Тел.: +375 (17) 287 87 06
Факс: +375 (17) 327 21 57
В условиях становления общества информация обретает особую ценность, а вопросы безопасности становятся все более актуальными. Несмотря на преимущества и блага, которые создаются за счет цифровизации общества, в этом процессе есть и негативная сторона – неправомочное завладение злоумышленниками финансовыми активами предприятий или организаций с использованием так называемых ВЕС-атак (Business Email Compromise).
ВЕС - это атака, при которой злоумышленники начинают переписку с сотрудником предприятия или организации с целью завоевать его доверие и убедить выполнить действия, идущие во вред интересам субъекта хозяйствования или его клиентов. Зачастую используются взломанные аккаунты сотрудников или адреса, которые визуально похожи на официальные домены или адреса интернет сайтов как субъекта хозяйствования, так и его партнеров, но отличаются на несколько символов (к примеру: «kula@telliko.com», вместо «kula@teliko.com»). Заметить такое отличие очень сложно. Черты таких атак - высокий уровень подготовки, наличие знаний о структуре субъекта хозяйствования и ее процессах, использование приемов социальной инженерии.
Для проведения подобной атаки проводится подготовительная работа. В ходе которой злоумышленники при помощи фишинга похищают учетные данные рядового сотрудника, имея конечную цель - его более высокопоставленный коллега. Чаще всего атакующих интересуют деньги субъекта хозяйствавания, но бывает и так, что их цель - получить доступ к конфиденциальной информации, например, к клиентским базам или разработкам.
Справочно: для проведения ВЕС-атакн злоумышленники всегда тщательно собирают данные о жертве и позднее используют их, чтобы завоевать ее доверие. Некоторые такие атаки становятся возможными из-за того, что атакующие легко находят в открытом доступе имена и позиции сотрудников, их местоположение, даты отпусков, списки контактов и другие данные. Используется достаточно широкий арсенал технических приемов и методов социальной инженерии, чтобы войти в доверие к жертве и совершить мошеннические операции.
В июне 2021 года на электронный почтовый ящик сотрудника одного из предприятий г. Минска поступило электронное письмо от контрагента иностранного государства, содержащее требование оплатить доставку товара на новый расчетный счет. В последующем данный сотрудник подготовил дополнительное соглашение, содержащее измененные реквизиты счета для оплаты товара, а после его подписания руководством (без изучения и анализа) денежные средства в сумме более 200 ООО Евро зачислены на расчетный счет злоумышленника, открытый в иностранном банковском учреждении.
Также имели место случаи, когда к электронному письму, сообщающему об изменении реквизитов расчетного счета для оплаты, поступали вложения с приложением договора с печатью и подписью руководителя контрагента (зачастую могут содержать вредоносное программное обеспечение). В 2021 г. сотрудник одной из столичных организаций посредством переписки по электронной почте вел переговоры с представителем иностранной компании (партнера) по вопросам оплаты за поставку оборудования. При этом представитель иностранного партнера направил электронное письмо, сообщив об изменении реквизитов расчетного счета для оплаты. В ходе переписки сотрудник белорусской организации, не убедившись в принадлежности нового счета фактическому поставщику, подготовил приложение к договору с измененными реквизитами для оплаты и направил его в адрес иностранной компании. В последующем от контрагента поступило отсканированное приложение к договору с печатью и подписью руководителя иностранной компании (поддельное), на основании которого произведен платеж на расчетный счет злоумышленника. Однако указанные денежные средства были возвращены банковским учреждением, поскольку наименование бенефициара не соответствовало действительности. После этого сотрудник сообщил об этом злоумышленнику, который, в свою очередь, отправил новый договор, содержащий иные реквизиты для оплаты, на который в последующем и были зачислены денежные средства в сумме более 10 ООО Евро.
Установлено, что сотрудник организации никакой переписки по факту заключения дополнительного соглашения с партнером не вел, а общался в сети Интернет с неизвестным пользователем, использующим адрес электронной почты, непринадлежащий иностранной компании, отличающийся на 1 букву в доменном имени. При этом имя пользователя электронного почтового ящика в обоих случаях в почтовом клиенте отображалось идентично (одинаково).
Совершению указанных преступлений способствовали компьютерная неграмотность сотрудников субъектов хозяйствования, отсутствие механизмов контроля и проверки электронной информации, поступающей от контрагентов, конкретных лиц, ответственных за соответствующие направления служебной деятельности, а также несоблюдение требований законодательства, в том числе, Директивы Президента от 11.03.2004 № 1 «О мерах по укреплению общественной безопасности и дисциплины», Закона от 10.11.2008 № 455-3 «Об информации, информатизации и защите информации» и Указа Президента от 16.04.2013 № 196 «О некоторых мерах по совершенствованию защиты информации».
Анализ деятельности злоумышленников на территории Республики Беларусь показал, что они маскируются под бренды различных субъектов хозяйствования, их партнеров и контрагентов, используют массовые фишинговые рассылки для доставки популярных вредоносных программ под видом заказов, запросов данных о товарах и необходимости их оплаты и даже предложений помощи в борьбе с коронавирусом.
Обычно такие письма содержат призывы к активным действиям пользователя (представить адресату конфиденциальные данные, произвести оплату за услуги и товар, как правило, на новый расчетный счет по ранее заключенным договорам поставки).
Для рассылки фишинговых писем злоумышленники используют инструменты Gammadyne Mailer и Turbo-Mailer, платформу MailChimp, в том числе для того чтобы узнать, открывалось ли жертвой полученное письмо. Также применяются ранее взломанные электронные почтовые ящики для осуществления новых фишинговых атак, в том числе на партнеров конкретных субъектов хозяйствования.
По информации компании «Лаборатория Касперского» за май - август 2021 года значительно увеличилось число целевых ВЕС-атак на российские компании. Как следствие, в ближайшее время прогнозируется значительное увеличение указанных атак на субъекты хозяйствования Республики Беларусь.
Основная масса случаев хищения денежных средств субъектов хозяйствования в Республики Беларусь связана с человеческими ошибками, поскольку совершение атаки происходит постепенно.
Злоумышленник сначала изучает предполагаемую жертву, собирает необходимые справочные данные. Затем переходит к завоеванию доверия, вынуждая жертву неосознанно нарушить правила безопасности: предоставить доступ к компьютерным сетям, хранилищам данных, раскрыть конфиденциальную информацию.
Справочно: социальная инженерия особенно опасна, поскольку она использует человеческие ошибки, а не уязвимость ПО, которые гораздо менее предсказуемы, чем угрозы вредоносных программ.
Основными способами совершения указанных преступлений являются.
Справочно: фишинг богат не только ложными ссылками, но и прикрепленными файлами к электронному письму, которые содержат вирусное ПО для заражения компьютера и получения доступа к информации с него.
Перенаправление на обманные сайты-двойники. Это самый опасный вид, потому что обнаружить его очень сложно. Компьютер заражается «трояном», который ждет своего часа. Когда пользователь заходит на страницы платежных систем или банков, выполняется подмена оригинального сайта на фишинговый, с помощью которого собираются данные. Происходит это из-за изменения кэша DNS.
С целью предотвращения мошеннических действий злоумышленников необходимо:
Также необходимо понимать, что злоумышленник не сможет достичь своей цели и похитить денежные средства, если атака будет своевременно выявлена и остановлена, а это возможно на любом ее этапе, при принятии соответствующих мер защиты, направленных на сохранение благосостояния субъекта хозяйствования, в том числе при соблюдении следующих правил: