«BEC-атаки, это не про взлом почтового ящика. Это про взлом иерархии. Атакующий становится твоим начальником на час, используя доверие, построенное годами, чтобы вывести деньги одним письмом. Техническая защита здесь бессильна, потому что угроза — в голове у сотрудника, который боится ослушаться.»
Что такое BEC и почему он работает
BEC (Business Email Compromise), это целевая атака, где электронная почта используется не для кражи учётных данных, а для непосредственного мошенничества. Цель — заставить сотрудника совершить финансовую операцию или раскрыть критическую информацию, имитируя авторитетное лицо.
Эффективность BEC в России связана с двумя факторами: формальным соблюдением регуляторных требований и культурой управления. Компании внедряют DLP, SIEM и средства криптозащиты для соответствия 152-ФЗ и приказам ФСТЭК, но часто игнорируют процедурные риски. Внутренние регламенты переводов могут быть строгими на бумаге, но на практике их обходят ради оперативности. Сотрудник, получивший указание «от директора», скорее выполнит его, чем заподозрит подлог и пойдёт на конфликт, рискуя быть обвинённым в срыве сделки.
Атака всегда персонализирована. Злоумышленник изучает организационную структуру, стиль переписки руководства, текущие проекты. Письмо адресуется не «Уважаемый сотрудник», а по имени и отчеству конкретного финансиста или бухгалтера, с упоминанием внутренних деталей, что резко снижает бдительность.
Отличительные признаки фейкового письма
Идеальной маскировки не существует. Даже в хорошо подготовленной атаке есть маркеры, которые выдают подделку при внимательном анализе.
- Контекст и срочность. Классический приём — создание искусственного цейтнота. Запрос формулируется как критически важный и не терпящий отлагательств: «срочный перевод для закрытия сделки», «требование регулятора в рамках внеплановой проверки», «оплата до конца дня, иначе будут штрафы». Давление — главный инструмент, отключающий процедурное мышление.
- Детали перевода. Реквизиты для перевода часто принадлежат новым, недавно созданным организациям-однодневкам или физическим лицам, не связанным с деловой активностью компании. Может быть указана нестандартно крупная сумма или контрагент, с которым ранее не работали.
- Адрес отправителя и домен. Вместо корпоративного домена company.ru используется похожий: compаny.ru (с русской «а»), company-office.ru, company-finance.com. Различия могут быть в одной букве. Важно проверять не только имя отправителя, которое легко подделать, но и полный заголовок письма (header), где виден реальный почтовый сервер.
- Стилистика и подпись. Стиль письма может отличаться от привычного: нехарактерные обращения, ошибки в написании имени или отчества руководителя, отсутствие стандартной корпоративной подписи с контактами или её неполная копия.
- Канал коммуникации. Настоящий руководитель для срочного финансового поручения, скорее всего, использует несколько каналов: звонок, сообщение в корпоративном мессенджере, а затем — официальное письмо. BEC-атака обычно ограничивается только электронной почтой.
Процедурная защита: как выстроить контур, который не обойти
Технические средства (антифишинг, DMARC, DKIM) лишь фильтруют часть угроз. Основная защита от BEC — процедурная. Её нельзя взломать, можно только нарушить, что сразу становится заметно.
Обязательное правило двух каналов
Любое распоряжение на перевод средств или предоставление конфиденциальных данных должно быть подтверждено через независимый канал связи. Получив письмо от «гендиректора», сотрудник обязан позвонить ему по известному номеру из внутреннего справочника или подтвердить поручение через защищённый корпоративный мессенджер. Ключевое условие — инициатива исходит от исполнителя, а не от якобы отправителя.
Верификация изменений реквизитов
Отдельный риск — письма с просьбой обновить реквизиты постоянного контрагента. Для таких операций должен существовать отдельный, многоэтапный регламент, включающий устное подтверждение по старому номеру телефона, запрос печати на новом бланке и задержку перед первым переводом на новые данные.
Обучение через моделирование атак
Разовые инструктажи неэффективны. Практикуется проведение контролируемых учебных BEC-атак силами внутренней информационной безопасности. Сотрудники, которые «ведутся» на симуляцию, проходят дополнительное обучение. Это формирует мышечную память на распознавание угрозы.
Технические меры поддержки
Процедуры должны подкрепляться настройкой инфраструктуры.
- DMARC, DKIM, SPF. Правильная настройка этих стандартов для своего домена затрудняет подделку почты, но не останавливает целевые атаки через похожие домены.
- Визуальные маркеры внешней почты. Настройка почтового клиента или шлюза так, чтобы все письма с внешних доменов (даже с похожих) автоматически помечались цветной рамкой или заголовком «ВНЕШНИЙ ОТПРАВИТЕЛЬ». Это сразу привлекает внимание.
- Анализ заголовков писем (Headers). Обучение ответственных сотрудников базовой проверке полного пути письма: IP-адреса отправителя, реального домена сервера пересылки. Несоответствие здесь — прямой признак подлога.
Что делать, если атака уже произошла
Если перевод по фейковому письму совершён, действовать нужно немедленно по чёткому плану.
- Уведомление банка. Немедленный звонок и официальное письмо в банк с требованием заблокировать операцию по мошенническому основанию. Шансы есть, если прошло мало времени.
- Внутреннее расследование. Фиксация всех деталей: полные заголовки письма, реквизиты получателя, скриншоты. Это нужно для анализа уязвимости и передачи данных правоохранительным органам.
- Обращение в правоохранительные органы. Подача заявления в органы внутренних дел по факту мошенничества. Важно предоставить максимум технической информации.
- Корректировка процедур. Инцидент — повод пересмотреть и ужесточить внутренние регламенты, закрыв ту брешь, которой воспользовались злоумышленники.
BEC-атака, это проверка не на прочность файрволов, а на зрелость бизнес-процессов. Защита строится на простом принципе: любое исключение из правил, даже под давлением авторитета, должно требовать сверки. Внедрение этого принципа в корпоративную культуру — единственный способ сделать атаку экономически невыгодной для злоумышленника.