Киберпреступники следят за деньгами, и вам не нужно смотреть дальше недавнего убытка Toyota Boshoku в размере 37 миллионов долларов, чтобы понять, почему многие обращаются к мошенничеству с BEC.
В августе 2019 года кто-то из японской Toyota Boshoku Corp. получил по электронной почте мошеннические платежные инструкции для отправки 4 миллиардов иен (около 37 миллионов долларов) третьей стороне, что они и сделали. «Вскоре после утечки нам стало известно, что инструкции были мошенническими», - говорится в заявлении компании.
Компания быстро отреагировала, как только осознала факт мошенничества, и предприняла соответствующие действия для возмещения своих убытков - перспективные эксперты считают маловероятным. Если он не сможет вернуть деньги, он может быть вынужден пересмотреть свой прогноз прибыли в сторону понижения. Это может негативно повлиять на стоимость его акций.
Это всего лишь последний громкий пример взлома деловой электронной почты (BEC). «Я лично видел, как это происходило по крайней мере 100 раз», - говорит Роберт Уиллер, генеральный директор Strategic Consulting и генерал в отставке, который ранее был заместителем директора по информационным технологиям в ВВС. Например, злоумышленники недавно смогли проникнуть в системы компании, и финансовый директор получил электронное письмо от генерального директора с просьбой о переводе крупной суммы денег.
По словам Уиллера, у компании была система безопасности, но эта конкретная атака прошла. Компанию спасло то, что у них был процесс, который требовал личного подтверждения для определенных транзакций. Это была компания среднего размера, поэтому это требование не было особенно обременительным. «Этот финансовый директор пошел по коридору и поговорил с генеральным директором о деньгах, - говорит Уиллер, - а генеральный директор сказал:« Какие деньги?» Это была их процедура, которую они создали для дел, которые достигли определенной суммы в долларах. Это спасло их от отправки этих денег».
По словам Уиллера, для внедрения такой политики требуется приверженность высшего руководства. «Культура высшего руководства определяет количество рисков, которые принимает на себя компания».
Что такое компрометация корпоративной электронной почты?
BEC - это форма целевого фишинга, при которой преступники нацелены на ключевых лиц, контролирующих финансовые потоки. Выдавая себя за финансовых сотрудников и руководителей, эти преступники пытаются обманом заставить жертв инициировать денежные переводы на неавторизованные счета.
Как правило, злоумышленники взламывают учетную запись электронной почты старшего руководителя или финансового директора, используя существующую инфекцию или используя целевую фишинговую атаку. Злоумышленник скрывается и отслеживает активность руководителя по электронной почте, чтобы узнать о процессах и процедурах в компании. Фактическая атака принимает форму ложного электронного письма, которое выглядит так, как будто оно пришло из учетной записи взломанного руководителя, отправляемого кому-то, кто является постоянным получателем. Электронное письмо кажется важным и срочным, и в нем содержится просьба к получателю отправить банковский перевод на внешний или незнакомый банковский счет. Деньги в конечном итоге попадают на банковский счет злоумышленника.
Мошенничество с BEC является массовым и удваивается каждый год
Согласно отчету, опубликованному ФБР в сентябре 2019 года, с середины 2016 года общая сумма мошенничества с BEC превысила 26 миллиардов долларов. По данным агентства, убытки в этом году более чем вдвое превысили прошлогодний показатель, при этом о мошенничестве сообщили во всех 50 штатах и 177 странах. Основными пунктами назначения украденных средств были банки в Китае и Гонконге, затем в Великобритании, Мексике и Турции.
ФБР сообщило в общей сложности о 12,5 млрд долларов глобальных убытков с 2013 по 2018 год и 2,3 млрд долларов с 2013 по 2016 год. Таким образом, общие убытки с 2016 по 2018 год составили 10,2 млрд долларов. Это означает, что убытки с 2018 по 2019 год составят около 16 миллиардов долларов. Или что 62% убытков с 2016 года пришлось на прошлый год. Итак, он растет и быстро.
Этим летом Сеть по борьбе с финансовыми преступлениями (FinCEN, подразделение Министерства финансов США) сообщила, что общее количество отчетов о подозрительной деятельности, поданных по финансовым операциям, выросло с 500 в месяц в 2016 году до более чем 1100 в месяц в 2018 году, и общая стоимость этих отчетов увеличилась почти в три раза - со 110 миллионов долларов в месяц в 2016 году до 301 миллиона долларов в месяц в 2018 году. Программа быстрого реагирования FinCEN смогла вернуть только 500 миллионов долларов из денег с 2014 года.
