В условиях становления общества информация обретает особую ценность, а вопросы безопасности становятся все более актуальными. Несмотря на преимущества и блага, которые создаются за счет цифровизации общества, в этом процессе есть и негативная сторона – преступления в сфере высоких технологий.
В настоящее время наряду с тенденцией роста противоправных деяний существенно увеличивается и количество принимаемых решений о возбуждении уголовных дел о хищениях денежных средств субъектов хозяйствования, в том числе государственных предприятий Республики Беларусь, путем так называемых ВЕС-атак (Business Email Compromise).
ВЕС – это атака, при которой злоумышленники начинают переписку с сотрудником предприятия или организации с целью завоевать его доверие и убедить выполнить действия, идущие во вред интересам субъекта хозяйствования или его клиентов. Зачастую используются взломанные аккаунты сотрудников или адреса, которые визуально похожи на официальные адреса как субъекта хозяйствования, так и его партнеров, но отличаются на несколько символов (к примеру: «kula@telliko.com», вместо «kula@teliko.com»). Черты таких атак – высокий уровень подготовки, наличие знаний о структуре субъекта хозяйствования и ее процессах, использование приемов социальной инженерии.
Порой атака проходит в несколько этапов. Злоумышленники при помощи фишинга похищают учетные данные рядового сотрудника, имея конечную цель – его более высокопоставленный коллега. Чаще всего атакующих интересуют деньги субъекта хозяйствования, но бывает и так, что их цель – получить доступ к конфиденциальной информации, например к клиентским базам или разработкам.
Справочно: для проведения ВЕС-атаки злоумышленники всегда тщательно собирают данные о жертве и позднее используют их, чтобы завоевать ее доверие. Некоторые такие атаки становятся возможными из-за того, что атакующие легко находят в открытом доступе имена и позиции сотрудников, их местоположение, даты отпусков, списки контактов и другие данные. Используется достаточно широкий арсенал технических приемов и методов социальной инженерии, чтобы войти в доверие к жертве и совершить мошеннические операции.
В 2021 г. следственными подразделениями столицы возбуждено 9 уголовных дел, связанных с ВЕС-атаками, в результате чего злоумышленники завладели денежными средствами различных предприятий на общую сумму более 1 000 000 рублей.
Справочно: «Лаборатория Касперского» сообщает, что за май — август 2021 года значительно увеличилось число целевых ВЕС-атак на российские компании. Как следствие, в ближайшее время прогнозируется значительное увеличение указанных атак на субъекты хозяйствования Республики Беларусь.
К примеру, в июне 2021 года на электронный почтовый ящик сотрудника одного из предприятий г. Минска поступило электронное письмо от контрагента иностранного государства, содержащее требование оплатить доставку товара на новый расчетный счет. В последующем данный сотрудник подготовил дополнительное соглашение, содержащее измененные реквизиты счета для оплаты товара, а после его подписания руководством (без изучения и анализа) денежные средства в сумме более 200 000 Евро зачислены на расчетный счет злоумышленника, открытый в иностранном банковском учреждении.
Установлено, что в указанный период к электронному почтовому ящику предприятия осуществлен несанкционированный доступ, письма, поступавшие на почтовый ящик от контрагента (партнера), перенаправлялись злоумышленнику, который и вел переговоры от имени контрагента.
Также имели место случаи, когда к электронному письму, сообщающему об изменении реквизитов расчетного счета для оплаты, поступали вложения с приложением договора с печатью и подписью руководителя контрагента (зачастую могут содержать вредоносное программное обеспечение).
Так, в 2021 г. сотрудник одной из столичных организаций посредством переписки по электронной почте вел переговоры с представителем иностранной компании (партнера) по вопросам оплаты за поставку оборудования. При этом представитель иностранного партнера направил электронное письмо, сообщив об изменении реквизитов расчетного счета для оплаты. В ходе переписки сотрудник белорусской организации, не убедившись в принадлежности нового счета фактическому поставщику, подготовил приложение к договору с измененными реквизитами для оплаты и направил его в адрес иностранной компании. В последующем от контрагента поступило отсканированное приложение к договору с печатью и подписью руководителя иностранной компании (поддельное), на основании которого произведен платеж на расчетный счет злоумышленника. Однако указанные денежные средства были возвращены банковским учреждением, поскольку наименование бенефициара не соответствовало действительности. После этого сотрудник сообщил об этом злоумышленнику, который, в свою очередь, отправил новый договор, содержащий иные реквизиты для оплаты, на который в последующем и были зачислены денежные средства в сумме более 10 000 Евро.
