Корпоративная почта - основная лазейка для кибер-преступников

Взломы с помощью корпоративной почты стали самым распространенным способом, с помощью которого преступники получают доступ к конфиденциальной информации и проникают в защищенные сети. Такие инциденты были зафиксированы в 177 странах мира. Основными получателями незаконных платежей по итогам 2021 года стали Таиланд, Гонконг, Китай, Мексика и Сингапур.

Согласно исследованию компании-специалиста по кибербезопасности Great Horn, больше чем в половине случаев успешных взломов используются фишинг или другие методы проникновения, основанные на использовании корпоративной почты.

В большинстве кибер-нападений целью хакеров является неавторизованный перевод средств на подконтрольные им банковские счета или криптокошельки. Также преступники собирают личную информацию, которую потом можно использовать для более серьезных атак. Основными методами для этого являются социальная инженерия и фишинг, то есть подделка электронного письма таким образом, чтобы оно напоминало настоящее, которое пришло от начальника или менеджера. 

Атаки через корпоративную почту популярны среди киберпреступников, поскольку те знают, что могут нацелиться на одну учетную запись и получить доступ к большому количеству информации о других участниках сети, которую они могут использовать для поиска новых целей и манипуляций другими пользователями.

Жертвами взломов через корпоративную почту становятся даже те компании, которые выделяют серьезные силы и средства для обеспечения своей кибербезопасности. Например, жертвами самого крупного за последние 5 лет ограбления через электронную почту стали сотрудники двух крупнейших компаний в IT-отрасли. В течение трех лет литовский мошенник Эвалдас Римасаукас смог вытянуть из Facebook (признана в России экстремистской организацией) и Google более 120 миллионов долларов. Он узнал названия некоторых компаний-поставщиков этих организаций и время от времени присылал накладные о якобы оказанных услугах и поставленном оборудовании от их имени. Они выглядели абсолютно идентичными настоящим, за исключением одной детали — расчетного счета, куда следовало переводить деньги.

В 2019 году корпорация Toyota потеряла более 37 миллионов долларов из-за поддельных платежных документов,  которые ее сотрудники получали по электронной почте. Атакам подверглись штаб-квартира в Токио и компании-смежники в Австралии и Бельгии.

«Мы не шокированы цифрой, указанной в информационной рассылке ФБР. На самом деле, эта цифра, скорее всего, занижена, учитывая, что большое количество инцидентов такого рода остаются незарегистрированными и замалчиваются , — заявил в интервью изданию VentureBeat Энди Гилл, старший консультант по безопасности в LARES Consulting: “Взломы через рабочую электронную почту остаются одним из самых активно применяемых преступниками методов атак, поскольку они являются эффективными. Если бы они не работали так хорошо, как работают, преступники сменили бы тактику на что-то с более высокой отдачей”. 

Гилл отмечает, что как только злоумышленник получает доступ к почтовому ящику, обычно с помощью фишинговой атаки, он начинает искать в ящике ценную информацию, такую как обсуждения с поставщиками или другими лицами в компании, чтобы собрать информацию для дальнейших нападений на сотрудников или третьи стороны.

Иногда злоумышленники могут в тайне читать корпоративную переписку в течение нескольких месяцев, чтобы хорошо изучить особенности письма основных лиц, принимающих решение. И выжидают подходящего момента для нападения. Например, провести его можно во время подготовки крупной сделки или в период ежеквартальных или ежемесячных расчетов с поставщиками.

Минимизировать последствия таких атак сложно по целому ряду причин. Главная из них заключается в том, что не всегда легко определить сам факт неавторизованного доступа к корпоративной почте, особенно если внутренняя служба безопасности имеет ограниченные ресурсы.

«Большинство организаций, ставших жертвами атак через рабочую почту, не имеют внутренних ресурсов для реагирования на подобные инциденты или проведения цифрового расследования. И им необходимо обращаться к специализированным компаниям, — уверен Джозеф Карсон, главный специалист по безопасности и консультант CISO Delinea: Жертвы иногда предпочитают не сообщать об инцидентах, если сумма небольшая. Однако тем, кто потерпел более серьезный финансовый урон, который исчисляется тысячами или даже иногда миллионами долларов, приходится сообщать о таких случаях в надежде, что они смогут возместить часть потерь.»   

В связи с ростом числа атак на рабочие почтовые ящики, организации испытывают все большее давление в вопросе обеспечения собственной защиты. Однако в эпоху удаленной работы этого очень сложно добиться.

Поскольку все больше сотрудников используют для работы личные и мобильные устройства, которые находятся вне зоны защиты традиционных средств безопасности, предприятиям необходимо более активно защищать данные от несанкционированного доступа, ограничивая число сотрудников, имеющих доступ к конфиденциальной информации.

«Надежные программные продукты по управлению привилегий доступа (PAM) могут помочь снизить риск атак через корпоративную почту, добавляя дополнительные средства контроля безопасности к чувствительным привилегированным учетным записям. Такую меру нужно сочетать с многофакторной аутентификацией (MFA) и непрерывной проверкой аутентичности пользователя. Также важно уделять первостепенное внимание повышению осведомленности об угрозах в киберпространстве и всегда применять методы подтверждения личности для проверки источника запросов, — полагает Карсон: Применение принципа наименьших привилегий и обеспечение его соблюдения с помощью управления привилегированным доступом сокращает количество сотрудников, на которых киберпреступники могут направить свои попытки манипулирования, и значительно усложняет злоумышленникам доступ к конфиденциальной информации.»

Узнать больше об основных правилах кибербезопасности и научиться избегать главных угроз в сети можно в приложении «Цифроникель», где есть специальный раздел, посвященной этой теме.