Компрометация деловой переписки (Business Email Compromise, BEC) процветает даже в организациях, внедривших многофакторную аутентификацию (MFA). Как специалисты по безопасности, мы часто предполагаем, что MFA — это панацея для защиты электронной почты, однако реальные инциденты говорят об обратном. Злоумышленники используют человеческое поведение, пробелы в процессах и операционные «слепые зоны», которые MFA сама по себе не может устранить. Во многих современных случаях BEC учетная запись вообще технически не скомпрометирована, что выводит эти атаки за пределы защитного контура средств контроля MFA.
В 2019 году корпорация Toyota Boshoku стала жертвой атаки BEC: сотрудник перевел мошенникам более 30 миллионов долларов по поддельному письму от сторонней компании с требованием срочно завершить транзакцию, чтобы не замедлять производственную линию Toyota. Не было никаких признаков компрометации электронной почты сотрудника Toyota. Возьмем также случай Arup в 2024 году, когда злоумышленники выдавали себя за старшего менеджера, используя дипфейк-голос и видео, и убедили сотрудника финансового отдела осуществить платежи на общую сумму 25 миллионов долларов. Компрометация не зависела от украденных учетных данных, а была основана на тщательно спланированном социальном инжиниринге, тайминге и процедурных лазейках финансового отдела. Технические средства защиты могли быть надежными, но человеческий надзор оказался самым слабым звеном. В обоих случаях сбой произошел в точке принятия решения, а не на уровне аутентификации, используя доверие, тайминг и устоявшиеся, удобные привычки утверждения.
Где заканчиваются средства контроля безопасности и начинается бизнес-риск
По опыту, этот сценарий слишком распространен. Организации часто сосредотачиваются на развертывании технологий безопасности, не затрагивая человеческие рабочие процессы и культуру. Сюда же относится внедрение модных технологий EDR, которые используются для формального соответствия требованиям аудита и комплаенса, и которые руководители ИТ-департаментов быстро одобряют, чтобы продемонстрировать заинтересованным сторонам свою киберустойчивость. Это не провал самой EDR, а провал в определении масштаба инвестиций в безопасность. Средства контроля конечных точек и идентификации защищают системы, но они не регулируют, как на практике проверяются финансовые утверждения, изменения данных поставщиков или запросы руководства.
MFA снижает риск, но не может заменить необходимость в процессном контроле, процедурах верификации и постоянном обучении осведомленности, тем более что в открытом доступе уже появились комплекты для фишинга AITM, которые обходят MFA. Эксплуатируемые операционные «слепые зоны» находятся в бизнес-процессах, где скорость, доверие и авторитет превалируют над верификацией, особенно в процессах финансов и закупок.
Эти «слепые зоны» существуют потому, что бизнес-процессы оптимизированы для скорости и непрерывности, а не для верификации. Финансовые команды обучены поддерживать бесперебойную работу, и злоумышленники, осознав это, используют это преимущество, создавая срочность или ссылаясь на авторитет. Когда запрос выглядит законным, срочным и исходит от лица, обладающего предполагаемым авторитетом, сотрудники часто следуют привычным шаблонам, вместо того чтобы остановиться и оспорить намерение. Это не сбой технологии, а сбой в проектировании процесса.
Практические шаги для ИТ-руководителей включают перепроектирование рабочих процессов утверждения таким образом, чтобы высокорисковые транзакции требовали многоэтапной верификации, включая звонок для подтверждения по другому каналу, симуляцию сценариев BEC в реалистичных учениях для выявления пробелов в реагировании и принятии решений, внедрение осведомленности о безопасности в повседневные рутины с помощью микрообучения и анализа реальных инцидентов, а также предоставление командам полномочий оспаривать необычные запросы без страха возмездия. Сведения об успешных атаках также могут быть распространены среди сотрудников, занимающихся выставлением счетов, финансовыми документами или принятием решений о переводах.
Проектирование рабочих процессов утверждения, противодействующих атакам BEC
Перепроектирование рабочих процессов утверждения означает четкое определение того, что представляет собой запрос с высоким риском, например, первоначальные платежи, изменение банковских реквизитов поставщика, внезапные запросы на оплату от руководителя или запросы, обходящие стандартные процедуры. Эти запросы должны требовать независимой проверки с использованием известных контактных данных, а не информации, предоставленной в самом электронном письме.
При анализе и перепроектировании рабочих процессов утверждения организациям следует начинать с постановки насущных, сложных операционных вопросов в точке принятия решения. Соответствует ли этот запрос тому, как обычно инициируются/утверждаются платежи? Является ли канал связи и тон отправителя типичным? Оплачивался ли этот поставщик или счет ранее и при аналогичных обстоятельствах? Соответствует ли электронное письмо тому, что указано на веб-сайте компании отправителя, без изменений? Виден ли другой адрес для ответа (reply-to)? Можно ли сделать быстрый звонок для подтверждения? Команды также должны задаться вопросом, какие предположения делаются под давлением времени, выводится ли авторитет из предположения, а не проверяется, и кто несет ответственность, если решение окажется неверным. Эти вопросы заставляют сотрудников замедлиться, распознать отклонения от нормального поведения и рассматривать необычные запросы как потенциальные инциденты безопасности, а не как рутинные рабочие задачи.