По словам FinCEN, это увеличение коррелирует с общим ростом мошенничества с BEC, о котором сообщает ФБР. Производственная и строительная промышленность была главной целью, на которую приходилось 25% всех зарегистрированных инцидентов, за которыми следовали коммерческие услуги, недвижимость, финансовые услуги и здравоохранение.
Страховой гигант AIG опубликовал отчет в июле, показывающий, что мошенничество с BEC в настоящее время является самым крупным видом требований кибербезопасности, на долю которого в 2018 году пришлось 23% всех зарегистрированных инцидентов, по сравнению с 11% в 2017 году. перед программами-вымогателями, утечками данных, вызванными хакерами, утечками данных, вызванными сотрудниками, мошенничеством с выдачей себя за другое лицо, заражением вирусами или вредоносными программами, сбоями или отключениями системы, физической потерей активов, таких как украденные ноутбуки, и всеми другими типами претензий.
Согласно отчету, опубликованному этой весной Ассоциацией финансовых специалистов (AFP), в прошлом году 81% компаний получали мошеннические электронные письма, якобы отправленные их собственными руководителями высшего звена. 44% получили электронные письма, якобы отправленные поставщиками, а 33% заявили, что получали электронные письма, выдаваемые за третьи стороны с просьбой об оплате или обновлением платежной информации. Многие компании не попались на эти письма. Но, согласно опросу, многие это сделали - 54% компаний заявили, что потеряли деньги, а 29% заявили, что потеряли более 100 000 долларов.
Больше пострадали более крупные компании. Согласно опросу, 64% организаций с доходом более 1 миллиарда долларов сообщили об убытках от BEC, а 25% заявили, что потери составили более 1 миллиона долларов. По данным AFP, 43% мошенничества с BEC связаны с банковскими переводами, 33% - с кредитами ACH, 21% - с дебетованием ACH и 20% - с чеками.
Защитные меры
Компании уже предпринимают шаги, чтобы защитить себя. Согласно опросу AFP, 76% запрещают платежи, инициируемые сообщениями электронной почты или другими незащищенными каналами, 76% проводят обучение по борьбе с фишингом, 68% имеют какие-либо процессы проверки и 65% имеют двухфакторную аутентификацию для доступа к учетной записи. Кроме того, у 51% компаний есть отдельный этап проверки телефона для перевода средств.
Однако на стороне кибербезопасности меньше средств защиты. Согласно опросу AFP, только 30% компаний имеют технологии для пометки электронных писем с адресами, аналогичными корпоративным электронным письмам, и только 10% используют для платежей выделенный ПК без ссылок на электронную почту, Интернет или социальные сети.
«Контроль усиливается, - говорит Магнус Карлссон, менеджер организации по казначейским операциям и платежам, - но мы видим, что это мошенничество продолжает расти». Это потому, что преступники продолжают что-то менять, говорит он.
Поскольку выплаты могут быть весьма значительными, хакеры могут потратить время и усилия, необходимые для проникновения в системы компании, отслеживания переговоров, а затем вмешаться в процесс оплаты в нужный момент, чтобы отвлечь деньги. «Может быть странно думать о том, на что они идут», - говорит Карлссон.
По его словам, компаниям необходимо внедрять и принудительно проверять места и суммы платежей. «Судя по нашему опросу, похоже, что он используется недостаточно», - говорит он.
Компаниям также необходимо отказаться от использования электронной почты для связи, связанной с платежами. Согласно другому опросу AFP, опубликованному в этом месяце, 68% организаций используют электронную почту для отправки информации о денежных переводах, связанных с платежами ACH. Это потому, что электронная почта проста и бесплатна. Отправка информации через отдельный платежный портал или систему связи EDI добавляет уровень сложности. Использование самой инфраструктуры ACH для отправки информации о денежных переводах стоит денег, а электронная почта бесплатна. «Мы слишком часто используем электронную почту, особенно для конфиденциальной информации», - говорит Карлссон. «Это то, на что нам нужно взглянуть».