Установлено, что сотрудник организации никакой переписки по факту заключения дополнительного соглашения с партнером не вел, а общался в сети Интернет с неизвестным пользователем, использующим адрес электронной почты, непринадлежащий иностранной компании, отличающийся на 1 букву в доменном имени. При этом имя пользователя электронного почтового ящика в обоих случаях в почтовом клиенте отображалось идентично (одинаково).
Совершению указанных преступлений способствовали компьютерная неграмотность сотрудников субъектов хозяйствования, отсутствие механизмов контроля и проверки электронной информации, поступающей от контрагентов, конкретных лиц, ответственных за соответствующие направления служебной деятельности, а также несоблюдение требований законодательства, в том числе, Директивы Президента от 11.03.2004 № 1 «О мерах по укреплению общественной безопасности и дисциплины», Закона от 10.11.2008 № 455-3 «Об информации, информатизации и защите информации» и Указа Президента от 16.04.2013 № 196 «О некоторых мерах по совершенствованию защиты информации».
Анализ деятельности злоумышленников на территории Республики Беларусь показал, что они маскируются под бренды различных субъектов хозяйствования, их партнеров и контрагентов, используют массовые фишинговые рассылки для доставки популярных вредоносных программ под видом заказов, запросов данных о товарах и необходимости их оплаты и даже предложений помощи в борьбе с коронавирусом.
Обычно также письма содержат призывы к активным действиям пользователя (представить адресату конфиденциальные данные, произвести оплату за услуги и товар, как правило, на новый расчетный счет по ранее заключенным договорам поставки).
Для рассылки фишинговых писем преступники используют инструменты Gammadyne Mailer и Turbo-Mailer, платформу MailChimp, в том числе для того чтобы узнать, открывалось ли жертвой полученное письмо. Также применяются ранее взломанные электронные почтовые ящики для осуществления новых фишинговых атак, в том числе на партнеров конкретных субъектов хозяйствования.
Основная масса случаев хищения денежных средств субъектов хозяйствования в Республики Беларусь связана с человеческими ошибками, поскольку совершение атаки происходит постепенно. Злоумышленник сначала изучает предполагаемую жертву, собирает необходимые справочные данные. Затем переходит к завоеванию доверия, вынуждая жертву неосознанно нарушить правила безопасности: предоставить доступ к компьютерным сетям, хранилищам данных, раскрыть конфиденциальную информацию.
Справочно: социальная инженерия особенно опасна, поскольку она использует человеческие ошибки, а не уязвимость ПО, которые гораздо менее предсказуемы, чем угрозы вредоносных программ.
Основными способами совершения указанных преступлений являются.
- Ложные ссылки в электронном ящике. Письма тщательно продумываются, оформляются по образцу той организации, с адреса которой якобы оно поступает. В письме злоумышленники представляются сотрудниками организаций, сообщают о рассылке спама с аккаунта, скрытых сообщениях в личном кабинете, о специальном супер предложении – в ход идут любые уловки. Имеют место случаи, когда в письме требуется перейти по ссылке, в ходе перехода на которую на компьютер загружается вредоносный код, либо ссылка ведет на фишинговый сайт, неотличимый от оригинала, где необходимо ввести пароль, логин, телефон и другую информацию.
- Фишинг-рассылки от гигантов Интернета, например, Google и В письме поступает просьба подтвердить электронный адрес, кликнув на фишинговую гиперссылку, и снова происходит утечка данных, но теперь не просто логина и пароля, а файлов, которые хранятся на облачных дисках: фотографии, документы, презентации.
Справочно: фишинг богат не только ложными ссылками, но и прикрепленными файлами к электронному письму, которые содержат вирусное ПО для заражения компьютера и получения доступа к информации с него.
- Целенаправленная атака с целью получения личных данных. Злоумышленники ищут информацию на профилях в социальных сетях, где все стараются подробно написать о себе, дублируют ее в письме: когда обращаются по имени, с указанием должности и прочего, это вызывает доверие и желание дополнить свою информацию.