Симуляция BEC выходит за рамки фишинговых тестов и должна отражать реальные бизнес-сценарии, включая срочные запросы от руководства или изменения платежей поставщикам, что позволяет организациям наблюдать, как персонал реагирует на давление и неопределенность. Эффективные симуляции включают срочность, имитацию фигур с авторитетом с помощью опечаточных доменов (typosquatted emails) и использование реалистичных бизнес-контекстов, таких как платежи в конце квартала, смены поставщиков и периоды года, когда злоумышленники любят наносить удары, например, праздничные сезоны и время перед отпусками. За участниками наблюдают, как они проверяют запросы, эскалируют ли они опасения и как быстро переходят к исполнению без подтверждения. Результатом является не оценка «сдал/не сдал», а понимание того, где процессы поощряют соответствие нормам в ущерб осторожности. Эти симуляции позволяют организациям уточнять правила утверждения, укреплять пути эскалации и нормализовать верификацию как часть повседневных операций.
Расширение полномочий должно быть формализовано политикой, четко указывающей, что пауза или эскалация подозрительного запроса — это ожидаемое поведение, а не препятствие для продуктивности. Сотрудников, сообщающих о подозрительных запросах, также следует поощрять и приводить в качестве положительных примеров во внутренней коммуникации, где это возможно.
Использование «трения» и оповещений в рабочих процессах
Опыт трансграничных операций показывает, что злоумышленники используют временное давление и предположения о статусе руководства, часто встречающиеся в мошенничестве типа «CEO/CFO». Команды часто следуют указаниям, исходящим от предполагаемого авторитета, которые злоумышленники определяют по потокам электронной почты и срочности, часто связанной с осуществлением крупных платежей, привязывая их к критически важным потребностям бизнеса. Внедряя «трение» (friction) в критически важные рабочие процессы, например, обязательные паузы для крупных переводов или автоматические оповещения об аномалиях, организации могут снизить риск, не снижая продуктивности.
Эффективное «трение» не означает бездумное торможение бизнеса или его процессов. Обязательные паузы для крупных или необычных переводов создают пространство для верификации и снижают импульсивные решения и действия. Во время этих пауз должны выполняться конкретные действия, такие как проверка электронной почты/подписи, формулировок, вторичное утверждение, независимое подтверждение или автоматические проверки по сравнению с историческим поведением платежей, как указано выше.
Автоматические оповещения об аномалиях полезны только тогда, когда они сосредоточены на значимых отклонениях и связаны с четкими ожиданиями реагирования. Оповещения должны отдавать приоритет сценариям, таким как запросы на оплату вне рабочего времени, изменения в установленных реквизитах поставщика или переводы, выходящие за рамки обычных шаблонов. Ответственность за оповещения, связанные с BEC, должна лежать на командах, контролирующих финансовые решения, таких как финансовые операции, подразделения по управлению мошенничеством или межфункциональные группы по риску платежей, объединяющие безопасность и бизнес-полномочия, а не направляться исключительно в перегруженные очереди SOC.
Чтобы также уменьшить количество ложных срабатываний, следует внедрить концепцию усиленного мониторинга для приоритетных учетных записей. Это можно улучшить, направляя электронные письма, содержащие определенные платежные ключевые слова, этим группам риска для оценки до того, как они попадут в предназначенные для них почтовые ящики.
Что руководителям по безопасности следует изменить немедленно
BEC продолжает быть успешным, потому что человеческие точки принятия решений редко рассматриваются как системы, критически важные для безопасности. MFA, фильтрация электронной почты и защита конечных точек остаются необходимыми, но они не контролируют, как люди принимают решения под давлением. До тех пор, пока финансовые и управленческие рабочие процессы не будут спроектированы с такой же строгостью, как технические системы, злоумышленники будут продолжать использовать влияние человеческого поведения на кибербезопасность, используя социальный инжиниринг и человеческие слабости в первую очередь.
В дополнение к этому, должна быть четкая ответственность за риск BEC на уровне руководства. Если ни одна роль не несет ответственности за сбои в верификации платежей, ответственность по умолчанию ложится на сотрудников первой линии под давлением, которые часто несут основное бремя увольнения или судебного преследования после успешных атак BEC. Назначение ответственности руководству финансового отдела, комитетам по рискам или межфункциональным управляющим группам гарантирует, что сбои в процессах рассматриваются как системные проблемы, а не как индивидуальные ошибки.
Хотя это не менее важно, руководители не должны измерять успех только количеством заблокированных фишинговых писем, а тем, как часто соблюдаются шаги верификации, сколько запросов на оплату оспаривается и как быстро подозрительные транзакции приостанавливаются и пересматриваются.
В заключение, руководители по безопасности, которые снижают риск BEC, приводят в соответствие людей, процессы и технологии таким образом, чтобы верификация стала рутинной, нерешительность была приемлемой, а авторитет никогда не принимался без подтверждения. В 2026 году и далее бизнес-процессы должны продолжать рассматриваться как основная часть архитектуры безопасности, а не как периферийный компонент.
Эта статья опубликована в рамках сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Oludolamu Onimole