Время - деньги
Если мошенничество обнаруживается немедленно, банки иногда могут отменить переводы и вернуть часть или все деньги. Чем больше задержка, тем больше времени у мошенников для перевода денег на другие счета. С каждым переходом деньги уходят куда-то с меньшим количеством мер безопасности, меньшим сотрудничеством с властями, более слабой политикой «знай своего клиента», пока, наконец, не исчезнет весь след.
Согласно опросу AFP, только 42% мошенничества были обнаружены в течение недели. По словам Карлссона, даже если на обнаружение уйдет всего два-три дня, у преступников может быть достаточно времени, чтобы увести деньги. Кроме того, финансовая система США переходит на платежи ACH в тот же день, но 56% компаний заявляют, что не предпринимают никаких шагов для снижения дополнительного риска.
4 исправления бизнес-процесса для остановки BEC
Настройте процессы проверки
Уиллер рекомендует компаниям устанавливать пороговые значения, при достижении которых вступают в силу дополнительные этапы проверки. Например, транзакции, превышающие определенную сумму, или серию более мелких транзакций, в которых запрашивается слишком много переводов за определенный период времени. Конечно, компании могут переборщить с системой сдержек и противовесов, - говорит он. Одна компания, с которой он работает, имеет девять уровней проверок, что значительно замедляет платежи, раздражает деловых партнеров и замедляет бизнес.
Избавьтесь от смущения из-за виктимизации BEC
Одна из проблем с внесением таких изменений в бизнес-процессы, добавлением технологии аутентификации электронной почты или обучением по борьбе с фишингом заключается в том, что отдел, ответственный за мошенническую передачу, может быть слишком смущен, чтобы признать свою ошибку и попросить о помощи. Кроме того, сотрудникам более низкого уровня может быть неудобно говорить «нет» на электронное письмо, которое, кажется, пришло от их генерального директора или других руководителей высшего звена.
Является ли смущение важным фактором, способствующим мошенничеству с BEC? «Если бы вы задали мне этот вопрос 18 месяцев назад, я бы однозначно ответил« да », - говорит Уиллер. «Но люди начинают понимать, что это настоящая проблема, и вы не можете спрятать ее под ковер».
По его словам, смущение также оказывает разное влияние в зависимости от географического положения. «Когда вы смотрите на культуры других народов, сохранение лица - важная часть», - говорит он. "Это то, что со временем изменится. В США мы, вероятно, находимся на переднем крае готовности разобраться с этим заранее и понимаем, что да, мы будем смущены, но нам нужно с этим справиться, потому что мы не можем допустить, чтобы это повторилось».
Говорите о финансах и безопасности
Помимо добавления финансового контроля, такого как вторичные этапы подтверждения, компаниям необходимо начать поощрять финансовые команды к лучшему общению с экспертами по кибербезопасности. Некоторые простые меры безопасности могут иметь большое влияние на финансовый отдел, но сотрудники службы безопасности могут сосредоточиться на задачах, которые имеют большее влияние на компьютерные сети и системы.
Профессионалы в области кибербезопасности должны избегать менталитета «винить жертву». Да, финансовому директору не следовало производить оплату. Их работа была бы проще, если бы компания использовала DMARC для блокировки поддельных адресов электронной почты, проверяя, совпадают ли отображаемые имена с кем-либо в корпоративном каталоге, но фактические адреса электронной почты были неизвестны, и обеспечивала двухфакторную аутентификацию для всех учетных записей электронной почты компании.
Включить технологии обнаружения и предотвращения мошенничества
Начнем с DMARC. Аутентификация, отчетность и соответствие сообщений на основе домена - это технологический стандарт, который подтверждает, что электронная почта приходит именно оттуда, где написано, и предотвращает подделку адресов электронной почты преступниками.
В июле 2019 года исследовательская компания 250ok опубликовала анализ 25700 доменов, принадлежащих компаниям из списка Fortune 500, фирмам электронной коммерции, образовательным учреждениям, государственным учреждениям, фирмам финансовых услуг, туристическим фирмам и 1000 ведущим поставщикам услуг SaaS. Все это важные цели для преступников, но 80% из этих доменов не имеют защиты DMARC, и только 8% имеют свои системы, настроенные на автоматическое отклонение или карантин плохой электронной почты.
