансамбль классификаторов машинного обучения.

Разумеется, это не повод расслабляться. Да, теперь наши продукты будут выявлять больше BEC-атак, но в теории, получив доступ к почте сотрудника, злоумышленники могут изучить его манеру письма и попытаться имитировать его при атаке. Так что забывать о бдительности не стоит.

Мы рекомендуем уделять особое внимание письмам, в которых присутствует просьба о финансовом переводе или раскрытии каких-либо конфиденциальных данных. Будет нелишне добавить еще один фактор аутентификации — позвонить коллеге по телефону, написать в доверенном мессенджере, или просто подойти к нему, чтобы уточнить детали.

Эвристики, созданные новой технологией защиты от BEC в данный момент используются в продукте Kaspersky Security для Microsoft Office 365, однако мы планируем применять их и в других решениях.

Советы