- Атака на крупные организации с целью получения доступа ко всей информации, которая в дальнейшем позволит одобрять переводы на мошеннические счета, совершать иные действия.
Справочно: в целях избежание утечки данных и материальных расходов необходимо на постоянной основе инструктировать сотрудников о средствах защиты информации.
- Перенаправление на обманные сайты-двойники. Это самый опасный вид, потому что обнаружить его очень сложно. Компьютер заражается «трояном», который ждет своего часа. Когда пользователь заходит на страницы платежных систем или банков, выполняется подмена оригинального сайта на фишинговый, с помощью которого собираются данные. Происходит это из-за изменения кэша
- Взлом по номеру телефона. Суть метода заключается в том, что злоумышленнику нужно знать номер телефона жертвы, указанный при регистрации электронного почтового ящика. При сбросе пароля почтовая служба требует ввести последние символы номера телефона. На этот номер отправляется SMS-сообщение с кодом подтверждения сброса пароля. Затем злоумышленник отправляет второе SMS-сообщение с неизвестного номера с требованием указать код из первого SMS-сообщения. Успех этого метода зависит от невнимательности жертвы.
С целью предотвращения совершения преступлений рассматриваемой категории необходимо:
- постоянно обновлять браузеры, чтобы получать защиту от новых угроз;
- устанавливать почтовые спам-фильтры (умеют распознавать спам, в том числе графический, и блокируют появление нежелательной почты);
- использовать антивирусные программы;
- быть внимательными (бесплатный инструмент для защиты от злоумышленников);
- обновлять операционную систему. В обновлениях содержатся пакеты для исправления уязвимостей, через которые злоумышленники могут получить доступ к компьютеру;
- помнить, что банки не отправляют письма с просьбой повторно ввести логин или пароль;
- проверять адреса сайтов и электронных писем на правильность. Следует обращать внимание на URL-адрес ресурса, поскольку при фишинге адрес сайта отличается на 1-2 буквы, цифры или символа. Получая электронные письма, подлежит анализу не только содержимое, но и имя отправителя и электронный почтовый ящик, с которого оно поступило;
- проверять протокол. Https – это защищенное соединение, даже если злоумышленник перехватит данные, то получит бессмысленный набор символов, который не сможет расшифровать. Интернет-страницы с http должны насторожить в первую очередь;
- использовать несколько электронных почтовых ящиков (для личных и деловых переписок отдельно);
- проверять тщательно каждое письмо, особенно со ссылками и вложенными файлами. Если письмо поступило со знакомого почтового ящика, это еще не гарантия безопасности – почтовый ящик мог быть взломан;
- удалять письма с требованиями пип-кода пли пароля. Это личная информация, и никто не имеет права ее просматривать;
- обращать внимание на отправителя письма и его содержимое. В письме может использоваться автоподстановка из почтового адреса, которая не всегда является именем;
- подключить двухфакторную аутентификацию для аккаунтов всех электронных почтовых ящиков и социальных сетей. Это спасет в том случае, если пароль стал известен злоумышленнику;
- регулярно, не реже 1 раза в неделю, проверять аккаунты всех электронных .
Также необходимо понимать, что злоумышленник не сможет достичь своей цели и похитить денежные средства, если атака будет своевременно выявлена и остановлена, а это возможно на любом ее этапе, при принятии соответствующих мер защиты, направленных на сохранение благосостояния субъекта хозяйствования, в том числе при соблюдении следующих правил:
- Никогда не доверять отправителю электронного письма;
- Всегда проверять основные идентификационные данные и служебные заголовки электронных писем (можно узнать и проанализировать ip-адрес отправителя письма и иную необходимую информацию), прежде чем ответить на письмо;
- Не переходить по ссылкам и не открывать вложения, если отправитель письма не тот, кем он представился;
- Тщательно проверять адрес сайта на наличие «опечаток» — это может быть копия официального ресурса, зарегистрированного специально для введения в заблуждение;
- Перепроверять происхождение сайта, прежде чем ввести свои персональные данные (имя, адрес, реквизиты доступа, финансовые сведения);
- В случае введения реквизитов доступа на подозрительном сайте немедленно сменить пароль.