Одна группа, работающая над изменением, - это AuthIndicators Working Group, отраслевая группа, не зависящая от поставщиков, которая пытается привлечь компании к использованию аутентификации DMARC. По словам председателя группы Сета Бланка, проблема в том, что крупные компании обычно имеют множество различных почтовых сервисов, и включение DMARC может потребовать некоторой работы. «Если вы создаете доменное имя электронной почты с нуля, то DMARC - это просто», - говорит он. «Это действительно красиво и четко. Но вы работаете уже долгое время, может быть трудно найти, кто владеет всеми почтовыми серверами, и выяснить, как заставить работать аутентификацию».
Однако, как только он будет установлен, это станет серьезным улучшением безопасности. По его словам, примерно 60% электронных писем BEC связаны с имитацией домена. Остальные 40% имеют либо похожий адрес электронной почты, либо личный адрес электронной почты и используют отображаемое имя, чтобы заставить получателя думать, что это электронное письмо от их генерального директора или другого старшего руководителя.
По словам Бланка, «палка» - все случаи мошенничества с BEC, поражающие компании, - явно не оказывает достаточного воздействия. Итак, организация добавляет в уравнение пряник. Компании, внедрившие DMARC, будут отображать логотипы своих компаний в почтовом ящике получателя. По его словам, для крупной компании, ориентированной на потребителя, это может приносить много бесплатных показов бренда каждый месяц.
Это называется BIMI, индикаторы бренда для идентификации сообщений. Почта Yahoo уже доступна, а Google зарегистрировался в июле 2019 года. «Google будет пилотировать BIMI в 2020 году», - говорит Бланк. Среди других спонсоров - LinkedIn, Comcast, Verizon Media и Valimail, где Бланк является директором по отраслевым инициативам. Ожидается, что другие провайдеры электронной почты запустят испытания BIMI в следующем году.
Аутентификация электронной почты не решит полностью проблему мошенничества с BEC. Например, если злоумышленник может захватить реальную учетную запись электронной почты генерального директора, то электронные письма фактически будут подлинными. Это значительно сократит поверхность атаки и сделает ее более сложной и дорогой для злоумышленников.
Между тем, двухфакторная аутентификация и анализ поведения пользователей, выявляющие подозрительный доступ, могут помочь снизить риск атак с захватом учетной записи электронной почты. «Проблема - и это касается любых организационных изменений - заключается в том, что есть такой импульс в том, как все делалось всегда», - говорит Мэтт Уилсон, главный советник по информационной безопасности в BTB Security, консалтинговой фирме по кибербезопасности. «Было бы здорово, если бы все сделали DMARC, если бы они сделали проверку личности».
Фактически, технология уже существует и готова к использованию компаниями. Например, BTB Security использует электронную почту Office 365. По его словам, платформа автоматически настраивает все необходимое для DMARC. «Это должно привести многие организации в соответствие с строгой практикой безопасности без какого-либо вмешательства со стороны их самих».
По словам Уилсона, у каждого крупного поставщика средств защиты электронной почты есть опция конфигурации для блокировки внешних электронных писем с локальными доменами. «Это очень просто сделать с помощью инструмента, который у нас уже есть, и у нас почти нет недостатков», - говорит он. «Но компании приходится тащить за ногами и кричать. Может быть, когда они сгорят, они что-то с этим сделают».
Еще одна область, в которой технологии могут помочь уменьшить мошенничество с BEC, - это создание пути эскалации для пользователей. Сегодня у большинства компаний нет пути к эскалации, говорит Эрик Фаветта, профессор кибербезопасности в Фордхэмском университете, который работал консультантом по безопасности более чем в 300 компаниях, оказывающих финансовые услуги. «Если пользователь сможет понять, что это фишинговая атака, он просто повесит трубку или удалит письмо», - говорит он. «И злоумышленник переходит к следующему сотруднику компании».
Предприятиям необходимо настроить простые в использовании системы, позволяющие сотрудникам отмечать электронные письма и другие сообщения, похожие на фишинг или атаки социальной инженерии, чтобы другие сотрудники знали, что против них ведется потенциальная кампания, и должны быть начеку.
По словам Фаветты, внедрение средств контроля безопасности и обновление бизнес-процессов может оказаться дорогостоящим. Но просто принять риск и допустить мошенничество было бы большой ошибкой. «Я думаю, люди понимают, что, если они не защитят свои активы, они рано или поздно выйдут из бизнеса».
