Недавно зафиксирован случай продвинутой схемы бизнес-мошенничества (BEC), при которой злоумышленники манипулировали перепиской между Partner A, Partner B и Partner C, используя компрометированный почтовый сервер третьей организации для отправки фальшивых писем с подменёнными банковскими реквизитами.
Атака разворачивалась в два этапа. Сначала злоумышленник незаметно получил доступ к части переписки, что позволило ему наблюдать за электронными коммуникациями между партнёрами, а затем внедрился в активные цепочки сообщений, постепенно заменяя оригинальные адреса на контролируемые собственные. При этом подделка осуществлялась так, что поле «From» отображало легитимный адрес отправителя, а «Reply-To» перенаправляло корреспонденцию на мошеннический аккаунт.
Временная шкала инцидента начинается с момента T+0:00, когда Partner A направил напоминание Partner B с копией для Partner C. Через 4,5 часа (T+4:30) злоумышленник отправил письмо с обновлёнными банковскими реквизитами, заменив один из шести адресов в цепочке, что инициировало дальнейшие манипуляции. В T+11:00 было отправлено повторное письмо через скомпрометированный аккаунт Partner C, а к моменту T+15:00 Partner B, не подозревая подвоха, подтвердил счет, отметив замену пяти из шести исходных адресов.
Анализ заголовков писем выявил, что контрольные механизмы SPF, DKIM и DMARC не смогли предотвратить подделку. Параметр SPF показал "softfail" для таких IP-адресов, как 11.22.33.44 и , а отсутствие цифровой подписи DKIM в сочетании с политикой DMARC "action=none" позволял мошеннику обходить стандартные меры безопасности.
Тщательное исследование показало, что злоумышленник воспользовался целым рядом техник по методологии MITRE ATT&CK. Среди них – сбор адресной информации (T1114), компрометация учетных записей домена (T1078), установка правил пересылки (T1114.003) и использование лазеек третьестороннего сервера (T1584.004). Кроме того, мошеннику удалось создать поддельные почтовые аккаунты (T1585.002) и эксплуатировать доверие между бизнес-партнёрами (T1199), что привело к финансовым потерям (T1657) и хищению ресурсов (T1496).
Параллельно с основной цепочкой переписки были выявлены около пяти дополнительных нитей, где оригинальные сообщения постепенно заменялись поддельными. Использование функции автозаполнения адресов способствовало плавному переходу от легитимной корреспонденции к мошенническим сообщениям, создавая иллюзию нормального делового общения.
Детальное временное распределение инцидента охватывает период до 12 дней. После вмешательства в цепочку через T+4:30 и T+11:00, дальнейшая коммуникация продолжалась: спустя 5,02 дня от первоначального письма Partner A отправил правильные бизнес-реквизиты, затем в T+5,64 дня Partner B осуществил перевод средств на счет мошенника, а через 5,66 дня Partner B уведомил об этом, завершая цепочку подделок.
Усиление мер безопасности электронной почты становится первоочередной задачей для предотвращения подобных атак. Рекомендуется внедрять строгие политики DMARC, а также использовать DKIM и SPF для проверки подлинности сообщений. Применение цифровых подписей и многофакторной аутентификации значимо снижает риск компрометации учетных записей.
Регулярный аудит и мониторинг ключевых участников финансовых процессов, обучение сотрудников методам обнаружения мошеннических действий и применение внеканальных средств верификации, например, посредством телефонных или видеозвонков, способствуют созданию надежной линии обороны против атак BEC.
Изображение носит иллюстративный характер
Атака разворачивалась в два этапа. Сначала злоумышленник незаметно получил доступ к части переписки, что позволило ему наблюдать за электронными коммуникациями между партнёрами, а затем внедрился в активные цепочки сообщений, постепенно заменяя оригинальные адреса на контролируемые собственные. При этом подделка осуществлялась так, что поле «From» отображало легитимный адрес отправителя, а «Reply-To» перенаправляло корреспонденцию на мошеннический аккаунт.
Временная шкала инцидента начинается с момента T+0:00, когда Partner A направил напоминание Partner B с копией для Partner C. Через 4,5 часа (T+4:30) злоумышленник отправил письмо с обновлёнными банковскими реквизитами, заменив один из шести адресов в цепочке, что инициировало дальнейшие манипуляции. В T+11:00 было отправлено повторное письмо через скомпрометированный аккаунт Partner C, а к моменту T+15:00 Partner B, не подозревая подвоха, подтвердил счет, отметив замену пяти из шести исходных адресов.
Анализ заголовков писем выявил, что контрольные механизмы SPF, DKIM и DMARC не смогли предотвратить подделку. Параметр SPF показал "softfail" для таких IP-адресов, как 11.22.33.44 и , а отсутствие цифровой подписи DKIM в сочетании с политикой DMARC "action=none" позволял мошеннику обходить стандартные меры безопасности.
Тщательное исследование показало, что злоумышленник воспользовался целым рядом техник по методологии MITRE ATT&CK. Среди них – сбор адресной информации (T1114), компрометация учетных записей домена (T1078), установка правил пересылки (T1114.003) и использование лазеек третьестороннего сервера (T1584.004). Кроме того, мошеннику удалось создать поддельные почтовые аккаунты (T1585.002) и эксплуатировать доверие между бизнес-партнёрами (T1199), что привело к финансовым потерям (T1657) и хищению ресурсов (T1496).
Параллельно с основной цепочкой переписки были выявлены около пяти дополнительных нитей, где оригинальные сообщения постепенно заменялись поддельными. Использование функции автозаполнения адресов способствовало плавному переходу от легитимной корреспонденции к мошенническим сообщениям, создавая иллюзию нормального делового общения.
Детальное временное распределение инцидента охватывает период до 12 дней. После вмешательства в цепочку через T+4:30 и T+11:00, дальнейшая коммуникация продолжалась: спустя 5,02 дня от первоначального письма Partner A отправил правильные бизнес-реквизиты, затем в T+5,64 дня Partner B осуществил перевод средств на счет мошенника, а через 5,66 дня Partner B уведомил об этом, завершая цепочку подделок.
Усиление мер безопасности электронной почты становится первоочередной задачей для предотвращения подобных атак. Рекомендуется внедрять строгие политики DMARC, а также использовать DKIM и SPF для проверки подлинности сообщений. Применение цифровых подписей и многофакторной аутентификации значимо снижает риск компрометации учетных записей.
Регулярный аудит и мониторинг ключевых участников финансовых процессов, обучение сотрудников методам обнаружения мошеннических действий и применение внеканальных средств верификации, например, посредством телефонных или видеозвонков, способствуют созданию надежной линии обороны против атак BEC.