В августе 2019 года кто-то из японской Toyota Boshoku Corp. получил по электронной почте мошеннические платежные инструкции для отправки 4 миллиардов иен (около 37 миллионов долларов) третьей стороне, что они и сделали. «Вскоре после утечки нам стало известно, что инструкции были мошенническими», - говорится в заявлении компании.
Компания быстро отреагировала, как только осознала факт мошенничества, и предприняла соответствующие действия для возмещения своих убытков - перспективные эксперты считают маловероятным. Если он не сможет вернуть деньги, он может быть вынужден пересмотреть свой прогноз прибыли в сторону понижения. Это может негативно повлиять на стоимость его акций.
Это всего лишь последний громкий пример взлома деловой электронной почты (BEC). «Я лично видел, как это происходило по крайней мере 100 раз», - говорит Роберт Уиллер, генеральный директор Strategic Consulting и генерал в отставке, который ранее был заместителем директора по информационным технологиям в ВВС. Например, злоумышленники недавно смогли проникнуть в системы компании, и финансовый директор получил электронное письмо от генерального директора с просьбой о переводе крупной суммы денег.
По словам Уиллера, у компании была система безопасности, но эта конкретная атака прошла. Компанию спасло то, что у них был процесс, который требовал личного подтверждения для определенных транзакций. Это была компания среднего размера, поэтому это требование не было особенно обременительным. «Этот финансовый директор пошел по коридору и поговорил с генеральным директором о деньгах, - говорит Уиллер, - а генеральный директор сказал:« Какие деньги?» Это была их процедура, которую они создали для дел, которые достигли определенной суммы в долларах. Это спасло их от отправки этих денег».
По словам Уиллера, для внедрения такой политики требуется приверженность высшего руководства. «Культура высшего руководства определяет количество рисков, которые принимает на себя компания».
Что такое компрометация корпоративной электронной почты?
BEC - это форма целевого фишинга, при которой преступники нацелены на ключевых лиц, контролирующих финансовые потоки. Выдавая себя за финансовых сотрудников и руководителей, эти преступники пытаются обманом заставить жертв инициировать денежные переводы на неавторизованные счета.
Как правило, злоумышленники взламывают учетную запись электронной почты старшего руководителя или финансового директора, используя существующую инфекцию или используя целевую фишинговую атаку. Злоумышленник скрывается и отслеживает активность руководителя по электронной почте, чтобы узнать о процессах и процедурах в компании. Фактическая атака принимает форму ложного электронного письма, которое выглядит так, как будто оно пришло из учетной записи взломанного руководителя, отправляемого кому-то, кто является постоянным получателем. Электронное письмо кажется важным и срочным, и в нем содержится просьба к получателю отправить банковский перевод на внешний или незнакомый банковский счет. Деньги в конечном итоге попадают на банковский счет злоумышленника.
Мошенничество с BEC является массовым и удваивается каждый год
Согласно отчету, опубликованному ФБР в сентябре 2019 года, с середины 2016 года общая сумма мошенничества с BEC превысила 26 миллиардов долларов. По данным агентства, убытки в этом году более чем вдвое превысили прошлогодний показатель, при этом о мошенничестве сообщили во всех 50 штатах и 177 странах. Основными пунктами назначения украденных средств были банки в Китае и Гонконге, затем в Великобритании, Мексике и Турции.
ФБР сообщило в общей сложности о 12,5 млрд долларов глобальных убытков с 2013 по 2018 год и 2,3 млрд долларов с 2013 по 2016 год. Таким образом, общие убытки с 2016 по 2018 год составили 10,2 млрд долларов. Это означает, что убытки с 2018 по 2019 год составят около 16 миллиардов долларов. Или что 62% убытков с 2016 года пришлось на прошлый год. Итак, он растет и быстро.
Этим летом Сеть по борьбе с финансовыми преступлениями (FinCEN, подразделение Министерства финансов США) сообщила, что общее количество отчетов о подозрительной деятельности, поданных по финансовым операциям, выросло с 500 в месяц в 2016 году до более чем 1100 в месяц в 2018 году, и общая стоимость этих отчетов увеличилась почти в три раза - со 110 миллионов долларов в месяц в 2016 году до 301 миллиона долларов в месяц в 2018 году. Программа быстрого реагирования FinCEN смогла вернуть только 500 миллионов долларов из денег с 2014 года.
По словам FinCEN, это увеличение коррелирует с общим ростом мошенничества с BEC, о котором сообщает ФБР. Производственная и строительная промышленность была главной целью, на которую приходилось 25% всех зарегистрированных инцидентов, за которыми следовали коммерческие услуги, недвижимость, финансовые услуги и здравоохранение.
Страховой гигант AIG опубликовал отчет в июле, показывающий, что мошенничество с BEC в настоящее время является самым крупным видом требований кибербезопасности, на долю которого в 2018 году пришлось 23% всех зарегистрированных инцидентов, по сравнению с 11% в 2017 году. перед программами-вымогателями, утечками данных, вызванными хакерами, утечками данных, вызванными сотрудниками, мошенничеством с выдачей себя за другое лицо, заражением вирусами или вредоносными программами, сбоями или отключениями системы, физической потерей активов, таких как украденные ноутбуки, и всеми другими типами претензий.
Согласно отчету, опубликованному этой весной Ассоциацией финансовых специалистов (AFP), в прошлом году 81% компаний получали мошеннические электронные письма, якобы отправленные их собственными руководителями высшего звена. 44% получили электронные письма, якобы отправленные поставщиками, а 33% заявили, что получали электронные письма, выдаваемые за третьи стороны с просьбой об оплате или обновлением платежной информации. Многие компании не попались на эти письма. Но, согласно опросу, многие это сделали - 54% компаний заявили, что потеряли деньги, а 29% заявили, что потеряли более 100 000 долларов.
Больше пострадали более крупные компании. Согласно опросу, 64% организаций с доходом более 1 миллиарда долларов сообщили об убытках от BEC, а 25% заявили, что потери составили более 1 миллиона долларов. По данным AFP, 43% мошенничества с BEC связаны с банковскими переводами, 33% - с кредитами ACH, 21% - с дебетованием ACH и 20% - с чеками.
Защитные меры
Компании уже предпринимают шаги, чтобы защитить себя. Согласно опросу AFP, 76% запрещают платежи, инициируемые сообщениями электронной почты или другими незащищенными каналами, 76% проводят обучение по борьбе с фишингом, 68% имеют какие-либо процессы проверки и 65% имеют двухфакторную аутентификацию для доступа к учетной записи. Кроме того, у 51% компаний есть отдельный этап проверки телефона для перевода средств.
Однако на стороне кибербезопасности меньше средств защиты. Согласно опросу AFP, только 30% компаний имеют технологии для пометки электронных писем с адресами, аналогичными корпоративным электронным письмам, и только 10% используют для платежей выделенный ПК без ссылок на электронную почту, Интернет или социальные сети.
«Контроль усиливается, - говорит Магнус Карлссон, менеджер организации по казначейским операциям и платежам, - но мы видим, что это мошенничество продолжает расти». Это потому, что преступники продолжают что-то менять, говорит он.
Поскольку выплаты могут быть весьма значительными, хакеры могут потратить время и усилия, необходимые для проникновения в системы компании, отслеживания переговоров, а затем вмешаться в процесс оплаты в нужный момент, чтобы отвлечь деньги. «Может быть странно думать о том, на что они идут», - говорит Карлссон.
По его словам, компаниям необходимо внедрять и принудительно проверять места и суммы платежей. «Судя по нашему опросу, похоже, что он используется недостаточно», - говорит он.
Компаниям также необходимо отказаться от использования электронной почты для связи, связанной с платежами. Согласно другому опросу AFP, опубликованному в этом месяце, 68% организаций используют электронную почту для отправки информации о денежных переводах, связанных с платежами ACH. Это потому, что электронная почта проста и бесплатна. Отправка информации через отдельный платежный портал или систему связи EDI добавляет уровень сложности. Использование самой инфраструктуры ACH для отправки информации о денежных переводах стоит денег, а электронная почта бесплатна. «Мы слишком часто используем электронную почту, особенно для конфиденциальной информации», - говорит Карлссон. «Это то, на что нам нужно взглянуть».
Время - деньги
Если мошенничество обнаруживается немедленно, банки иногда могут отменить переводы и вернуть часть или все деньги. Чем больше задержка, тем больше времени у мошенников для перевода денег на другие счета. С каждым переходом деньги уходят куда-то с меньшим количеством мер безопасности, меньшим сотрудничеством с властями, более слабой политикой «знай своего клиента», пока, наконец, не исчезнет весь след.
Согласно опросу AFP, только 42% мошенничества были обнаружены в течение недели. По словам Карлссона, даже если на обнаружение уйдет всего два-три дня, у преступников может быть достаточно времени, чтобы увести деньги. Кроме того, финансовая система США переходит на платежи ACH в тот же день, но 56% компаний заявляют, что не предпринимают никаких шагов для снижения дополнительного риска.
4 исправления бизнес-процесса для остановки BEC
Настройте процессы проверки
Уиллер рекомендует компаниям устанавливать пороговые значения, при достижении которых вступают в силу дополнительные этапы проверки. Например, транзакции, превышающие определенную сумму, или серию более мелких транзакций, в которых запрашивается слишком много переводов за определенный период времени. Конечно, компании могут переборщить с системой сдержек и противовесов, - говорит он. Одна компания, с которой он работает, имеет девять уровней проверок, что значительно замедляет платежи, раздражает деловых партнеров и замедляет бизнес.
Избавьтесь от смущения из-за виктимизации BEC
Одна из проблем с внесением таких изменений в бизнес-процессы, добавлением технологии аутентификации электронной почты или обучением по борьбе с фишингом заключается в том, что отдел, ответственный за мошенническую передачу, может быть слишком смущен, чтобы признать свою ошибку и попросить о помощи. Кроме того, сотрудникам более низкого уровня может быть неудобно говорить «нет» на электронное письмо, которое, кажется, пришло от их генерального директора или других руководителей высшего звена.
Является ли смущение важным фактором, способствующим мошенничеству с BEC? «Если бы вы задали мне этот вопрос 18 месяцев назад, я бы однозначно ответил« да », - говорит Уиллер. «Но люди начинают понимать, что это настоящая проблема, и вы не можете спрятать ее под ковер».
По его словам, смущение также оказывает разное влияние в зависимости от географического положения. «Когда вы смотрите на культуры других народов, сохранение лица - важная часть», - говорит он. "Это то, что со временем изменится. В США мы, вероятно, находимся на переднем крае готовности разобраться с этим заранее и понимаем, что да, мы будем смущены, но нам нужно с этим справиться, потому что мы не можем допустить, чтобы это повторилось».
Говорите о финансах и безопасности
Помимо добавления финансового контроля, такого как вторичные этапы подтверждения, компаниям необходимо начать поощрять финансовые команды к лучшему общению с экспертами по кибербезопасности. Некоторые простые меры безопасности могут иметь большое влияние на финансовый отдел, но сотрудники службы безопасности могут сосредоточиться на задачах, которые имеют большее влияние на компьютерные сети и системы.
Профессионалы в области кибербезопасности должны избегать менталитета «винить жертву». Да, финансовому директору не следовало производить оплату. Их работа была бы проще, если бы компания использовала DMARC для блокировки поддельных адресов электронной почты, проверяя, совпадают ли отображаемые имена с кем-либо в корпоративном каталоге, но фактические адреса электронной почты были неизвестны, и обеспечивала двухфакторную аутентификацию для всех учетных записей электронной почты компании.
Включить технологии обнаружения и предотвращения мошенничества
Начнем с DMARC. Аутентификация, отчетность и соответствие сообщений на основе домена - это технологический стандарт, который подтверждает, что электронная почта приходит именно оттуда, где написано, и предотвращает подделку адресов электронной почты преступниками.
В июле 2019 года исследовательская компания 250ok опубликовала анализ 25700 доменов, принадлежащих компаниям из списка Fortune 500, фирмам электронной коммерции, образовательным учреждениям, государственным учреждениям, фирмам финансовых услуг, туристическим фирмам и 1000 ведущим поставщикам услуг SaaS. Все это важные цели для преступников, но 80% из этих доменов не имеют защиты DMARC, и только 8% имеют свои системы, настроенные на автоматическое отклонение или карантин плохой электронной почты.
Одна группа, работающая над изменением, - это AuthIndicators Working Group, отраслевая группа, не зависящая от поставщиков, которая пытается привлечь компании к использованию аутентификации DMARC. По словам председателя группы Сета Бланка, проблема в том, что крупные компании обычно имеют множество различных почтовых сервисов, и включение DMARC может потребовать некоторой работы. «Если вы создаете доменное имя электронной почты с нуля, то DMARC - это просто», - говорит он. «Это действительно красиво и четко. Но вы работаете уже долгое время, может быть трудно найти, кто владеет всеми почтовыми серверами, и выяснить, как заставить работать аутентификацию».
Однако, как только он будет установлен, это станет серьезным улучшением безопасности. По его словам, примерно 60% электронных писем BEC связаны с имитацией домена. Остальные 40% имеют либо похожий адрес электронной почты, либо личный адрес электронной почты и используют отображаемое имя, чтобы заставить получателя думать, что это электронное письмо от их генерального директора или другого старшего руководителя.
По словам Бланка, «палка» - все случаи мошенничества с BEC, поражающие компании, - явно не оказывает достаточного воздействия. Итак, организация добавляет в уравнение пряник. Компании, внедрившие DMARC, будут отображать логотипы своих компаний в почтовом ящике получателя. По его словам, для крупной компании, ориентированной на потребителя, это может приносить много бесплатных показов бренда каждый месяц.
Это называется BIMI, индикаторы бренда для идентификации сообщений. Почта Yahoo уже доступна, а Google зарегистрировался в июле 2019 года. «Google будет пилотировать BIMI в 2020 году», - говорит Бланк. Среди других спонсоров - LinkedIn, Comcast, Verizon Media и Valimail, где Бланк является директором по отраслевым инициативам. Ожидается, что другие провайдеры электронной почты запустят испытания BIMI в следующем году.
Аутентификация электронной почты не решит полностью проблему мошенничества с BEC. Например, если злоумышленник может захватить реальную учетную запись электронной почты генерального директора, то электронные письма фактически будут подлинными. Это значительно сократит поверхность атаки и сделает ее более сложной и дорогой для злоумышленников.
Между тем, двухфакторная аутентификация и анализ поведения пользователей, выявляющие подозрительный доступ, могут помочь снизить риск атак с захватом учетной записи электронной почты. «Проблема - и это касается любых организационных изменений - заключается в том, что есть такой импульс в том, как все делалось всегда», - говорит Мэтт Уилсон, главный советник по информационной безопасности в BTB Security, консалтинговой фирме по кибербезопасности. «Было бы здорово, если бы все сделали DMARC, если бы они сделали проверку личности».
Фактически, технология уже существует и готова к использованию компаниями. Например, BTB Security использует электронную почту Office 365. По его словам, платформа автоматически настраивает все необходимое для DMARC. «Это должно привести многие организации в соответствие с строгой практикой безопасности без какого-либо вмешательства со стороны их самих».
По словам Уилсона, у каждого крупного поставщика средств защиты электронной почты есть опция конфигурации для блокировки внешних электронных писем с локальными доменами. «Это очень просто сделать с помощью инструмента, который у нас уже есть, и у нас почти нет недостатков», - говорит он. «Но компании приходится тащить за ногами и кричать. Может быть, когда они сгорят, они что-то с этим сделают».
Еще одна область, в которой технологии могут помочь уменьшить мошенничество с BEC, - это создание пути эскалации для пользователей. Сегодня у большинства компаний нет пути к эскалации, говорит Эрик Фаветта, профессор кибербезопасности в Фордхэмском университете, который работал консультантом по безопасности более чем в 300 компаниях, оказывающих финансовые услуги. «Если пользователь сможет понять, что это фишинговая атака, он просто повесит трубку или удалит письмо», - говорит он. «И злоумышленник переходит к следующему сотруднику компании».
Предприятиям необходимо настроить простые в использовании системы, позволяющие сотрудникам отмечать электронные письма и другие сообщения, похожие на фишинг или атаки социальной инженерии, чтобы другие сотрудники знали, что против них ведется потенциальная кампания, и должны быть начеку.
По словам Фаветты, внедрение средств контроля безопасности и обновление бизнес-процессов может оказаться дорогостоящим. Но просто принять риск и допустить мошенничество было бы большой ошибкой. «Я думаю, люди понимают, что, если они не защитят свои активы, они рано или поздно выйдут из бизнеса».
